Ransomware grupe koje kradu vaše podatke ne brišu ih uvijek

Ransomware skupine koje kradu podatke tvrtke i zatim im se plaća otkupnina da ih izbrišu ne ispunjavaju uvijek svoje obećanje.

Broj slučajeva u kojima se ovako nešto dogodilo povećao se, navodi se u izvješću koje je objavio Coveware ovog tjedna i prema nekoliko incidenata koje su istraživači sigurnosti podijelili s istraživačima ZDNet-a u proteklih nekoliko mjeseca.

Ovi se incidenti događaju samo za određenu kategoriju napada ransomwarea — naime onih koje izvode "lovci na veliku divljač" ili skupine ransomwarea kojima "upravljaju ljudi".

Ova se dva izraza odnose na incidente u kojima skupina ransomwarea cilja na poduzeće ili vladu mreže, znajući da jednom zaražene te žrtve ne mogu priuštiti dugotrajne zastoje i vjerojatno će pristati na ogromne isplate.

No od jeseni 2019. sve više skupina ransomwarea počelo je krasti velike količine datoteka od hakiranih organizacija prije nego što su šifrirale datoteke žrtava.

Ideja je bila zaprijetiti žrtvi da objavi svoje osjetljive datoteke na mreži ako tvrtka želi vratiti svoju mrežu iz sigurnosnih kopija umjesto plaćanja ključa za dešifriranje za oporavak svojih datoteka.

Neke skupine ransomwarea čak su stvorile namjenske portale pod nazivom "mjesta curenja," gdje bi objavljivali podatke tvrtki koje nisu htjele platiti.

Ako hakirane tvrtke pristanu platiti ključ za dešifriranje, skupine ransomwarea također su obećale izbrisati podatke koje su ukrale.

U izvješće objavljeno ovog tjedna, Coveware, tvrtka koja pruža usluge odgovora na incidente hakiranim tvrtkama, rekla je da je polovica incidenata ransomwarea koje je istražila u trećem tromjesečju 2020. uključivala je krađu podataka tvrtke prije nego što su datoteke šifrirane, udvostručivši broj incidenata ransomwarea kojima je prethodila krađa podataka u prethodnoj godini četvrtina.

No Coveware kaže da su ove vrste napada dosegle "točku preokreta" i da se prijavljuje sve više incidenata u kojima bande ransomwarea ne ispunjavaju svoja obećanja.

Na primjer, Coveware je rekao da je vidio grupe koje koriste REvil (Sodinokibi) ransomware pristup žrtvama tjednima nakon što je žrtva platila traženje otkupnine i traženje druge isplate korištenjem obnovljenih prijetnji da se objave isti podaci za koje su žrtve tjednima mislile da su izbrisani prije.

Coveware je rekao da je također vidio da bande Netwalker (Mailto) i Mespinoza (Pysa) objavljuju ukradene podatke na svojim stranicama za curenje podataka čak i ako su tvrtke žrtve platile zahtjev za otkupninu. Sigurnosni istraživači rekli su za ZDNet da su ti incidenti najvjerojatnije uzrokovani tehničkim pogreškama u platforme ransomware bandi, ali to je i dalje značilo da ransomware bande nisu izbrisale podatke dok su obećao.

Nadalje, Coveware je također rekao da je primijetio da skupina Conti ransomware šalje žrtvama krivotvorene dokaze kao dokaz da su izbrisali podatke. Takve dokaze obično traži pravni tim žrtve, ali slanje krivotvorenih dokaza znači banda ransomware nikada nije namjeravala izbrisati podatke i najvjerojatnije ih je namjeravala ponovno upotrijebiti kasnije točka.

Povrh toga, Coveware je rekao da je također vidio kako banda ransomwarea Maze slučajno objavljuje ukradene podatke na svojim mjestima curenja, čak i prije nego što su obavijestili žrtve da su im ukrali datoteke.

To se također dogodilo s bandama Sekhmet i Egregor; za obje se smatra da su proizašle iz izvorne operacije Maze, rekao je Coveware.

Osim ovih, ZDNet je također saznao za dodatne incidente od drugih tvrtki koje pružaju usluge odgovora na incidente za napade ransomwarea.

Većina tih incidenata uključuje bandu Maze, pionira mjesta curenja ransomwarea i shemu dvostrukog iznuđivanja. Točnije, oni uključuju "povezane osobe", izraz koji opisuje kibernetičke kriminalce koji su kupili pristup platformi Maze ransomware-as-a-service (RaaS) i koristili Maze ransomware za šifriranje datoteka.

No dok neke podružnice igraju po pravilima, neke nisu. Bilo je slučajeva u kojima se bivši suradnik Mazea koji je izbačen iz programa Maze RaaS obratio te istim ukradenim podacima po drugi put pokušali iznuditi bivše žrtve, podatke koje su obećali izbrisati.

Također je bilo slučajeva u kojima su podružnice Mazea slučajno objavile ukradene podatke na mjestu curenja podataka Maze, čak i nakon uspješne isplate otkupnine. Podaci su na kraju uklonjeni, ali ne nakon što su objave na stranici Maze dobile stotine ili tisuće čitanja (i potencijalnih preuzimanja).

Stvari su se pogoršale tijekom godine za podružnice Mazea jer su antivirusne tvrtke počele otkrivati ​​korisni teret Mazea i blokirati enkripciju i zaustavljati napade.

U mnogim od tih slučajeva, podružnice Mazea morale su se zadovoljiti korištenjem samo podataka koje su uspjele ukrasti prije nego što je enkripcija blokirana i često su se morale zadovoljiti manjim isplatama otkupnine.

Tražeći nove putove zarade, u najmanje dva slučaja grupa Maze pokušala je prodati vjerodajnice i osobne podatke zaposlenika istraživačima sigurnosti koji su se predstavljali kao podzemni posrednici podataka.

Ovi primjeri potvrđuju ono što su mnogi istraživači sigurnosti već sumnjali — naime, da se bandama ransomwarea ne može vjerovati niti im se može vjerovati na riječ.

"Za razliku od pregovora o ključu za dešifriranje, pregovori o suzbijanju ukradenih podataka nemaju konačni kraj", napisao je Coveware u svom izvješću. "Jednom kada žrtva primi ključ za dešifriranje, on se ne može oduzeti i ne degradira s vremenom. S ukradenim podacima, akter prijetnje može se vratiti po drugu uplatu u bilo kojem trenutku u budućnosti."

Sigurnosna tvrtka sada preporučuje tvrtkama da nikad ne razmišljaju o brisanju svojih podataka i planiraju u skladu s tim, što obično uključuje obavještavanje svih pogođenih korisnika i zaposlenika.

Savjet je potrebno dati jer se neke tvrtke izgovaraju da su platile traženu otkupninu i da je skupina ransomwarea obećala da će izbrisati podatke kao ispriku da ne obavijeste svoje korisnike i zaposlenici.

Budući da mnogi dokumenti ukradeni u napadima ransomwarea sadrže osjetljive osobne i financijske podatke, ti dokumenti ako se preprodaju može biti vrlo korisno za niz lažnih operacija kojih klijenti ili zaposlenici žrtve tvrtke trebaju biti svjesni i pripremiti se za.