През миналата година рансъмуер бандите са използвали тормоз 20 пъти по-често (снимка: CC0 Public Domain)
Бандите за рансъмуер стават все по-настоятелни и по-агресивни в подхода си към жертвите, прибягвайки до тактики на брутален натиск. Това включва кампании за целенасочен тормоз за изнудване на пари, включително и спрямо онези, които старателно поддържат резервни копия на своите данни.
Софтуерните изнудвания еволюираха в последните години, като прераснаха в нещо повече от криптиране на данните и искане на откуп. Сега тази еволюция е стигнала до крайност, сочи доклад на „Отдел 42 за реакция при инциденти и разузнаване на заплахи“ на Palo Alto Networks. Данните – които са извлечени само от случаи, разследвани от „Отдел 42“, така че в никакъв случай не са пълна или напълно точна картина на киберпейзажа – разкриват, че през миналата година рансъмуер бандите са използвали тормоз 20 пъти по-често, отколкото през 2021 г.
Обикновено тормозът е насочен към конкретно лице. Често това е човек с ръководна роля в организацията-жертва. Тормозът включва поредица от агресивни телефонни обаждания и електронни писма, с които бандитите се опитват да притиснат лицето да плати откупа. В други случаи атакуваният бива трета страна, например клиент или доставчик, и той бива притискан да окаже натиск върху целевата жертва. Подходът може да включва заплахи за разпространяване на информация за атаката в социалните медии или свързване с технологични журналисти.
Многопластови изнудвания
Тенденцията се явява допълнение към съществуващите многослойни техники за изнудване, които освен криптиране на файловете включват ексфилтрация на данни – наблюдавани при 70% от атаките миналата година, с 30% повече от 2021 г. – и разпределени атаки за отказ на услуга (DDoS) – наблюдавани в около 2% от инцидентите с рансъмуер. Тези похвати, наричани двойно и тройно изнудване, се утвърдиха от 2020 г. насам.
Групите за рансъмуер всячески се стараят да принудят жертвите си да платят пари, коментира Уенди Уитмор, старши вицепрезидент и ръководител на „Отдел 42“. „Тормозът има принос в един от всеки пет случая на рансъмуер, които разследвахме в последно време. Това показва колко далеч са готови да стигнат бандитските групи, за да принудят жертвата да плати. Мнозина стигат дотам, че използват информация за клиенти, която е била открадната, за да ги тормозят и да се опитват да принудят организацията да плати.“
Вече не е достатъчно да имаш бекъп
Изглежда резервните копия – отдавна смятани за крайъгълен камък на всяка прилична стратегия за предотвратяване на рансъмуер – вече не са ефективно средство за осигуряване на спокойствието, заключават изследователите на „Отдел 42“. В този си извод те се присъединяват към растящ брой специалисти, които намират, че т. нар. бекъп вече не е достатъчен за гарантиране на необезпокояваната работа на организациите.
Реално поддържането на актуални, офлайн и редовно тествани резервни копия остава жизненоважна предпазна мярка. Въпреки това техниките за двойно и тройно изнудване са станали толкова агресивни, че бандите за рансъмуер в крайна сметка успяват да принудят жертвите си да платят, дори ако данните са образцово архивирани и защитени, а прекъсването на работата е сведено до минимум.
Често, казват анализаторите, обикновената заплаха от публично разкриване на чувствителни данни, произтичащите от това щети за репутацията и загубата на доверието на потребителите, както и заплахата от глоби от регулаторите, са достатъчни „аргументи“, които принуждават жертвата да отстъпи.
Наблюденията на специалистите от „Отдел 42“ разказват за редица инциденти, при които жертвите първоначално са отказали да платят откуп, защото резервните им копия са били в добро състояние, но след това са били подложени на толкова интензивен тормоз, че произтичащите от него разходи са надхвърлили искания откуп.
Препоръки
„Отдел 42“ препоръчва на ръководителите по сигурността да подготвят подобрени инструкции за справяне с по-сложните и по-агресивни кампании за изнудване. Такъв наръчник трябва да включва създаването на цялостен план за реагиране при инциденти и съответните протоколи за комуникация при кризи, установяване на „командна верига“, в която трябва да участват заинтересованите страни, и е редно да се знае ясно кой какво има право да прави – например кой преговаря, кой е упълномощен да подписва плащане, ако се стигне дотам, и т.н.
Планът трябва да обхваща и инструкции какво трябва да правят служителите – или да избягват да правят – ако са подложени на тормоз по телефона или имейла. На персонала трябва да бъде направено обучение за рансъмуер-тормоз, за да бъдат по-добре подготвени хората и да знаят какво могат да очакват.
Изследователите казват още, че през следващите девет месеца вероятно ще станем свидетели на нарастване на изнудванията, свързано с вътрешни заплахи, политически мотивирани опити за изнудване и използване на рансъмуер за отвличане на вниманието от други атаки, насочени към компрометиране на веригата за доставки на жертвата. Екипът също така прогнозира, че в близко бъдеще ще се случи „голям пробив в сферата на облачния рансъмуер“.
С 2 думи българските колектори са прототипът на рансъмуер бандитите.
Постоянно ме атакуват от 3 години. Имах дори 6 месечна ДДОС атака. Отвратителни са!