Мнозина специалисти по киберсигурност говорят за рансъмуер атаки, при които освен заключването на данните, престъпниците крадат чувствителна информация и искат допълнителен откуп за нея. За щастие, този род атаки не са често срещани (сякаш криптирането не е малка беда). Но от време на време научаваме именно за подобен род атаки. Този път източник на този ред атака се явява групировката зад рансъмуер с името Maze. Хакерският колектив се свързва от някои и с ведомствени хакери, заради използвана от тях програма, засечена в атаки на популярна APT (advanced persistent threat) група.

Използването на съчетанието от рансъмуер с кражбата на информация и заплахата тя да бъде изнесена публично, ако не се плати допълнителен откуп за нея, гарантира на престъпниците, както допълнителен приход от действията им, така и увереност, че даже и откуп за заключването на файловете да не бъде платен (поради налично тяхно резервно копие например), те ще получат пари от жертвата, ако не иска чувствителна за нея информация да стане достъпна за всички.

В атаките с Maze в последните месеци, хакерите поставят онлайн сайт, на който публикуват имената на компаниите, отказали да платят откуп, заедно с откраднати вътрешни документи, IP адреси на инфектираните машини и други данни. Браян Кребс и Bleeping Computer предават за именно такъв сайт, на който са публикувани данните на осем компании, като поне за една, Кребс е убеден, че е станала жертва на Maze, макар че инцидента да не е влязъл в медийните обективи.

В една от известните атаки, освен Maze, хакерите използват и Cobalt Strike, програма, която е използвана от APT група с името Cozy Bear. Тя помага за извличането на информацията от машината на жертвата и придвижването на атаката в локалния периметър. Престъпниците използват още Power Shell за извличане на данните и свързването към отдалечен FTP сървър. Едва след тези стъпки бива доставен и Maze.

„Използването на целенасочени рансъмуер атаки не е нещо ново и за съжаление едва ли ще бъде прекратено скоро“, пишат от Cisco Talos Security, които също разглеждат инцидентите с Maze. „Това е изключително привлекателна и доходоносна форма на атака за престъпниците и като такава, нейната популярност вероятно ще нараства. Но това, което прави наистина интересни тези атаки са допълнителната монетизация от извличането на данните по време на атаката“.

Даже обаче и да не плати жертвата откуп за падането ѝ под удара на криптовируса, както и да реши да не плаща и за откраднатата информация, престъпниците пак могат да изкарат пари от деянията си, като предложат тази информация за продан в даркуеб пространството.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest
0 Коментара
Отзиви
Всички коментари