Операторы-вымогатели теперь могут украсть ваши данные перед их шифрованием

Zeppelin Ransomware Steals Data Before Encryption

Ransomware снова и снова доказывает, что является одним из самых мощных средств в арсенале киберпреступников. Первоначально хакеры должны были создать собственное семейство вредоносных программ с шифрованием файлов, что не совсем прогулка в парке, но сейчас арендовать или загружать бесплатные штаммы просто. Большинство пользователей до сих пор не в полной мере осознают опасности, которые скрываются в каждом уголке интернета, что означает, что уровень заражения, как правило, довольно хороший, и тот же недостаток осведомленности означает, что многие не хранят регулярные резервные копии своих файлов, которые, в свою очередь, положительно влияет на баланс в криптовалютных кошельках мошенников.

Это проверенная и проверенная бизнес-модель, которая работает для многих. Это не значит, что угроза не развивается, хотя. На самом деле это далеко не так.

В прошлом вымогатели использовались в основном в рекламных кампаниях, предназначенных для домашних пользователей. Однако в последние месяцы киберпреступники осознали, что прибыль от попадания в крупные организации может быть больше, и фокус несколько сместился. Эксперты по кибербезопасности уже заметили другую, более тревожную тенденцию.

Zeppelin Ransomware крадет данные организаций, прежде чем шифровать их

В начале декабря исследователи Morphisec стали свидетелями нападения на их клиентов, работающих в сфере недвижимости. После более тщательного расследования они поняли, что хакеры пытаются заразить компанию с помощью вымогателя Zeppelin, последней версии семейства вымогателей как услуга VegaLocker. Злоумышленники использовали приложение для удаленного рабочего стола под названием ConnectWise Control (fka ScreenConnect), и в целом в цепочке заражения не было ничего необычного.

Исследователи заметили, однако, что, обнаружив себя на одном из серверов базы данных Windows жертвы, вымогатель попытался создать копию данных и затем отправить ее на сервер управления и контроля мошенников (C & C). После этого он попытался распространиться дальше по сети и, наконец, развернул модуль шифрования файлов.

Другими словами, вымогатель Zeppelin пытался украсть данные компании, прежде чем заблокировать их и удерживать для выкупа. По словам ZDNet Catalin Cimpanu, это далеко не единственный способ вымогателей использовать такую тактику. Он сказал, что злоумышленники, использующие образцы вымогателей Maze, REvil и Snatch, также участвовали в аналогичных действиях. Но почему они вдруг решили, что это хорошая идея?

Более надежный механизм восстановления

Если вы подумаете об этом, то для хакеров кража файлов перед их шифрованием и требование выкупа имеют большой смысл. Они действительно рискуют вызвать подозрения, пытаясь отфильтровать много данных, но вероятность быть пойманным обычно не так высока. И когда вы посмотрите на преимущества, которые дает дополнительный шаг, вы даже начнете удивляться, почему они не подумали об этом раньше.

В обычной атаке вымогателей, когда жертва решает заплатить выкуп, они отправляют биткойны на кошелек мошенников, а взамен ожидают программу, которая расшифровывает заблокированные файлы. В некоторых случаях мошенники просто берут деньги и бегают, но есть много операторов-вымогателей, которые действительно имеют намерение вернуть жертвам свои данные после получения оплаты. Им действительно нужно написать свои собственные расшифровщики, и, к сожалению, они иногда делают ошибки.

Мы слышали множество историй о людях, которые потеряли данные, несмотря на выплату выкупа из-за неисправного инструмента расшифровки. Пользователи - те, кто теряет деньги и данные, но влияние также отрицательно для мошенников, которые в конечном итоге не выглядят очень заслуживающими доверия и, следовательно, с меньшей вероятностью будут получать деньги от будущих жертв.

Однако, если у хакеров есть копия незашифрованных данных, они могут просто отправить их обратно жертвам после оплаты и убедиться, что все вернется в нормальное русло относительно безболезненно.

Имейте в виду, что если у жертвы есть резервная копия, все это будет бессмысленно. Если, конечно, хакеры не угрожают утечкой данных, если выкуп не будет выплачен.

Больше шантажных рычагов

Как мы уже упоминали, часто целью являются крупные организации. Хакеры не могут украсть праздничные фотографии или смущающих селфи у них, но они могут раскрыть коммерческие секреты и другую чрезвычайно ценную информацию. И когда атакованная компания заявляет, что не будет платить, потому что у нее есть резервные копии, мошенники могут легко угрожать ей утечкой всех конфиденциальных данных.

Согласно отчету ZDNet, операторы вымогателей уже использовали похищенные базы данных в качестве второго вымогателя, а мошенники, использующие вымогателей Maze, даже создали веб-сайт, на котором они перечисляют все компании, которые отказались выплачивать выкуп, и впоследствии их данные были раскрыты группа.

Надо сказать, что не все хакерские бригады способны отразить такую разрушительную атаку. Если они хотят украсть и зашифровать информацию от разных пользователей или компаний, им потребуется большая инфраструктура C & C, которая может быть дорогой в настройке и обслуживании. Однако те, кому удастся придумать правильную настройку, получат определенное преимущество.

December 19, 2019

Оставьте Ответ