Cyberprzestępcy wolą publikować poufne informacje online zamiast szyfrować dane

W takich kampaniach atakujący grożą nie tylko zaszyfrowaniem danych, ale również opublikowaniem poufnych informacji online. Trend ten został zaobserwowany przez badaczy z firmy Kaspersky podczas analizy dwóch wyróżniających się rodzin oprogramowania ransomware: Ragnar Locker oraz Egregor.

Ataki z wykorzystaniem oprogramowania ransomware należą do poważniejszych rodzajów zagrożeń, z jakimi mierzą się firmy. Mogą bowiem nie tylko zakłócić krytyczne operacje biznesowe, ale również spowodować ogromne straty finansowe, a w niektórych przypadkach nawet bankructwo na skutek grzywien i spraw sądowych za naruszenie przepisów i regulacji. Dla przykładu, straty finansowe poniesione w wyniku ataków WannaCry szacuje się na ponad 4 miliardy dolarów. Jednocześnie zmienia się sposób działania nowszych kampanii ransomware: cyberprzestępcy grożą teraz firmom upublicznieniem ich informacji.

Tę nową metodę wyłudzeń stosują dwie dobrze znane rodziny oprogramowania ransomware: Ragnar Locker oraz Egregor.

Ragnar Locker został po raz pierwszy wykryty w 2019 r., jednak dopiero w pierwszej połowie 2020 r., gdy zauważono jego ataki na duże organizacje, stał się powszechnie znany. Ataki są niezwykle ukierunkowane – każdy ściśle dostosowany do atakowanej ofiary – a w przypadku odmowy zapłaty okupu poufne dane zostają opublikowane w sekcji „Wall of Shame” na stronie cyberprzestępców. Jeśli ofiara czatuje z atakującymi, a następnie odmawia zapłaty, rozmowa ta również zostaje opublikowana. Główne cele stanowią firmy w Stanach Zjednoczonych z różnych branż. W lipcu br. Ragnar Locker „oznajmił”, że przyłączył się do kartelu Maze, co oznacza, że oba gangi będą odtąd dzielić się skradzionymi informacjami i współpracować. Maze stał się jedną z najbardziej osławionych rodzin oprogramowania ransomware w 2020 r.

Egregor jest aktywny znacznie krócej niż Ragnar Locker — po raz pierwszy wykryto go we wrześniu tego roku. Jednak wykorzystuje wiele tych samych taktyk i wykazuje podobieństwa do Maze pod względem kodu. Szkodnik jest dostarczany w wyniku włamania do sieci, a następnie daje ofierze 72 godziny na zapłacenie okupu, zanim skradzione informacje zostaną upublicznione. Jeśli ofiary odmawiają zapłaty, atakujący publikują na swojej stronie ich nazwy oraz odsyłacze umożliwiające pobranie poufnych danych danej organizacji.

Zasięg ataków Egregora jest znacznie większy niż w przypadku szkodnika Ragnar Locker. Atakuje on ofiary w Ameryce Północnej, Europie oraz częściach regionu Azji i Pacyfiku.

Obecnie obserwujemy wyłanianie się trendu Ransomware 2.0. To oznacza, że ataki stają się bardziej ukierunkowane i nie ograniczają się jedynie do szyfrowania. Zamiast tego proces wyłudzania obejmuje publikowanie poufnych danych online. W ten sposób firmy ryzykują nie tylko utratą reputacji, ale również narażają się na sprawy sądowe, jeśli opublikowane dane naruszają takie regulacje jak HIPAA czy RODO. Straty finansowe nie są już jedynym zmartwieniem – komentuje Dmitrij Bestużew, szef Globalnego Zespołu ds. Badań i Analiz firmy Kaspersky na obszar Ameryki Łacińskiej.

To oznacza, że organizacje powinny postrzegać zagrożenie ransomware jako coś więcej niż jeden z rodzajów szkodliwego oprogramowania. Często ransomware stanowi ostatni etap włamania do sieci. Zanim taki szkodnik zostanie dostarczony, przestępca przeprowadza wcześniej rekonesans sieci, identyfikuje poufne dane i pobiera je. Organizacje powinny zatem stosować szereg najlepszych praktyk w zakresie cyberbezpieczeństwa. Zidentyfikowanie ataku na wczesnym etapie, zanim włamywacze osiągną swój ostateczny cel, może pomóc zaoszczędzić mnóstwo pieniędzy – dodał Fiedor Sinicyn, badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Więcej na temat trendu Ransomware 2.0 znajduje się na stronie https://r.kaspersky.pl/WmMEd.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zabezpieczyć firmę przed omawianymi rodzajami atakami ransomware:

1. Jeśli nie jest to absolutnie konieczne, usługi pulpitu zdalnego (takie jak RDP) nie powinny być widoczne w sieciach publicznych i zawsze należy stosować dla nich silne hasła.
2. Zawsze aktualizuj oprogramowanie na wszystkich urządzeniach, z których korzystasz. Aby zapobiec wykorzystaniu luk w zabezpieczeniach przez oprogramowanie ransomware, stosuj narzędzia, które potrafią automatycznie wykrywać luki w zabezpieczeniach jak również pobierać i instalować poprawki.
3. Niezwłocznie instaluj dostępne poprawki dla komercyjnych rozwiązań VPN, które zapewniają dostęp do sieci zdalnym pracownikom i pełnią funkcję bram w sieci.
4. Zachowaj ostrożność wobec załączników e-mail czy wiadomości pochodzących od nieznanych osób. Jeśli masz jakiekolwiek wątpliwości, nie otwieraj ich.
5. Stosuj rozwiązania takie jak Kaspersky Endpoint Detection and Response w celu zidentyfikowania i powstrzymania ataku na wczesnym etapie, zanim atakujący osiągną swój cel.
6. Aby chronić środowisko korporacyjne, edukuj swoich pracowników. Pomocne w tym będą przygotowane w tym celu kursy szkoleniowe, takie jak Kaspersky Automated Security Awareness Platform.
7. Dla urządzeń osobistych stosuj niezawodne rozwiązanie bezpieczeństwa, takie jak Kaspersky Total Security, które zapewnia ochronę przed szkodliwym oprogramowaniem szyfrującym pliki i wycofuje zmiany dokonane przez szkodliwe aplikacje.
8. Firmom zaleca się wzmocnienie ochrony przy pomocy bezpłatnego narzędzia firmy Kaspersky, Anti-Ransomware Tool for Business. Jego uaktualniona wersja zawiera funkcję zapobiegania exploitom w celu uniemożliwienia oprogramowaniu ransomware oraz innym zagrożeniom wykorzystania luk w zabezpieczeniach oprogramowania oraz aplikacji. Może być również przydatna klientom, którzy korzystają z Windowsa 7: wraz z zakończeniem wsparcia dla tego systemu nowe luki w jego zabezpieczeniach nie będą łatane przez producenta.

W celu zapewnienia sobie wyższej ochrony stosuj rozwiązanie bezpieczeństwa punktów końcowych, takie jak Kaspersky Endpoint Security for Business, które oferuje zapobieganie exploitom, wykrywanie niebezpiecznego zachowania i technologię pozwalającą wycofywać szkodliwe działania w systemie.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.