Pierwsze kilka linijek brzmi jak typowy komunikat prasowy dotyczący wprowadzenia produktu na rynek: „Stworzyliśmy Darkside, ponieważ nie mogliśmy znaleźć dla nas idealnego produktu. Teraz to mamy. Nie jest to jednak typowy komunikat prasowy dotyczący Twojej firmy: jest to grupa cyberprzestępców, którzy stworzyli najnowszą odmianę oprogramowania ransomware zaprojektowanego w celu ścigania i atakowania dużych organizacji zajmujących się grami na miliony osób. Zamiast jednak zajmować się zaułkami i dźgać przestępców, ci oszuści praktycznie noszą garnitur i ściskają dłoń, przeprowadzając ataki, które są opakowane w zaskakująco profesjonalny sposób. Włamują się do Twoich systemów, kradną i szyfrują Twoje pliki, blokują Cię, a następnie grożą publicznym ujawnieniem Twoich wrażliwych danych, jeśli nie zapłacisz opłaty za oprogramowanie ransomware. Podobnie jak typowy atak ransomware, z tą różnicą, że ci przestępcy będą miło traktowali negocjatora, z uśmiechem na twarzy i pomocną, chętną postawą. Oferują wsparcie na czacie w czasie rzeczywistym, gwarantowane czasy reakcji i rabaty, jeśli płatność zostanie otrzymana w odpowiednim czasie. Darkside przyjęło nawet zobowiązanie dotyczące odpowiedzialności korporacyjnej: obiecuje nie kierować reklam do szkół, organizacji non-profit, rządów ani szpitali, a jedynie do tych, o których wiadomo, że są w stanie zapłacić na podstawie ich wartości netto. Darkside nie jest jedynym oprogramowaniem ransomware, które ostatnio pojawiło się na pierwszych stronach gazet ze względu na swoje przyjazne zachowanie. Hakerzy ransomware Ragnar Locker z powodzeniem zaatakowali firmę turystyczną CWT, a dość miły przedstawiciel kryminalny rozmawiał z zespołem finansowym firmy w oknie czatu pomocy technicznej. Zaoferowali 20% rabatu za szybką płatność, opisali, co będzie oferować zapłata okupu i utrzymali działanie okna pomocy technicznej po przekazaniu kluczy deszyfrujących na wypadek, gdyby firma potrzebowała rozwiązywania problemów. Można niemal uwierzyć, że kupujesz legalne oprogramowanie w Internecie, bez desperackich prób odzyskania wrażliwych danych własnej organizacji przed ich upublicznieniem. Jednak, jak zauważył Ragnar Locker, radzenie sobie z tymi przyjaznymi przestępcami jest „...prawdopodobnie znacznie tańsze niż koszty prawne i utrata reputacji spowodowane wyciekiem. A to problem, który dopiero się zaczyna: firma Ontrack ujawniła teraz, że istnieją w ciągu ostatnich 12 miesięcy doszło do większej liczby ataków oprogramowania ransomware niż kiedykolwiek wcześniej.
Dlaczego ataki ransomware zyskują na popularności?
W świecie cyberprzestępczości oprogramowanie ransomware jest teraz tam, gdzie są pieniądze. Ten rodzaj ataku przynosi natychmiastowe zyski, ponieważ cyberprzestępca nie musi zarabiać na danych poprzez sprzedaż i aukcje w ciemnej sieci, ale może natychmiast zarobić pieniądze dzięki transakcjom Bitcoin. Oprogramowanie ransomware przekształciło się z prostych cyberprzestępców rozprzestrzeniających wiadomości e-mail phishingowe, które obecnie są często wykrywane przez filtry spamu, w gangi cyberprzestępców różnych specjalizacji współpracujących w celu przeprowadzania wyrafinowanych kampanii phishingu typu spear i ataków na cyberprzestępców. infrastruktura. Najnowsze warianty oprogramowania ransomware wykorzystują luki w zabezpieczeniach punktów końcowych VPN, a w niektórych przypadkach cyberprzestępcy oferują potencjalnym klientom ataki ransomware jako usługę. Problem z oprogramowaniem ransomware polega na tym, że organizacje mają bardzo niewiele dostępnych opcji, jeśli krytyczne dane zostały zaszyfrowane i umieszczone poza zasięgiem, dlatego jest to tak skuteczne. Kluczowym elementem ataku jest zrozumienie, jak długo organizacja może przetrwać bez dostępu do swoich danych i ile czasu potrzebuje na przywrócenie danych, aby móc normalnie funkcjonować. W przypadku ukierunkowanego ataku cyberprzestępcy zbadają i odkryją, jakie według nich są słabe punkty organizacji. Daje to organizacjom ograniczone możliwości odbudowy i przywracania danych, prób pracy bez danych (co może być niezwykle trudne) lub zapłacenia okupu. W rzadkich przypadkach możliwe jest odzyskanie danych za pomocą narzędzi takich jak No More Ransom Interpolu. Atakujący chcą, aby płatność została dokonana tak szybko, jak to możliwe, zanim będzie można odbudować systemy. Oznacza to, że wdrażane są nowe taktyki polegające na wywieraniu dodatkowej presji na szereg rosnących zagrożeń; publikowanie nazwisk ofiar, grożenie ujawnieniem danych zarówno prywatnie, jak i publicznie oraz publikowanie wyekstrahowanych danych. Powoduje to jeszcze większy ból głowy dla organizacji, ponieważ jeśli dane zawierają informacje osobiste, wrażliwe lub cenne, groźba ujawnienia danych może prowadzić do problemów z regulatorami, takimi jak ICO, potencjalnymi problemami. z pozwami zbiorowymi lub karami finansowymi nałożonymi przez branżę płatniczą. Jeśli organizacja powołuje się na tajemnicę handlową, może to spowodować duże problemy, jeśli zostanie udostępniona publicznie. Dlatego też potencjalna szkoda dla organizacji lub wysokie kary wynikające z naruszenia mogą spowodować, że organizacja zostanie przekonana do zapłaty za ukrycie incydentu.Jak wcześnie wykryć atak ransomware?
Tego typu ataki polegają na tym, że osoba atakująca instaluje się w systemie za pomocą socjotechniki lub ataku sieciowego, zwykle poprzez słabości VPN lub RDP. Osoba atakująca przeprowadzi następnie rekonesans, wybierze cele, eksfiltruje dane, aktywuje oprogramowanie ransomware, a następnie monitoruje reakcje. Bardzo często pierwszą oznaką ataku ransomware jest żądanie ransomware pojawiające się w systemach, gdy użytkownicy próbują uzyskać do niego dostęp. Jednak w przypadku ransomware następuje proces, w wyniku którego można dostrzec pierwsze znaki ostrzegawcze świadczące o tajnej podróży atakującego:- Jeśli cyberprzestępca wykorzystuje luki w zabezpieczeniach VPN i RDP, może sprawdzić oznaki ataku za pomocą dzienników i alertów IDS/IPS.
- Możliwe jest zidentyfikowanie ataku poprzez ruch wychodzący, który jest kierowany do podejrzanego serwera dowodzenia i kontroli; zablokowanie go może być przejściem na złośliwe oprogramowanie, ale nie we wszystkich przypadkach.
- Sprawdź, czy na maszynach w Twojej organizacji są zainstalowane dodatkowe narzędzia.
- Możesz rozpocząć tworzenie nowych kont administratorów.
- Uważaj na nietypowy ruch w swoich sieciach.
- Po rozpoczęciu szyfrowania mogą wystąpić skoki zużycia procesora i dysku.