ФБР: Групи за рансъмуер, обвързващи атаките със „значителни финансови събития“

Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  

ФБР има освободен нов доклад, в който се казва, че групите за рансъмуер все по-често използват “значителни финансови събития” като лост по време на своите атаки.

Според ФБР групите за откупи използват събития като сливания и придобивания, за да се насочат към компании и да ги принудят да плащат откупи.

„Преди атаката, участниците в ransomware проучват публично достъпна информация, като например оценка на акциите на жертвата, както и съществена непублична информация. Ако жертвите не платят откуп бързо, участниците в ransomware ще заплашват да разкрият тази информация публично, причинявайки обратна реакция на потенциалните инвеститори “, пише ФБР.

„Актерите на Ransomware са насочени към компании, участващи в значими финансови събития, чувствителни към времето, за да стимулират плащането на откуп от тези жертви. Ransomware често е процес на два етапа, започващ с първоначално проникване чрез троянски зловреден софтуер, което позволява на брокер за достъп да извършва разузнаване и определете как най-добре да осигурите приходи от достъпа.”

ФБР отбеляза, че докато групите за откупи безразборно разпространяват злонамерен софтуер, те често внимателно подбират жертвите си въз основа на информацията, която получават от първоначалните прониквания.

Бандите търсят непублична информация и след това заплашват компании, като казват, че ще пуснат документите преди важни финансови събития, надявайки се натискът да накара жертвите да платят откупи.

Групите търсят данни или информация, за които знаят, че ще повлияят на цената на акциите на компанията и “коригират графика си за изнудване”, установи ФБР.

Правоприлагащият орган изтъкна множество случаи, в които самите участници в рансъмуер приканват другите да използват фондовата борса NASDAQ като нещо като помощник за процеса на изнудване. ФБР заяви, че е намерило публикация от известен актьор за рансъмуер на име “Неизвестен” в Exploit – популярен руски хакерски форум – призовавайки други групи за рансъмуер да следват този метод.

В известието ФБР сподели директен цитат от група за рансъмуер, която преговаря с жертва през март 2020 г.

„Също така забелязахме, че имате акции. Ако не ни ангажирате за преговори, ние ще изведем вашите данни в nasdaq и ще видим какво ще се случи (sic) с вашите акции“, каза групата на жертвата по време на преговорите.

ФБР отбеляза, че от март до юли 2020 г. най-малко три публично търгувани американски компании са били атакувани от групи за рансъмуер, докато преминават през процес на сливане и придобиване.

Двама от тримата договаряха финансовите сделки насаме, което показва, че групите за откупи са получили достъп до поверителни данни.

„Технически анализ от ноември 2020 г. на Pyxie RAT, троянски кон за отдалечен достъп, който често предшества инфекциите с откуп с Defray777/RansomEXX, идентифицира няколко търсения по ключови думи в мрежата на жертвата, показващи интерес към текущата и близко бъдеща цена на акциите на жертвата. Тези ключови думи включват 10- q, 10-sb, n-csr, nasdaq, marketwired и newswire“, обясни ФБР.

ФБР сподели друго съобщение от участниците в откупа на Darkside през април, в което се казваше: „Сега нашият екип и партньори криптират много компании, които търгуват на NASDAQ и други фондови борси“.

„Ако компанията откаже да плати, ние сме готови да предоставим информация преди публикуването, за да може да спечелим в намалението на цената на акциите. Пишете ни в „Свържете се с нас“ и ние ще ви предоставим подробна информация, “, написа групата за ransomware в своя блог.

Алън Лиска от Recorded Future каза на ZDNet, че това, което ФБР описва, се случва от известно време.

Той отбеляза, че REvil специално обсъди използването на оценка на акциите и активността по сливане като техники за изнудване по време на атаки на ransomware и групата за откуп на DarkSide направи същото.

„Въпреки това, това, което ФБР съобщава, е ескалация на тези тактики. Знаем, че групите за рансъмуер следят отблизо новините, изглежда, че сега използват информацията, събрана от новините, за да се насочат към конкретни компании по време на финансово чувствителни времена (като сливане или публично предлагане)“, каза Лиска.

„Извън няколко индустрии, ние не сме свикнали да мислим за атаките на ransomware като „насочени“ в традиционен смисъл. Но ако докладът на ФБР е точен, групите за рансъмуер преследват конкретни компании през тези периоди. Ако бях компания, която планира IPO или сливане, бих следил отблизо подземните форуми за откраднати идентификационни данни и бих се уверил, че съм особено внимателен по отношение на сигурността през този период.”

А скорошно проучване от Comparitech показа, че атаките на ransomware наистина имат временен ефект върху цената на акциите и финансовото здраве на компаниите.

Проучването показа, че веднага след атака на ransomware, цените на акциите на една компания са паднали средно с 22%. Но докладът установи, че спадът често продължава от един ден до 10 дни. В крайна сметка в доклада се казва, че повечето атаки на ransomware не са имали голям ефект върху компаниите жертви.

„Въпреки загубата на данни, престоя и евентуално плащането на откуп или глоба или и двете, цените на акциите за атакуваните компании продължават да превъзхождат пазара след много кратък спад. Дори самите фирми за киберсигурност изглеждат изолирани от всяко продължително спадане на цената на акциите, когато тяхната собствена киберсигурност се проваля в лицето на атака на ransomware“, каза Пол Бишоф от Comparitech.

„Изключение е Ryuk ransomware, който имаше по-сериозно отрицателно въздействие върху цената на акциите в сравнение с други видове ransomware. Нарушенията на данни имат по-голямо и по-продължително отрицателно въздействие върху цената на акциите, отколкото ransomware, според другото ни проучване, но само незначително. И имайте предвид, че тези две атаки често се комбинират.”

Експерт по Ransomware и анализатор на заплахи от Emsisoft Брет Калоу каза за ZDNet, че участниците в ransomware използват всеки лост, който евентуално могат да получат – независимо дали това е използването на ботове за популяризиране на атаките си в Twitter, осъществяване на контакт с пресата, контакт с клиенти или, според това предупреждение, използване на не- обществена информация, получена по време на фазата на разузнаване на атаките за допълнителен натиск върху жертвите.

„Виждали сме също така инциденти, при които актьорите изглежда са забавили криптирането на компрометирани мрежи, докато не наближи времето на значимо събитие. Нищо от това не е изненадващо“, каза Калоу.

„Тактиката на бандите постепенно става екстремна през последните няколко години и, за съжаление, това едва ли ще се промени скоро.

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com


Сподели
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •