Tworzenie kopii zapasowej nie pomoże, gdy szantażyści opublikują skradzione dane

Twórcy oprogramowania ransomware wydają się podążać za nowym trendem, publikując dane należące do firm, które odmawiają im zapłaty okupu.

Do tej pory tworzenie kopii zapasowych danych było jedną z najbardziej skutecznych, choć pracochłonnych form ochrony przed szyfrującym oprogramowaniem ransomware. Teraz złoczyńcy znaleźli sposób również na takie przezorne osoby. Twórcy kilku programów ransomware udostępnili w internecie dane ofiar, które odmówiły zapłaty okupu.

Publikacja danych urzeczywistnia zagrożenia

Groźby upubliczniania informacji poufnych nie są niczym nowym. Sztuczki tej próbowała na przykład w 2016 roku grupa stojąca za programem szyfrującym, który zainfekował systemy Kolei Miejskiej w San Francisco. Nigdy jednak atakujący nie spełnili swoich gróźb.

Pierwszy był Maze

W przeciwieństwie do swoich poprzedników, grupa stojąca za ransomware Maze wywiązała się ze swoich zapowiedzi pod koniec 2019 roku — i to nie raz. W listopadzie, kiedy organizacja Allied Universal odmówiła zapłaty, przestępcy ujawnili w internecie 700 MB wewnętrznych danych tej firmy, w tym kontraktów, umów o wypowiedzenie, certyfikatów cyfrowych i innych. Szantażyści poinformowali, że opublikowali tylko 10% tego, co ukradli, i zagrozili ujawnieniem pozostałych danych, jeśli ofiara nie będzie współpracować.

W grudniu członkowie grupy Mae stworzyli stronę internetową i wykorzystali ją do publikowania nazw poszkodowanych firm, dat infekcji, ilości skradzionych danych oraz adresów IP i nazw zainfekowanych serwerów. Udostępnili również kilka dokumentów. Pod koniec miesiąca w internecie pojawiło się 2 GB plików, podobno skradzionych miastu Pensacola na Florydzie. Szantażyści opublikowali te informacje, aby udowodnić, że nie blefują.

W styczniu twórcy Maze opublikowali 9,5 GB danych należących do Medical Diagnostic Laboratories oraz 14,1 GB dokumentów od producenta okablowania Southwire, który wcześniej pozwał szantażystów za wyciek poufnych informacji. W efekcie strona Maze została zamknięta (ale pewnie nie na długo).

Następne były Sodinokibi, Nemty, BitPyLock

Pojawili się inni cyberprzestępcy, którzy poszli tym tropem. Grupa stojąca za ransomware Sodinokibi, które zostało użyte do ataku na międzynarodową firmę finansową Travelex w sylwestra, zapowiedziała na początku stycznia opublikowanie danych należących do klientów firmy. Cyberprzestępcy twierdzą, że mają więcej niż 5 GB informacji, w tym daty urodzenia, numery ubezpieczenia społecznego i dane kart bankowych.

Firma Travelex twierdzi, że nie zarejestrowała dowodów na wyciek, więc odmawia zapłaty. Tymczasem przestępcy poinformowali, że firma ta zgodziła się rozpocząć negocjacje.

11 stycznia ta sama grupa udostępniła na tablicy ogłoszeń hakerów linki do około 337 MB danych, z dopiskiem, że należą one do firmy rekrutacyjnej Artech Information Systems, która odmówiła zapłaty okupu. Przestępcy poinformowali, że przesłane dane stanowiły zaledwie ułamek tego, co ukradli; pozostałe dane zamierzają sprzedać, a nie opublikować, chyba że ofiary spełnią ich żądania.

Autorzy złośliwego oprogramowania Nemty jako kolejni ogłosili plany opublikowania poufnych danych osób, które nie zgodziły się na zapłatę. Powiedzieli, że zamierzają stworzyć blog, na którym będą etapami publikować wewnętrzne dokumenty ofiar, które nie spełnią ich wymagań.

Do trendu dołączyli operatorzy ransomware BitPyLock, dodając do swojej informacji o żądaniu okupu zapowiedź upublicznienia poufnych danych swoich ofiar. Jeszcze nie spełnili swojej groźby, ale trzeba pamiętać, że i oni mogą udowodnić kradzież danych.

Nie tylko ransomware

Zaawansowane funkcje dodane do programów ransomware nie są niczym nowym. Na przykład w 2016 r. jedna z wersji trojana Shade instalowała narzędzia administracji zdalnej, zamiast szyfrować plików, jeśli okazało się, że zaatakowany komputer służył do celów księgowych. CryptXXX zarówno zaszyfrował pliki, jak i ukradł bitcoiny oraz dane logowania ofiar. Grupa stojąca za RAA wyposażyła trojana Pony w próbkę złośliwego oprogramowania, którego celem również były loginy. Zdolność ransomware do kradzieży danych nie powinna nikogo zaskakiwać — zwłaszcza teraz, gdy firmy coraz częściej dostrzegają potrzebę tworzenia kopii zapasowych swoich danych.

Niepokojące jest to, że kopie zapasowe nie stanowią już ochrony przed takimi atakami. W przypadku infekcji straty mogą być nieuniknione i niekoniecznie będą ograniczać się do zapłacenia okupu (szantażyści nie dają żadnych gwarancji na to, że postąpią uczciwie). Jedynym sposobem ochrony jest takie zabezpieczenie systemów, aby nie przedostało się do nich złośliwe oprogramowanie.

Jak zapewnić sobie ochronę przed ransomware

Czy ten nowy trend ransomware okaże się skuteczny, to się okaże. Ataki te dopiero zaczynają nabierać rozpędu, więc warto pamiętać o ochronie. Stawką jest nie tylko unikanie uszczerbku na reputacji czy ujawnienia tajemnic handlowych — jeśli pozwolisz, aby dane osobowe klienta zostały skradzione, firma może zostać ukarana wysoką grzywną. Oto kilka naszych rad:

  • Zwiększ świadomość w kwestii bezpieczeństwa informacji. Im bardziej kompetentni będą pracownicy, tym mniejsze będzie prawdopodobieństwo, że padną ofiarą phishingu i innych technik socjotechnicznych. Możesz skorzystać z naszej platformy edukacyjnej Kaspersky Automated Security Awareness Platform, która została zaprojektowana z myślą o wszystkich pracownikach, bez względu na ich obciążenie pracą, zainteresowania czy dostęp do poufnych informacji.
  • Niezwłocznie aktualizuj systemy operacyjne i oprogramowanie — szczególnie wszystko, co zawiera luki w zabezpieczeniach, które umożliwiają uzyskanie nieautoryzowanego dostępu do systemu i przejęcie nad nim kontroli.
  • Używaj specjalistycznego rozwiązania ochronnego potrafiącego powstrzymywać ataki ransomware. Na przykład możesz bezpłatnie pobrać nasze narzędzie Kaspersky Anti-Ransomware Tool.
Porady