Ransomware 2.0: atacatorii cibernetici trec de la criptarea datelor la publicarea informațiilor confidențiale în mediul online
În ultimii ani atacurile pe scară largă de tip ransomware – în care infractorii folosesc malware pentru a cripta datele victimelor și le folosesc pentru răscumpărare – au fost înlocuite cu atacuri mai precise, împotriva anumitor companii și industrii. În aceste campanii cu ținte directe și clare, atacatorii nu doar amenință că vor cripta datele, ci și că vor publica informații confidențiale online, arată o analiză Kaspersky Lab pe două familii de ransomware importante: Ragnar Locker și Egregor.
Atacurile Ransomware, în general, sunt considerate drept unul dintre cele mai grave tipuri de amenințări cibernetice cu care se confruntă companiile. Ele nu numai că pot perturba operațiunile comerciale critice, dar pot duce și la pierderi financiare masive și, în unele cazuri, chiar la faliment, din cauza amenzilor și proceselor rezultate în urma încălcării legilor și reglementărilor. De exemplu, se estimează că atacurile WannaCry au cauzat pierderi financiare de peste 4 miliarde de dolari. Cu toate acestea, campaniile mai noi de ransomware își modifică modul de operare: amenință să facă publice informațiile furate de la companii.
Ragnar Locker și Egregor sunt două familii de ransomware bine cunoscute care practică această nouă metodă de extorcare.
Ragnar Locker a fost descoperit pentru prima dată în 2019, dar nu a devenit cunoscut decât în prima jumătate a anului 2020, când a fost observat atacând organizații mari. Atacurile sunt foarte precise, cu fiecare eșantion special adaptat victimei pe care o are în vizor, iar celor care refuză să plătească li se publică datele confidențiale în secțiunea „Zidul rușinii” de pe site-ul cu date furate. Dacă victima discută cu atacatorii și apoi refuză să plătească, aceste discuții sunt și ele publicate. Țintele principale sunt companiile din Statele Unite din diferite industrii. În iulie, Ragnar Locker a declarat că s-a alăturat cartelului de ransomware Maze, ceea ce înseamnă că cele două părți vor împărtăși informațiile furate și vor colabora. Maze a devenit una dintre cele mai notorii familii de ransomware în 2020, arată analiza Kaspersky Lab.
Egregor este mult mai nou decât Ragnar Locker – a fost descoperit pentru prima dată în septembrie. Cu toate acestea, folosește multe dintre aceleași tactici și are similitudini la nivel de cod cu cel de la Maze. Programul malware este de obicei încărcat printr-o breșă în rețea, după ce datele țintei au fost obținute, acordându-se victimei 72 de ore pentru a plăti răscumpărarea înainte ca informațiile furate să devină publice. Dacă victimele refuză să plătească, atacatorii publică numele victimelor și link-uri pentru a descărca datele confidențiale ale companiei pe site-ul lor.
Raza de acțiune a lui Egregor este mult mai extinsă decât cea a lui Ragnar Locker. Pe lista țintelor sale au fost observate companii din America de Nord, Europa și părți din regiunea APAC.
„Ceea ce vedem acum este creșterea ransomware 2.0. Prin asta vreau să spun că atacurile devin extrem de precise, iar accentul nu se pune doar pe criptare; mai nou, procesul de extorcare se bazează pe publicarea în mediul online a datelor confidențiale. Acest lucru pune în pericol nu doar reputația companiilor, ci deschide și anumite procese în cazul în care datele publicate încalcă reglementări precum HIPAA sau GDPR. Sunt în joc lucruri mult mai importante decat pierderile financiare,” comentează Dmitry Bestuzhev, șef al echipei de cercetare și analiză globală din America Latină (GReAT).
„Aceasta înseamnă că organizațiile trebuie să se gândească la amenințarea cu ransomware ca la ceva mult mai periculos decât un tip de malware. De fapt, de multe ori, ransomware-ul este doar etapa finală a infiltrării în rețea. Până când ransomware-ul este implementat efectiv, atacatorul a efectuat deja o recunoaștere a rețelei, a identificat datele confidențiale și le-a exfiltrat. Este important ca organizațiile să pună în aplicare întreaga gamă de bune practici de securitate cibernetică. Identificarea atacului într-un stadiu incipient, înainte ca atacatorii să atingă obiectivul final, poate economisi o mulțime de bani”, adaugă Fedor Sinitsyn, expert în securitate la Kaspersky.
Puteți să citiți mai multe despre Ransomware 2.0 pe Securelist.
Pentru a vă păstra în siguranță compania împotriva acestor tipuri de atacuri ransomware, experții Kaspersky recomandă următoarele:
1. Nu expuneți serviciile desktop la distanță (cum ar fi RDP) rețelelor publice decât dacă este absolut necesar și folosiți întotdeauna parole puternice pentru acestea.
2. Păstrați întotdeauna software-ul actualizat pe toate dispozitivele pe care le utilizați. Pentru a împiedica ransomware-ul să se folosească de vulnerabilități, utilizați instrumente care pot detecta automat vulnerabilitățile și descărca și instala patch-uri.
3. Instalați rapid patch-urile disponibile pentru soluțiile VPN comerciale care oferă acces angajaților la distanță și acționează ca gateway-uri în rețeaua dumneavoastră.
4. Tratați cu precauție atașamentele de e-mail sau mesajele de la persoane pe care nu le cunoașteți. Dacă aveți dubii, nu le deschideți.
5. Folosiți soluții de securitate pentru a identifica și opri atacul într-un stadiu incipient, înainte ca atacatorii să își atingă obiectivul.
6. Concentrați-vă strategia de securitate pe detectarea mișcărilor laterale și a exfiltrării datelor pe Internet. Acordați o atenție specială traficului de ieșire din sistem al datelor pentru a detecta conexiunile criminalilor cibernetici. Faceți backup al datelor în mod regulat. Asigurați-vă că îl puteți accesa rapid în caz de urgență, atunci când este absolut necesar.
7. Pentru a proteja mediul corporativ, educați-vă angajații cu privire la problemele de securitate cibernetică.
8. Pentru dispozitivele personale, utilizați o soluție de securitate fiabilă care să vă protejeze împotriva malware-ului de criptare a fișierelor și previne modificările făcute de aplicațiile rău intenționate.