Oprogramowanie ransomware jest jednym z najczęstszych rodzajów cyberzagrożeń, kierowanie firma co 14 sekund i kosztowała 11,5 miliarda dolarów w samym 2019 roku. Zazwyczaj hakerzy, którzy przeprowadzają te ataki, włamują się do systemu w celu kradzieży danych i usunięcia ich, jeśli ofiara nie zapłaci okupu.
Jednak chcąc podnieść stawkę i zarobić jeszcze więcej pieniędzy na ransomware, cyberprzestępcy coraz częściej stosują taktykę, która staje się znana jako podwójne wymuszenie, dzięki czemu nie tylko szyfrują dane i żądają okupu od ofiary w celu odzyskania dostępu, ale także grożą przesłaniem ich online, jeśli ich warunki nie zostaną spełnione.
Pojawienie się oprogramowania ransomware podwójnego wymuszenia pokazuje, że cyberprzestępcy stale poszerzają swój arsenał. Paolo Passeri, dyrektor ds. Cyber inteligencji w firmie programistycznej Sieci, twierdzi, że ataki te stały się popularne, ponieważ są dla hakerów najprostszym sposobem na osiągnięcie zysku.
Passeri mówi: „W przypadku podwójnych ataków wymuszających, nawet jeśli dostępna jest kopia zapasowa, napastnicy mogą wywierać większą presję na ofiarę, aby zapłaciła okup. Zwiększona presja wynika z potencjalnych poważnych konsekwencji wycieku danych, na przykład szkód gospodarczych i utraty reputacji. Grupy takie jak REvil [aka Sodinokibi] są jeszcze bardziej kreatywni – nie tylko ujawniają dane, ale zarabiają na nich sprzedając go na aukcji w ciemnej sieci i jeszcze bardziej naciskają na swoje ofiary ”.
Podczas przeprowadzania ataku typu ransomware z podwójnym wymuszeniem hakerzy zaczynają spędzać więcej czasu nad nadrzędną strategią. Passeri ostrzega, że oszuści nie stosują już oportunistycznego podejścia, ale ostrożnie wybierają cel i metodę ataku, aby zwiększyć pieniądze, które zarabiają na okupach. Wyjaśnia, że „aktorzy zagrożeń wybierają swoje ofiary, wybierając organizacje, na których biznes może mieć wpływ wyciek danych”.
Chociaż głównym sposobem jest phishing typu spear do dystrybucji oprogramowania wymuszającego podwójne wymuszenie, Passeri twierdzi, że cyberprzestępcy wykorzystują również luki w zabezpieczeniach urządzeń lokalnych, takich jak koncentratory VPN. „W ciągu ostatnich miesięcy (i jest to ciągły trend), prawie wszystkie główne technologie VPN miały poważne luki w zabezpieczeniach, które były wykorzystywane do podobnych ataków” – mówi.
„Jest to niefortunne, biorąc pod uwagę obecną sytuację wymuszonej pracy z domu, gdzie te starsze technologie zdalnego dostępu odgrywają kluczową rolę w zapewnianiu ciągłości biznesowej podczas Covid-19. Systemy te są bezpośrednio narażone na działanie Internetu, więc hakerzy mogą je przeskanować, a następnie wykorzystać każdą odkrytą lukę ”.
Jakub Kroustek, szef systemów wywiadu zagrożeń przy ul Avast, zgadza się, że oprogramowanie ransomware do podwójnych wymuszeń daje cyberprzestępcom więcej możliwości, umożliwiając im dwukrotne wyłudzenie ofiar. „Mogą zażądać opłaty wstępnej za odszyfrowanie plików i drugiej opłaty za ich upublicznienie” – mówi Kroustek.
„Ta technika, znany również jako doxing, był używany przez coraz większą liczbę grup oprogramowania ransomware w ciągu ostatniego roku. Konsekwencje doxingu są bardziej dotkliwe dla ofiary, więc często podporządkowują się żądaniom. Oznacza to więcej pieniędzy w kieszeniach cyberprzestępców na finansowanie nowych odmian oprogramowania ransomware i wspieranie innej działalności przestępczej ”.
Udoskonalenia w zakresie złośliwego oprogramowania i zachęty finansowe dla hakerów doprowadziły do wzrostu liczby ataków podwójnego wymuszenia Comparitech rzecznik prywatności Paul Bischoff. Mówi Computer Weekly: „W przeszłości ransomware zaszyfrowało pliki i hakerzy ukradli dane, ale rzadko robili jedno i drugie.
