Години наред вече, както специалисти по сигурност, така и официални правителствени лица съветват, че най-добрия подход при успешна рансъмуер атака към потребители и бизнеси е те да не заплащат искания от тях откуп, придържайки се към правилото „Не преговаряме с терористи“. Логиката тук е ясна: плащането на откуп ще мотивира престъпниците да продължат с действията си и вие ставате неволен съучастник в следващото им престъпление. Но с появилата се в последно време тенденция сред групировки, като тази зад Maze и други, които не само криптират информацията, но и я копират на сървърите си и искат откуп, за да не я публикуват онлайн, нещата не са така лесни за изпълнения. Публикуването на вътршнофирмени тайни може да е катастрофа за много компании и да ги изкара от бизнеса. И в подобен случай, плащането на откуп е единствения избор, който може да бъде направен. Тази седмица дойде пореден пример за това.

Американският туристически оператор CWT, генериращ годишни приходи от над $1.5 млрд., става жертва на рансъмуер атака. Хиляди документи са откраднати, десетки хиляди системи са изведени от строй. Вследствие на сериозната атака, компанията решава да заплати 414 биткойна (или около $4.5 милиона) на своите изнудвачи, предава Reuters. Според запознати, рансъмуер заплахата, с която е атакувана мрежата на CWT е RagnarLocker.

Ако ви е познато името на тази зловредна програма, то вероятно си спомняте, че по-рано тази година ви разказахме за нея. Хората зад RagnarLocker са изключително умели престъпници, които провеждат целенасочени атаки към високопрофилни жертви, от които знаят, че могат да извлекат сериозна печалба. В конкретния случай, през май тази година, те влязоха в общественото внимание с иновативен подход за заразяване на системите. След като проникнат в мрежата и някоя от основните системи, те инсталират програмата за виртуализация VirtualBox. След това я конфигурират така че „гостът“ да има пълен достъп до локалните и споделените дялове и устройства на хоста. Тези действия не събуждат подозрение в софтуера за защита, тъй като VirtualBox е легитимна и доверена програма. Следва инсталирането на модифицирана версия на Windows XP и инсталирането на рансъмуер в нея, който започва да криптира файловете, които се намират в хоста.

След плащането на откупа на 28-ми миналия месец, CWT получават възможността за декриптиране на информацията и достъпа до близо два терабайта данни, сред които има финансови документи, информация на служителите на компанията и други данни. Reuters предава, че първоначално хакерите са поискали откуп в размер на десет милиона долара, но от CWT са ги убедили да намалят тази сума значително, цитирайки затрудненото си положение, причинено от COVID-19.

Не се съобщава какъв е първоначалния вектор на атаката към системите на компанията.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари