15 maja 2020

Dwa okupy za jeden ransomware – nowa strategia cyberprzestępców

Przestępcy stojący za ransomware Ako zaczęli stosować nową technikę, polegającą na żądaniu w przypadku infekcji dwóch okupów: jednego za możliwość odszyfrowania plików, a drugiego za usunięcie danych skradzionych przez przestępców. Jak zwraca uwagę Kamil Sadkowski z ESET, to przejaw szerszego trendu związanego ze stale rosnącym zagrożeniem ze strony oprogramowania szyfrującego.

Coraz częściej grupy stojące za ransomware uciekają się nie tylko do szyfrowania danych na zainfekowanych komputerach, ale także do ich kradzieży i publikowania w Internecie w sytuacji, gdyby ofiara nie zapłaciła w terminie okupu. Jak donosi portal BleepingComputer, kolejną wariację tej strategii wprowadziła w swoich działaniach grupa stojąca za ransomwarem Ako, która zaczęła wymagać od części swoich ofiar dwóch okupów. Pierwszego za odzyskanie zaszyfrowanych danych oraz drugiego za usunięcie wykradzionych danych z dysków przestępców. Kwoty tego dodatkowego okupu sięgają od 100 tys. do nawet 2 milionów dolarów, natomiast ofiara sama może wybrać, czy chce zapłacić wyłącznie za możliwość odszyfrowania plików, za ich usunięcie czy za jedno i drugie.

Technika ta ma pomóc przestępcom w skuteczniejszym wyłudzaniu pieniędzy od dużych organizacji, które nie są gotowe podjąć ryzyka związanego z upublicznieniem skradzionych danych. Jak twierdzą przedstawiciele grupy stojącej za atakami, metoda ta jest stosowana jedynie wobec wybranych celów.

Jak zauważa Kamil Sadkowski, starszy analityk zagrożeń w ESET, coraz częstsze sięganie przez przestępców po groźbę opublikowania skradzionych danych wzbudza wśród ofiar o wiele większy postrach niż samo zaszyfrowanie plików.

- Zaszyfrowane pliki możemy odtworzyć, jeśli posiadamy aktualną kopię zapasową naszych danych. Publiczne ujawnienie poufnych informacji może prowadzić do znacznie poważniejszych szkód, np. wpadnięcia tajemnic przedsiębiorstwa w ręce konkurencji czy konsekwencjami na gruncie przepisów o ochronie danych osobowych takich jak RODO. Co gorsza, kiedy przestępcy wejdą już w posiadanie takich zasobów, ofiara jest w zasadzie bezradna i nie może przeszkodzić w ich publikacji.

Kamil Sadkowski z ESET.

Warto zauważyć, że Ako to nie jedyny ransomware, którego twórcy zdecydowali się na upublicznianie skradzionych danych. W podobny sposób funkcjonuje szereg innych grup, m.in. Maze, Sodinkobi i DopplePaymer.

Jak się chronić?

Choć ujawnienie skradzionych danych może wyrządzić organizacji olbrzymie szkody, Kamil Sadkowski przestrzega przed płaceniem przestępcom okupu.

- Nigdy nie mamy gwarancji, że po zapłaceniu okupu wykradzione dane zostaną usunięte. Może się okazać, że zamiast uchronić się przed ich publikacją w sieci, udowodnimy jedynie przestępcom, że stosowane przez nich metody są skuteczne, zachęcając ich do kolejnych ataków – ostrzega Kamil Sadkowski z ESET.

Zdaniem eksperta najlepszą ochroną przed ransomware jest przeciwdziałanie infekcji. Dbanie o regularne aktualizacje systemu, stosowanie skutecznego oprogramowania antywirusowego i szkolenie pracowników w zakresie zasad bezpiecznego korzystania z Internetu wystarczą, żeby uchronić się przed większością ataków. W przypadku większych firm przydatne może się okazać rozwiązanie klasy EDR, takie jak ESET Enterprise Inspector, które pozwoli wykryć potencjalny atak na jego wczesnym etapie i w porę na niego zareagować.

Autorem tekstu jest Arkadiusz Bała

Grzegorz Klocek

Grzegorz Klocek
senior product manager ESET

Masz pytania?
Skontaktuj się ze mną:
[email protected]
32 259 11 34