„Teraz mamy boty, które mogą przeskanować sieć w poszukiwaniu niezabezpieczonych danych, ukraść je, zaszyfrować lub usunąć i zostawić właścicielowi okup, a wszystko to w ramach jednego automatycznego ataku. Haker może następnie zebrać okup za dane i sprzedać je innym przestępcom, podwajając je przy minimalnym wysiłku ”.
Agresywna taktyka
W ciągu ostatniego roku nastąpił napływ ataków typu ransomware z podwójnym wymuszeniem. John Chambers, dyrektor działu IT, komunikacji, miejsca pracy, procesów biznesowych i usług aplikacyjnych w firmie elektronicznej Ricoh UK, twierdzi, że zyskały na popularności pod koniec 2019 r., kiedy głośne grupy hakerskie, takie jak Maze, zaczęły „agresywnie” wykorzystanie tej taktyki.
„W takich przypadkach osoba atakująca wydobyłaby kopię danych przed ich zaszyfrowaniem” – mówi. „W ten sposób napastnik nie tylko uniemożliwia ofierze dostęp do swoich danych, ale także zachowuje kopię danych dla siebie.
„Aby przejąć odpowiedzialność i wywrzeć presję na ofierze w trakcie negocjacji, napastnik często udostępniał niewielkie porcje danych w Internecie. Gdyby negocjacje utknęły w martwym punkcie lub się nie powiodły, osoba atakująca opublikowałaby wszystkie wyeksfiltrowane dane lub sprzedała je stronom trzecim, powodując poważne naruszenie danych ofiary. ”
Aby chronić się przed tymi atakami, firmy powinny podjąć szereg różnych kroków. „Poza zwykłymi najlepszymi praktykami w zakresie cyberbezpieczeństwa, w tym utrzymywaniem pełnej aktualności systemów poprzez stosowanie poprawek w celu zapewnienia usunięcia znanych luk, konieczne jest, aby organizacje wielowarstwowe podejście do bezpieczeństwa w tym przyjrzenie się narzędziom zapobiegającym utracie danych, aby powstrzymać eksfiltrację danych, która inicjuje te podwójne ataki wymuszeń ”- mówi Chambers.
Ale co mogą zrobić organizacje, jeśli nie są w stanie skutecznie złagodzić jednego z tych ataków? Chambers wyjaśnia: „Aby stawić czoła epidemii ransomware, organizacje powinny starać się uwzględnić ostatnią linię obrony, która natychmiast izoluje i zatrzymuje trwające nielegalne szyfrowanie w przypadku naruszenia lub ominięcia tradycyjnych zabezpieczeń opartych na zapobieganiu. Solidne procesy tworzenia kopii zapasowych w tym kopie offline należy również wziąć pod uwagę, aby utrudnić przestępcom szyfrowanie lub wyłączanie krytycznych magazynów danych ”.
Straszne konsekwencje
Jeśli organizacja staje się ofiarą ataku ransomware podwójnego wymuszenia, często ma to ogromne konsekwencje. Julian Hayes, wspólnik w BCL Solicitors, mówi: „Odznaczając się dystopijnymi nazwami, takimi jak Maze, Netwalker i REvil, są coraz bardziej bezczelni, wyświetlając wyeksportowane dane, takie jak trofea online, a nawet sponsorując podziemne konkursy hakerskie, aby zaprezentować swoje złośliwe oprogramowanie.
„Dla ich ofiar konsekwencje mogą być katastrofalne; Travelex, kantor wymiany walut, przeszedł do administracji z utratą 1300 miejsc pracy w Wielkiej Brytanii po sylwestrowym ataku ransomware, w którym cyber-gang zażądał od firmy zapłacenia 6 milionów dolarów w ciągu 48 godzin lub opublikowania informacji o kartach kredytowych klientów, numerach ubezpieczenia społecznego i datach urodzenia ”.
Oczywiście ważne jest, aby firmy zrobiły wszystko, co w ich mocy, aby zidentyfikować i powstrzymać te ataki, zanim spowodują one poważne szkody. „Zapobieganie takim atakom jest przede wszystkim o wiele lepsze niż łagodzenie ich skutków, przy wszystkich związanych z tym kosztach finansowych i szkodzie reputacji” – mówi Hayes.
„Większość atakujących uzyskuje dostęp w wyniku błędu ludzkiego i, wraz ze środkami technicznymi, takimi jak zarządzanie dostępem do danych wewnętrznych i tworzenie kopii zapasowych, szkolenie personelu i czujność są kluczowymi elementami w obronie organizacji ”.
