Хакеры в I квартале этого года освоили новую тактику вымогательства, гораздо более опасную, чем предыдущие, сообщают эксперты Check Point. Теперь киберпреступники добавляют дополнительный этап в свою атаку: перед шифрованием баз данных жертвы злоумышленники извлекают большие объемы коммерческой информации и угрожают опубликовать ее, если не будет заплачен выкуп.
Подобный случай зафиксирован экспертами компании по обеспечению безопасности Allied Universal еще в ноябре прошлого года, когда жертвы отказались выплачивать выкуп в размере 300 биткоинов (примерно $2,3 миллиона). Злоумышленники пообещали использовать конфиденциальную информацию, а также украденные сертификаты электронной почты и доменных имен для проведения спам-кампании от лица Allied Universal.
Чтобы доказать свои намерения, злоумышленники опубликовали образец украденных файлов: среди них были контракты, медицинские записи, сертификаты шифрования и многое другое.
Другие киберпреступные группировки тоже стали придерживаться новой тактики и создали свои странички для публикации украденной информации для тех же целей.
Злоумышленники, использующие вирус-шифровальщик SodinokibiRansomware (также известный как REvil), опубликовали подробности своих атак на 13 жертв, а также конфиденциальную информацию этих компаний. Последней жертвой была американская Национальная ассоциация по борьбе с расстройствами пищевого поведения.
Сначала скриншоты с полученной информацией служат средством убедить жертв заплатить выкуп. Если оплата не была произведена вовремя, злоумышленники реализуют свою угрозу и выставляют конфиденциальную информацию в общий доступ.
Хакеры использует украденные данные как козыри: они знают, что за утечку информации компаниям, согласно законодательству GDPR, придется заплатить огромные штрафы. Например, в канун 2020 года у компании Travelex были украдены 5 ГБ конфиденциальных данных о клиентах, включая даты рождения, информацию о кредитных картах и национальные номера страхования.
Хакеры дали Travelex два дня, чтобы заплатить $6 миллионов, после чего пообещали удвоить сумму выкупа и продать всю базу данных, если они не получат никакой оплаты в течение недели. Travelex пришлось отключиться от сети на три недели, чтобы оправиться от атаки.
Злоумышленники стали атаковать и мобильные устройства. Недавно вирус маскировался под приложение для отслеживания заражения коронавирусом для устройств Android. Фактически приложение шифровало данные пользователей и угрожало выложить личную информацию из социальных сетей.
Эксперты Check Point сообщают, что главные цели подобных атак –– больницы. Особенно сейчас, учитывая их работу с коронавирусными больными. Злоумышленники атаковали более 1 тысячи медицинских организаций только в США с 2016 года. Согласно недавним подсчетам расходы составили более $157 миллионов. В 2017 году десятки британских больниц пострадали от WannaCry, что привело к тысячам отмененных приемов и закрытию некоторых отделений экстренной помощи. В 2019 году нескольким больницам США пришлось отказаться от приема пациентов после серии атак с использованием программ-вымогателей.
Эксперты Check Point советуют регулярно делать резервное копирование данных и файлов, предпочтительно используя облачное хранилище. Наиболее распространенными методами заражения, используемыми в кампаниях с участием вымогателей, по-прежнему являются спам и фишинговые электронные письма. Очень часто грамотные пользователи могут предотвратить атаку, просто не открыв письмо или не загрузив вредоносное вложение. Поэтому важно обучить сотрудников базовым правилам кибергигиены и попросите сообщать службе безопасности о подозрительных письмах.
Чтобы минимизировать урон от успешной атаки вымогателей на организацию, можно ввести контроль доступа для разных категорий сотрудников. Это значительно снижает вероятность того, что атака вымогателей распространится по всей сети.
С точки зрения информационной безопасности, безусловно, полезно регулярно обновлять антивирусные и другие средства защиты на основе сигнатур.
В дополнение к традиционным средствам защиты на основе сигнатур, таким как антивирус и IPS, организациям необходимо использовать дополнительные уровни для предотвращения новых неизвестных угроз, у которых нет известных сигнатур. Два ключевых компонента, которые следует использовать, –– извлечение угроз (очистка файлов) и эмуляция угроз (расширенная песочница). Каждый элемент обеспечивает отдельную защиту, которая при совместном использовании предлагает комплексное решение для защиты от неизвестных вредоносных программ на сетевом уровне и непосредственно на конечных устройствах.