По данным Check Point, в первом квартале хакеры использовали новую опасную тактику. Теперь киберпреступники добавляют дополнительный этап в свою атаку, и получается двойное вымогательство. Перед шифрованием баз данных жертвы злоумышленники извлекают большие объемы коммерческой информации и угрожают опубликовать ее, если не будет заплачен выкуп. Это оказывает дополнительное давление на организации и мотивирует выполнять требования хакеров.

Первый опубликованный случай двойного вымогательства произошел с Allied Universal, крупной американской компанией по обеспечению безопасности еще в ноябре 2019 г. Когда жертвы отказались выплачивать выкуп в размере 300 биткойнов (примерно 2,3 млн. долл.), злоумышленники пообещали использовать конфиденциальную информацию, извлеченную из систем Allied Universal, а также украденные сертификаты электронной почты и доменных имен для проведения спам-кампании от лица Allied Universal. Чтобы доказать свои намерения, злоумышленники опубликовали образец украденных файлов: среди них были контракты, медицинские записи, сертификаты шифрования и многое другое. Позднее на российском хакерском форуме злоумышленники оставили ссылку на часть украденной информации – как они утверждали, это было 10% украденных данных.

Также Maze опубликовала сведения о десятках компаний, юридических фирм, медицинских организаций и страховых компаний, которые не подчинились их требованиям. Предполагается, что большое количество других компаний избежали публикации своих конфиденциальных данных, выплачивая требуемый выкуп.

Другие киберпреступные группировки тоже стали придерживаться новой тактики и создали свои странички для публикации украденной информации для тех же целей. Злоумышленники, использующие Sodinokibi Ransomware (также известный как REvil), опубликовали подробности своих атак на 13 жертв, а также конфиденциальную информацию этих компаний. Последней жертвой была американская «Национальная ассоциация по борьбе с расстройствами пищевого поведения».

Сначала скриншоты с полученной информацией служат средством убедить жертв заплатить выкуп. Если оплата не была произведена вовремя, злоумышленники реализуют свою угрозу и выставляют конфиденциальную информацию в общий доступ.

Хакеры использует украденные данные как козыри: они знают, что за утечку информации компаниям, согласно законодательству GDPR, придется заплатить огромные штрафы. Например, в канун 2020 г. REvil начала атаку на компанию Travelex, получив 5 ГБ конфиденциальных данных о клиентах, включая даты рождения, информацию о кредитных картах и национальные номера страхования. Хакеры дали Travelex два дня, чтобы заплатить 6 млн. долл., после чего пообещали удвоить сумму выкупа и продать всю базу данных, если они не получат никакой оплаты в течение недели. Travelex пришлось отключиться от сети на три недели, чтобы оправиться от атаки.

Хакеры не могли пропустить атаки на мобильные устройства. Недавно вредоносная программа пыталась воспользоваться пандемией коронавируса, позиционируя себя как приложение для отслеживания заражения коронавирусом для устройств Android. Фактически приложение шифровало данные пользователей и угрожало выложить личную информацию из социальных сетей.

Maze также воспользовалась ситуацией с пандемией коронавируса. После критики за нападение на британскую медицинскую компанию, Maze объявила, что не будет атаковать медицинские учреждения, и предложила помощь и скидки для всех тех, кто ранее подвергся нападению шифровальщиков. Это не помешало им нападать на другие организации, такие как страховая компания Chubb.

По данным Check Point Research, сегодня главные цели подобных атак – больницы. Злоумышленники атаковали более 1000 медицинских организаций только в США с 2016 г. Согласно недавним подсчетам, расходы составили более 157 млн. долл. В 2017 г. десятки британских больниц пострадали от WannaCry, что привело к тысячам отмененных приемов и закрытию некоторых отделений экстренной помощи. В 2019 г. нескольким больницам США пришлось отказаться от приема пациентов после серии атак с использованием программ-вымогателей.

Лучшая защита – вообще не допустить возможности заражения. Эксперты Check Point ранее уже говорили о лучших способах защиты, напомним их:

1. Регулярно делайте резервное копирование ваших данных и файлов

Очень важно, чтобы вы регулярно создавали резервные копии важных файлов, предпочтительно используя облачное хранилище. Включите автоматическое резервное копирование, если это возможно.

2. Научите сотрудников распознавать потенциальные угрозы

Наиболее распространенными методами заражения, используемые в кампаниях с участием вымогателей, по-прежнему являются спам и фишинговые электронные письма. Очень часто грамотные пользователи могут предотвратить атаку, просто не открыв письмо или не загрузив вредоносное вложение. Обучите своих сотрудников базовым правилам кибергигиены и попросите сообщать службе безопасности о подозрительных письмах.

3. Ограничьте доступ к файлам

Чтобы минимизировать урон от успешной атаки вымогателей на вашу организацию, убедитесь, что сотрудники имеют доступ только к той информации, которая необходима им для выполнения их непосредственных обязанностей. Это значительно снижает вероятность того, что атака вымогателей распространится по всей вашей сети. Устранение последствий атаки вымогателей на однопользовательскую систему может быть проблематичным, но последствия сетевой атаки значительно хуже.

4. Постоянно обновляйте защитные решения

С точки зрения информационной безопасности, безусловно, полезно регулярно обновлять антивирусные и другие средства защиты на основе сигнатур. Но одних только защит на основе сигнатур недостаточно для обнаружения и предотвращения сложных атак с использованием программ-вымогателей: они предназначены для обхода традиционных средств защиты. Современные решения безопасности могут защитить вашу организацию от известных вредоносных программ, которые были обнаружены ранее и имеют распознанную подпись.

5. Внедряйте решения многоуровневой безопасности, включая передовые технологии предотвращения угроз

В дополнение к традиционным средствам защиты на основе сигнатур, таким как антивирус и IPS, организациям необходимо использовать дополнительные уровни для предотвращения новых неизвестных угроз, у которых нет известных сигнатур. Два ключевых компонента, которые следует использовать – извлечение угроз (очистка файлов) и эмуляция угроз (расширенная песочница). Каждый элемент обеспечивает отдельную защиту, которая при совместном использовании предлагает комплексное решение для защиты от неизвестных вредоносных программ на сетевом уровне и непосредственно на конечных устройствах.

Источник: ko.com.ua