Анатомия на изнудването - kaldata.com

Анатомия на изнудването – kaldata.com

В седмицата, в която САЩ определи рансъмуер атаките за тероризъм, продължаваме да ви представяме аналитични материали, свързани с най-голямата опасност за мрежите на големите организации днес в онлайн пространството – криптовирусите.

В предишна публикация ви запознавахме с двата основни типове рансъмуер групи, които се различават днес. Класификацията се основава на метода им на разпространение: автооматизиран и неавтоматизиран. За първия тип, ние обикновените потребители почти забравихме. Става дума за разпространяваните чрез масови спам кампании криптовируси и логиката на хакерите за „който се хване“. Постепенно обаче рансъмуер групите започнаха да се обръщат към големите пари и компаниите с приходи от милиони, даже милиарди годишно. Самите рансъмуер атаки вече приличат по-скоро на кибершпионски APT (advanced persistent threat) операции, а не на хакерски набези, чиято цел е да влязат и излизат от мрежата на жертвата възможно по-бързо с по-голяма плячка. Появи се и методът на „двойното изнудване“, при което атакуващата страна първо краде чувствителни данни, а след това и криптира цифровите активи, искайки откуп, за да не бъде публикувана откраднатата информация. Не е двойно обаче, смята Роджър Граймс от KnoBe4, който ни дава ценна информация за анатомията на модерните рансъмуер кампании. Според Граймс би трябвало да говорим за петорно и даже шесторно изнудване.

Той припомня, че методът с двойното изнудване се е появил през 2019 и когато киберпрестъпната среда е видяла, че с него могат да вземат далеч по-големи пари, бързо в играта са се включили няколко подобни групи. Към края на 2015, едва 10-15 процента от рансъмуер атаките са били с двойно изнудване. В края на 2020, този процент се покачва на 70. В средата на настоящата година говорим за над 80%. „Това означава, че ако сте жертва на рансъмуер, шансовете компанията ви да е пострадала от кражба на данни е доста голям“, обобщава Граймс. Той споделя, че средното време за провеждането на една рансъмуер атака – от попадането на зловредната програма в мрежата до изпълнението ѝ е между 120 и 200 дни. Престъпниците са търпелив народ. През това време те проучват средата и извършват различни други действия, като например кражбата на пароли на служители или посетители на сайта на компанията – информация, с която впоследствие нанасят още повече щета, както на жертвата си, така и на хора, които не са част от дадената компания или организация. Докато се спотайват в сенките, престъпниците наблюдават служителите на компанията как се вписват в банката си, в Instagram, Facebook, TikTok, комуникират със своя лекар.

„И през всичкото това време, рансъмуер програмата, троянския кон или скрипта, събира всички тези пароли. Същото е с клиентите. Ако имате сайт, в който вашите клиенти се вписват, те събират тези данни, знаейки, че клиентите ви ще използват тези пароли по други места“, обяснява Граймс. И след това изнудват засегнатите от кражбата, заплашвайки ги, че ако не платят ще дадат данните им за вписване на хакери. Освен това се опитват да съсипят репутацията на дадената компания, обяснявайки, че те ги изнудват, понеже голямата компания, от чийто сайт са задигнали данните им, не искат да плащат.

И докато са в състояние на „спящ режим“ (Граймс посочва случай, в който подобна хакерска група се спотайва в мрежата на организация за период от цели две години преди да криптира данните), те следят комуникациите на мениджмънта на компанията с техните партньори и бизнес клиенти, проучват ги. А след това провеждат измамнически кампании към тях, изпращайки им имейли с теми и съдържание, което знаят, че ще ги заинтересува и прикачени файлове на документи, съдържащи зловредни програми. „Новите жертви получават имейл от оригиналната жертва, на която вярват и с която поддържат дълготрайни връзки. Те не разбират защо този човек ги кара да отварят даден документ или файл, но много го правят без да се замислят много-много. Бум! А сега и те стават жертва на изнудване“, пише Граймс. И ако жертвата се колебае за плащането, допълва той, все по-често се срещат случаите, в които изнудвачите провеждат DDoS атака към мрежата или сайта ви, за да ви докарат допълнително главоболия и напрежение. Всичко това изброеното влиза в арсенала на рансъмуер групите за само една от жертвите им, което е и причината Граймс да отрича термина „двойно изнудване“, тъй като става дума за нещо далеч по-голямо.

Думите на Граймс подкрепят написаното от Оливер Таваколи от Vectra AI в репортажа му, който споменахме в началото. С този род атаки борбата не е до избора на едно или друго хардуерно или софтуерно решение за сигурност и многослойна защита. Човешкият фактор, сериозната експертиза и образованост са от изключително значение, заедно с пълна видимост над информационните масиви, които управлявате, налагане на нужните ограничения за достъп и спазването на задължителните протоколи и добри практики.

„Нужно е да се уверите, че хората във вашата организация, които отговарят за нейната защита разбират какво вършат днешните рансъмуер заплахи. Не е единствено криптирането на данни проблема или извличането на информация. Става въпрос за от четири до седем допълнителни проблеми, които добрият бекъп не решава. Вашата основна защита трябва да е превенцията. Което означава да се борите със социалното инженерство и налагате кръпки, където е нужно, за да се справите с по-голяма част от риска“, заключава Граймс.



Източник: www.kaldata.com