Sada smo zaista u eri ransomware-a kao čiste iznude
Američki i evropski policajci, tužioci i nevladine organizacije nedavno su sazvali dvodnevnu radionicu u Hagu kako bi razgovarali o tome kako odgovoriti na rastuću pošast ransomware-a.
Zašto se petljati sa kriptografijom i ključevima kada je samo krađa informacija dovoljno dobra
„Samo radeći zajedno sa ključnim partnerima za sprovođenje zakona i tužilaštva u EU možemo se efikasno boriti protiv pretnje koju ransomware predstavlja našem društvu“, rekao je pomoćnik američkog državnog tužioca Kenet Polit. Ranije ovog meseca, na godišnjoj konferenciji RSA, ista tema je bila na umu – i usnama profesionalaca za sajber bezbednost. Ransomware i drugi sajber zločini u kojima zlotvori iznuđuju organizacije za novac, „i dalje su velika većina aktivnosti pretnji koje vidimo“, rekao je izvršni direktor Ciber Threat Alliance Majkl Danijel. Međutim, sve češće se krugovi sajber kriminala koji se i dalje prate kao operateri ransomware-a, okreću prvenstveno krađi podataka i iznudi – i potpuno preskaču korak šifriranja.
Umesto da šifrujete datoteke i zahtevate plaćanje za ključeve za dešifrovanje, jednostavno eksfiltriranje podataka i zahtevanje naknade da sve to ne procuri je jednako efikasno. Ova promena traje već mnogo meseci i sada je praktično neizbežna. FBI i CISA su ovog meseca upozorili na manje poznatu iznuđivačku bandu Karakurt, koja traži otkupninu do 13 miliona dolara. Karakurt ne cilja nijedan određeni sektor ili industriju, a žrtvama bande nijedan dokument nije šifrovan i držan za otkup. Umesto toga, lopovi tvrde da su ukrali podatke, sa snimcima ekrana ili kopijama eksfiltriranih fajlova kao dokazom, i prete da će ih prodati ili procuriti u javnost ako ne dobiju uplatu.
“Upravo to se dešava mnogim žrtvama sa kojima radimo“, rekla je potpredsednica obaveštajne službe Mandiant Intelligence Sandra Džojs. „Mi to nazivamo višestrukom iznudom. To je fensi način da se kaže da je krađa podataka uparena sa iznudom“. Neki od ovih lopova nude snižene otkupnine korporacijama kako bi ih ohrabrili da plate ranije, pri čemu je traženo plaćanje sve veće što je duže potrebno da se isplati keš (ili bitkoin, u zavisnosti od slučaja). Pored toga, neke kriminalne grupe nude „klizne platne sisteme“, primetio je Džojs. „Dakle, plaćate ono što dobijete“, a u zavisnosti od iznosa plaćenog otkupa „dobijate control panel, dobijate korisničku podršku, dobijate sve alate koji su vam potrebni“.
Kako kriminalci sve dublje ulaze u iznudu, oni se oslanjaju na druge taktike kako bi primorali organizacije da plate – kao što je curenje ukradenih poverljivih podataka sa web-sajtova skrivenih u Tor-u i smišljanje drugih načina da javno ponize kompanije da plate otkup za svoje dokumente, dodao je Džojs.
„Dok to ne prestane da bude unosan posao kakav je danas, neće nestati”. Lopovi, u proseku, objavljuju detalje o osetljivim informacijama ukradenim od sedam novih žrtava dnevno na ovim sajtovima koji procure u dark-web, prema istraživanju jedinice 42 objavljenom na konferenciji RSA. „Kriza sajber iznude se nastavlja jer su sajber kriminalci bili neumoljivi u uvođenju sve sofisticiranijih alata za napade, tehnika iznude i marketinških kampanja koje su podstakle ovaj neviđeni globalni digitalni kriminal“, napisao je Rajan Olson, potpredsednik obaveštajne službe za pretnje u Palo Altu. Programeri zlonamernog softvera iznajmljuju svoj kod prevarantima koji su manje tehnički upućeni kako bi ih primenili na mrežama žrtava, nakon što se pristup dobije kupovinom ukradenih ili procurelih akreditiva za prijavu. Zaista, interna komunikacija Conti-ja koja je procurila ranije tokom godine naglasila je kako ove bande ransomware-a funkcionišu slično startupima softvera kao usluge.
Povrh toga, način na koji ove kriminalne grupe koriste marketinške i kampanje za odnose s javnošću ukazuje na potpuno novi nivo sofisticiranosti, kaže Rajan Kovar, koji vodi istraživački tim Splunk Surge. U martu je Kovarov bezbednosni biznis objavio istraživanje o tome koliko je vremena potrebno da deset velikih porodica ransomvera – uključujući Lockbit, Conti i REvil – šifruju 100.000 datoteka. Otkrili su da je Lockbit bio najbrži – zaista razlog zašto je tim preduzeo ovu analizu bio je taj što je ta banda ransomware-a na svojoj web stranici Tor tvrdila da ima „najbrži ransomver“.
Zločinci su možda prešli na nove tehnike iznuđivanja i sofisticiranije poslovne modele, ali koriste iste, poznate ranjivosti – jednostavno zato što one i dalje funkcionišu i ne zahtevaju veliku pomoć od strane operatera zlonamernog softvera. To su kriminalci koji traže profit, na kraju krajeva, koji žele da zadrže niske troškove i visoke profitne marže. Preduzeća mogu da smanje rizik tako što će zakrpiti ove poznate aktivno eksploatisane greške.
Izvor: Theregister