Operatorzy ransomware mogą teraz ukraść dane przed ich zaszyfrowaniem

Zeppelin Ransomware Steals Data Before Encryption

Ransomware wielokrotnie udowodnił, że jest jedną z najpotężniejszych broni w arsenale cyberprzestępców. Początkowo hakerzy musieli stworzyć własną rodzinę złośliwego oprogramowania szyfrującego pliki, co nie jest dokładnie spacerkiem po parku, ale obecnie wypożyczenie lub pobranie darmowych odmian jest łatwe. Większość użytkowników wciąż nie jest w pełni świadoma zagrożeń, które czają się w każdym zakątku Internetu, co oznacza, że wskaźniki infekcji są zwykle dość dobre, a ten sam brak świadomości oznacza, że wielu nie prowadzi regularnych kopii zapasowych swoich plików, które, z kolei ma pozytywny wpływ na saldo w portfelach kryptowalutowych oszustów.

Jest to wypróbowany i przetestowany model biznesowy, który sprawdził się u wielu osób. Nie oznacza to jednak, że zagrożenie nie ewoluuje. Wręcz przeciwnie, w rzeczywistości.

W przeszłości oprogramowanie ransomware było używane głównie w kampaniach opryskiwania i modlitwy skierowanych przede wszystkim do użytkowników domowych. Jednak w ostatnich miesiącach cyberprzestępcy zdali sobie sprawę, że zyski z uderzenia w duże organizacje mogą być większe, a uwaga nieco się zmieniła. Eksperci od cyberbezpieczeństwa dostrzegli teraz inny, bardziej niepokojący trend.

Oprogramowanie ransomware Zeppelin kradnie dane organizacji przed ich zaszyfrowaniem

Na początku grudnia badacze z Morphisec byli świadkami ataku na klienta pracującego w sektorze nieruchomości. Po bliższym zbadaniu okazało się, że hakerzy próbowali zainfekować firmę ransomware Zeppelin, najnowszą wersją rodziny ransomware VegaLocker jako usługi. Osoby atakujące wykorzystywały aplikację pulpitu zdalnego o nazwie ConnectWise Control (fka ScreenConnect) i ogólnie w łańcuchu infekcji nie było nic niezwykłego.

Naukowcy zauważyli jednak, że gdy znalazło się na jednym z serwerów bazy danych Windows ofiary, oprogramowanie ransomware próbowało utworzyć kopię danych, a następnie wysłać je na serwer oszustów Command & Control (C&C). Następnie próbował propagować dalej w sieci i ostatecznie wdrożył moduł szyfrowania plików.

Innymi słowy, oprogramowanie ransomware Zeppelin próbowało ukraść dane firmy, zanim je zablokowało i zatrzymało na okup. Według Catalin Cimpanu ZDNet, nie jest to jedyny szczep ransomware, który stosuje takie taktyki. Powiedział, że atakujący używający próbek ransomware Maze, REvil i Snatch również zaangażowali się w podobne działania. Ale dlaczego nagle zdecydowali, że to dobry pomysł?

Bardziej niezawodny mechanizm przywracania

Jeśli o tym pomyślisz, dla hakerów kradzież plików przed ich zaszyfrowaniem i zażądanie okupu ma sens. Rzeczywiście narażają się na ryzyko wzbudzenia podejrzeń przy próbie przefiltrowania dużej ilości danych, ale prawdopodobieństwo złapania zwykle nie jest tak duże. A kiedy spojrzysz na zalety, które przynosi ten dodatkowy krok, zaczniesz nawet zastanawiać się, dlaczego wcześniej o tym nie pomyśleli.

Podczas zwykłego ataku ransomware, gdy ofiara decyduje się zapłacić okup, wysyłają bitcoiny do portfela oszustów, aw zamian oczekują programu, który odszyfrowuje zablokowane pliki. W niektórych przypadkach oszuści po prostu biorą pieniądze i uciekają, ale jest wielu operatorów ransomware, którzy naprawdę chcą przekazać ofiarom swoje dane po otrzymaniu płatności. Muszą jednak pisać własne deszyfratory i niestety czasami popełniają błędy.

Słyszeliśmy wiele historii o ludziach, którzy stracili dane pomimo zapłacenia okupu z powodu wadliwego narzędzia deszyfrującego. Użytkownicy tracą pieniądze i dane, ale wpływ ten jest również negatywny dla oszustów, którzy nie wyglądają na bardzo godnych zaufania i dlatego są mniej skłonni do zapłaty przez przyszłe ofiary.

Jeśli hakerzy mają kopię niezaszyfrowanych danych, mogą po prostu odesłać je ofiarom po dokonaniu płatności i upewnić się, że wszystko wróci do normy stosunkowo bezboleśnie.

Pamiętaj, że jeśli ofiara ma kopię zapasową, wszystko to byłoby bezcelowe. Chyba że hakerzy grożą wyciekiem danych, jeśli okup nie zostanie zapłacony.

Większy efekt szantażu

Jak już wspomnieliśmy, często celami są duże organizacje. Hakerzy nie mogą kraść zdjęć z wakacji ani zawstydzających selfie, ale mogą wydobywać tajemnice handlowe i inne niezwykle cenne informacje. A kiedy zaatakowana firma mówi, że nie zapłaci, ponieważ ma kopie zapasowe, oszuści mogą łatwo zagrozić, że wyciekną wszystkie wrażliwe dane.

Według raportu ZDNet, operatorzy oprogramowania ransomware wykorzystali już skradzione bazy danych jako drugi punkt wymuszenia, a oszustowie korzystający z oprogramowania ransomware Maze stworzyli nawet stronę internetową, na której wymieniają wszystkie firmy, które odmówiły zapłaty okupu, a następnie ujawniły swoje dane Grupa.

Trzeba powiedzieć, że nie wszystkie załogi hakerskie są w stanie wykonać tak destrukcyjny atak. Jeśli chcą ukraść i zaszyfrować informacje od wielu różnych użytkowników lub firm, będą potrzebować dużej infrastruktury kontroli i kontroli, która może być kosztowna w konfiguracji i utrzymaniu. Jednak ci, którym uda się wymyślić prawidłową konfigurację, będą mieli wyraźną przewagę.

December 19, 2019

Zostaw odpowiedź