Według Hayesa ofiary mają zasadniczo dwie możliwości, z których obie są kosztowne. Organizacje „odmawiają zapłaty i stają w obliczu katastrofalnego naruszenia danych, narażając się na bolesne grzywny regulacyjne i roszczenia cywilne”, albo „płacą okup bez gwarancji zwrotu danych”.
Radzenie sobie z oprogramowaniem wymuszającym podwójne wymuszenie
Chociaż atak ransomware może zadać druzgocący cios każdej firmie, firmy powinny zachować ostrożność, gdy są proszone o zapłacenie okupu. Jake Moore, specjalista ds. Bezpieczeństwa w ESET, twierdzi, że może to spowodować jeszcze większe ryzyko. „Nie ma pewności, że hakerzy i tak nie poproszą o więcej ani nie udostępnią danych” – wyjaśnia.
Zamiast tego Moore zachęca firmy do zabezpieczania swoich sieci i przeprowadzania testów symulacyjnych w celu ograniczenia zagrożenia ze strony oprogramowania ransomware. „Takie symulowane ataki pomoże uwydatnić luki w organizacji bez ryzyka napotkania poważnych problemów finansowych i konieczności odpowiadania na bardzo trudne pytania zarówno ze strony ICO, jak i twoich klientów – mówi.
Kiri Addison, szef działu analityki danych w zakresie wywiadu zagrożeń i nadzoru w Mimecast, twierdzi, że wdrożenie silnych środków odpornościowych to najlepszy sposób na zapobieganie podwójnemu wymuszeniu ransomware. „Oprogramowanie ransomware jest często wtórną infekcją, a osoby odpowiedzialne za zagrożenia chcą wykorzystać znane luki w zabezpieczeniach, szczególnie w odniesieniu do PROWoraz serwery i aplikacje, które są kluczem do pracy w domu ”- mówi.
„Kluczowe znaczenie dla złagodzenia tego problemu ma zapewnienie luk w zabezpieczeniach załatane w odpowiednim czasie oraz że sieciowe dzienniki danych są monitorowane w celu wykrycia wszelkich nietypowych działań lub eksfiltracji danych. Istnieje zatem potencjalna szansa na wyleczenie każdej pierwotnej infekcji, a tym samym powstrzymanie jej przekształcenia się w atak ransomware ”.
Edukacja
W międzyczasie organizacje powinny przeszkolić swoich pracowników w zakresie zagrożeń związanych z podwójnym oprogramowaniem ransomware oraz sposobu jego dystrybucji. „Indywidualni użytkownicy mogą również bardzo pomóc, zdając sobie sprawę z potencjalnego niebezpieczeństwa załączników. Powinni też uważać na klikanie jakichkolwiek linków e-mailowych otrzymanych w jakiejkolwiek komunikacji, szczególnie w związku z niedawnym ponownym pojawieniem Emotet– mówi Addison.
Cath Goulding, CISO z Nominet, wyjaśnia, że istnieją dwie strategie obronne radzenia sobie z oprogramowaniem wymuszającym podwójne wymuszenie. „Po pierwsze, solidne kopie zapasowe, aby nie wpaść w róg, jeśli hakerzy przejmą kontrolę nad Twoimi danymi. Po drugie, szyfrowanie, aby zapewnić, że jeśli atakujący grozi ujawnieniem danych, to również jest chronione ”- mówi.
„Podejścia te należy następnie wbudować w szerszą strategię obejmującą podstawową cyberhigienię. Od ścisłego monitorowania sieci, który może pozwolić ci odciąć napastników przed eksfiltracją danych, po edukowanie pracowników, aby nie stali się ofiarami ataków phishingowych, które często są główną przyczyną incydentu związanego z oprogramowaniem ransomware – wszystko odegra istotną rolę w budowaniu cyberprzestrzeni postawa.”
Groźba podwójnego wymuszenia ransomware jest niezaprzeczalna, a cyberprzestępcy ostrożnie celują i przygotowują te ataki, aby zwiększyć wysokość okupów. Często organizacje mają wrażenie, że nie mają innego wyjścia, jak zapłacić okup, aby zapobiec wyciekowi poufnych danych. Ale w rzeczywistości jest to gra w rosyjską ruletkę, a skradzione informacje mogą nadal trafiać do sieci. Dlatego należy skupić się na zapobieganiu i łagodzeniu skutków.
