Nova ransomware taktika - ako ne platite, sledi osveta!
Ransomware napadi postaju Data Breach napadi.
Kao da ransomware napad sam po sebi nije dovoljno težak udarac za pogođenu kompaniju, već sada napadači najavljuju da će stvoriti nove probleme onima koji odbiju da plate otkupninu. Naime, neke poznate ransomware grupe poslale su signal da će ubuduće početi da objavljuju i/ili prodaju ukradene podatke žrtava koje odbiju da plate. Da stvar bude još gora, jedna od ovih grupa je napravila sajt na kojem objavljuje informacije o kompanijama koje su nedavno doživele ransomware napad, ali koje su odlučile da ne plate napadačima.
Slika 1. Poruka na početnoj stranici sajta Maze operatora. Izvor slike: Krebs on Security.
Autori Maze ransomware operacije postavili su javni internet sajt na kome se trenutno nalaze imena i linkovi koji vode na stranice 8 pogođenih kompanija koje su odbile plaćanje otkupnine. U tekstu navode da su to kompanije koje su odbile saradnju i pokušale da zataškaju da je došlo do napada, i da će uskoro staviti njihove baze podataka i osetljive informacije na raspolaganje posetiocima sajta. Krebs on Security je potvrdio da je najmanje jedna kompanija sa liste zaista pogođena i da za to javnost još uvek nije saznala.
Informacije koje o pogođenim kompanijama postoje na sajtu uključuju sledeće: datum napada, nekoliko ukradenih MS Office, tekst i PDF fajlova, ukupnu veličinu zaključanih podataka u gigabajtima, IP adresu i imena pogođenih servera.
Godinama unazad sajber kriminalci prete žrtvama da će otkriti njihove podatke, ali pretnje nisu sprovodili u delo, sve do sada. Autori Maze ransomwara su prethodnog meseca pripretili kompaniji Allied Universal da će objaviti njihove fajlove ukoliko ne plate, a kada nisu primili uplatu, pustili su 700MB podataka na hakerski forum. Ovo praktično znači da ransomware napadi sada postaju Data Breach napadi! U nekim ranijim napadima, hakeri su žrtvama stavljali do znanja da su pročitali fajlove i poslovne tajne, ali su se kompanije uglavnom odlučivale da ovo gurnu pod tepih, nadajući se da javnost neće saznati. Iako se i to moglo smatrati Data Breach napadima, kompanije ih nisu prijavljivale. Sada kada napadači počinju da javno objavljuju podatke, kompanije će morati drugačije da pristupe situaciji, odnosno da prijave i Data Breach napad.
Potez hakera koji stoje iza Maze ransomware projekta usledio je samo nekoliko dana posle najave Sodinokibi/REvil hakera na popularnom dark web forumu da će krenuti sa ovom praksom, što možete videti na slici ispod.
Slika 2. Obećanje Sodinokibi/REvil autora. Izvor slike: Bleeping Computer.
Ovo su posebno loše vesti za kompanije koje se već suočavaju sa visokim kaznama zbog neprijavljivanja sajber napada i izlaganja podataka svojih kupaca.