Ransomware-operatörer kan nu stjäla dina data innan de krypteras

Zeppelin Ransomware Steals Data Before Encryption

Ransomware har bevisat gång på gång att vara ett av de mest kraftfulla vapnen i cyberkriminals arsenal. Ursprungligen skulle hackare behöva skapa sin egen familj av filkrypterande skadlig programvara, vilket inte är en promenad i parken, men just nu är det enkelt att hyra eller ladda ner stammar som är fria att använda. De flesta användare är fortfarande inte helt medvetna om farorna som lurar runt varje hörn på internet, vilket innebär att infektionshastigheterna vanligtvis är ganska bra, och samma brist på medvetenhet innebär att många inte håller regelbundna säkerhetskopior av sina filer som, i sin tur har en positiv effekt på balansen i skurkarnas cryptocurrency plånböcker.

Det är en beprövad affärsmodell som har fungerat för många. Detta betyder dock inte att hotet inte utvecklas. Långt ifrån, faktiskt.

Tidigare användes ransomware mestadels i spray-and-be-kampanjer främst riktade till hemmabrukare. Under de senaste månaderna har dock cyberbrottslingarna insett att vinsterna från att slå stora organisationer kan bli större och fokusen har förskjutits något. Cybersecurity-experter har nu sett en annan, mer oroande trend.

Zeppelin ransomware stjäl organisationens data innan de krypteras

I början av december bevittnade Morphisec-forskare en attack mot en kund som arbetade inom fastighetssektorn. Efter en närmare undersökning insåg de att hackarna försökte smitta företaget med ransomware Zeppelin, den senaste versionen av VegaLocker-ransomware-as-a-service-familjen. Angriparna utnyttjade ett fjärrskrivbordsprogram med namnet ConnectWise Control (fka ScreenConnect), och i allmänhet var det inget för ovanligt med infektionskedjan.

Forskarna märkte emellertid att när den befann sig på en av offrets Windows-databaseservrar försökte ransomware skapa en kopia av data och sedan skicka den till skurkarnas Command & Control (C&C) -server. Efter det försökte den sprida sig längre ner i nätverket och distribuerade slutligen filkrypteringsmodulen.

Med andra ord, Zeppelin ransomware försökte stjäla företagets data innan de låstes och höll dem för lösning. Enligt ZDNets Catalin Cimpanu är detta långt ifrån den enda ransomware-ansträngningen som använder sådana taktiker. Han sa att angripare som använde Maze, REvil och Snatch ransomware-prover också har varit engagerade i liknande aktiviteter. Men varför har de plötsligt beslutat att det här är en bra idé?

En mer pålitlig återställningsmekanism

Om du tänker på det, för hackare, är det mycket meningsfullt att stjäla filerna innan du krypterar dem och kräver lösen. De riskerar verkligen att väcka misstänksamhet medan de försöker expilera en hel del data, men sannolikheten för att komma i kontakt är vanligtvis inte så hög. Och när du tittar på fördelarna med det ytterligare steget kommer du till och med att undra varför de inte tänkte på det tidigare.

När offret bestämmer sig för att betala lösen, skickar de i en regelbunden ransomware-attack bitcoins till skurkens plånbok, och i gengäld förväntar de sig ett program som dekrypterar de låsta filerna. I vissa fall tar skurkarna bara pengarna och springer, men det finns många ransomware-operatörer som verkligen har för avsikt att ge offren sina uppgifter när de har fått betalningen. De behöver dock skriva sina egna dekrypterare, och tyvärr gör de ibland misstag.

Vi har hört många historier om människor som har tappat data trots att de betalat lösen på grund av ett felaktigt dekrypteringsverktyg. Användarna är de som förlorar pengar och data, men effekterna är också negativa för skurkarna, som inte slutar vara mycket pålitliga och därför är mindre benägna att få betalt av framtida offer.

Om hackarna har en kopia av de okrypterade uppgifterna, kan de dock helt enkelt skicka tillbaka dem till offren efter betalningen och se till att saker och ting går tillbaka till det normala relativt smärtfritt.

Tänk på att om offret har en säkerhetskopia skulle allt detta vara meningslöst. Om inte hackarna naturligtvis hotar att läcka uppgifterna om lösen inte betalas.

Mer utpressning

Som vi redan nämnde är målen ofta stora organisationer. Hackare kan inte stjäla semesterfoton eller pinsamma selfier från dem, men de kan utfiltrera affärshemligheter och annan extremt värdefull information. Och när det angripna företaget säger att det inte kommer att betala eftersom det har säkerhetskopieringar, kan skurkarna lätt hota att det läcker all känslig information.

Enligt ZDNets rapport har ransomware-operatörer redan använt de stulna databaserna som en andra utpressningspunkt, och skurkarna som kör Maze-ransomware har till och med skapat en webbplats där de listar alla företag som vägrade att betala lösen och därefter hade deras data exponerats av gruppen.

Det måste sägas att inte alla hackande besättningar kan dra av en sådan destruktiv attack. Om de vill stjäla och kryptera information från många olika användare eller företag, kommer de att behöva en stor C & C-infrastruktur som kan vara dyr att installera och underhålla. De som lyckas komma med rätt installation kommer dock att ha en klar fördel.

December 19, 2019

Lämna ett svar