Еволюция на рансъмуера: атаките са все по-прецизни

Бизнес-организациите, станали жертви на рансъмуер, плащат по-високи откупи от всякога
(снимка: CC0 Public Domain)

Стряскаща и смайваща е еволюцията на рансъмуер атаките през последните месеци. Изнудванията стават все по-префинени, по-прецизни, по-безскупулни и с по-широкообхватни последици.

Трактори на прицел

Производителят на селскостопанска техника AGCO съобщи в петък, че рансъмуер атака е засегнала дейностите в някои от производствените му съоръжения. Вследствие на това дилърите казаха, че продажбите на трактори са временно спрени. Това се случва именно в настоящия момент – решаващо време за засаждането на новите насаждения в почти всички сектори на земеделието.

Производителят посочи, че очаква работата в някои заводи да бъде засегната за „няколко дена и потенциално повече”. Всичко това идва на фона на осезаемите смущения във веригите на доставки, които тормозят производители на всякакъв вид техника навсякъде по света.

AGCO не разкри кои заводи са засегнати и дали има откраднати данни. Фирмата посочи, че все още проучва обхвата на атаката, възникнала в четвъртък, и работи за възстановяването на системите си.

Със сигурност една от засегнатите системи е сайтът на фирмата, където се правят поръчки за закупуване на трактори и на части за тях. Дилърите са засипани със заявки, с които не знаят как ще се справят. В писмо до тях, за което съобщи Ройтерс, компанията е съобщила, че ще „приоритизира” най-критичните за бизнеса системи.

REvil подновява дейност

Миналата година рансъмуер бандата REvil бе разбита, но скоро след този случай експерти съобщиха, че „старата инфраструктура на REvil” е започнала да работи отново. Вместо да показват старите уебсайтове, системата пренасочваше посетителите към URL адреси за нова, неназована организация за рансъмуер.

Това накара мнозина специалисти по киберсигурност да предполагат, че REvil вероятно работи отново. Подсказка за това беше фактът, че някои от новите елементи съдържаха смесица от нови жертви и данни, откраднати по време на предишни атаки на REvil.

Преди броени дни обаче експерти по киберсигурност съобщиха, че са анализирали „извадка от криптора на новата организация за рансъмуер… и това потвърждава връзките на новата организация с REvil”. Изследователи от множество лаборатории казват, че новия рансъмуер е компилиран от изходния код от предишните оръжия на групата.

Фалшив Windows ъпдейт

Софтуерът за киберизнудване и искане на откуп Magniber пък се разпространява под формата на фалшив Windows ъпдейт, предупредиха изследователи. Кампанията е започнала в последните дни на април. Инфекцията е насочена към потребители по целия свят.

Изглежда тактиката на нападателите е хитра: мнозина потребители знаят, че добрата киберсигурност зависи от наличието на най-новите актуализации на популярната операционна система – доставчиците на системи за виртуална защита също често напомнят това. Е, новата рансъмуер атака е добре маскирана като това, което потребителите мислят за важна мярка за собствената си безопасност.

Дори и хора с добра дигитална грамотност могат да се подведат, тъй като имената на актуализациите звучат съвсем достоверно – с известни различния наименованията се въртят около думите „system”, „upgrade”, „Win10.0”. Според някои лаборатории, акцията е започнала още на 8 април 2022 г. и оттогава се радва на масово разпространение по целия свят. Въпреки че не е 100% ясно как се популяризират фалшивите ъпгрейди на Windows 10, изтеглянията се разпространяват от сайтове за фалшиви изделия и кракове.

За досегашните жертви се знае, че повечето искания за откуп са били в размер на приблизително 2500 долара или 0,068 биткойна.

Все по-висока цена

Бизнес-организациите, станали жертви на рансъмуер, плащат по-високи откупи от всякога, съобщиха пък други изследователи. Според анализ на учените в лабораториите на Sophos, средното плащане на откуп, извършено от жертвите, за да получат ключ за декриптиране се е увеличило до $812 260 – почти пет пъти повече в сравнение с средната стойност за 2020 г., която беше около $170 000.

Делът на жертвите, които плащат откуп от над 1 милион долара, също се е увеличил значително, от 4% през 2020 г. до 11% през 2021 г. – което означава, че една на всеки десет успешни атаки осигурява на киберпрестъпниците заплата в размер на милиони долари.

Според анализа на Sophos, малко под половината от жертвите на ransomware плащат откупа, възприемайки го като най-бързия начин за възстановяване на мрежата си.

Коментар