Ransomware

Отчетен е 1200% ръст на кибератаките, включващи троянския кон Emotet, през второ и трето тримесечие на 2020 г. Троянецът има пръст и в увеличението на атаките с криптовирус, сочат данни на HP Inc.

Emotet е зловреден софтуер, който често се използва в хакерски кампании, за да осигури начален достъп на други групи заплахи – TrickBot и QakBot инфекции и ransomware – до мрежите на жертвите.

Emotet вероятно ще продължи да се появява в ежеседмични спам-кампании до началото на 2021 г., прогнозират анализаторите.

За някои от последните прояви на Emotet прочетете тук.

Злонамерени линкове към документи в Google Drive са били изпратени по имейл до множество американски здравни заведения във фишинг кампания. Кликането върху връзките е станало причина за заразяване на получателите с Ryuk ransomware. Атаката е затруднила засегнатите центрове да предоставят адекватни здравни грижи на пациентите си.

Sophos сигнализира, че Ryuk използва заразени документи на Google Drive, за да достави първоначалния си зловреден софтуер. Хакерите разчитат, че винаги ще се намери служител, който да кликне върху злонамерения линк и да активира кибератаката.Анализаторите отчитат, че Ryuk е отговорен за една трета от всички атаки с рансъмуер от началото на 2020 г.

В края на октомври 2020 г. Microsoft, ФБР, Министерството на здравеопазването и социалните услуги и Министерството на вътрешната сигурност на САЩ съвместно издадоха поредното предупреждение за случващото се. Те сигнализираха, че ransomware е все по-агресивен към болници и други здравни организации.

Инцидент с киберсигурността спря работата на медицински център в Охайо за няколко дни и принуди клиниката да отложи планираните процедури на пациенти.

От Ashtabula County Medical Center (болнично заведение с над 200 легла) не посочват естеството на инцидента, но се предполага, че става дума за ransomware атака.

Нарастващата зависимост на здравните заведения от информационните технологии, заедно с напрежението върху ресурсите, дължащо се на пандемията на коронавируса, направиха сектора уязвим от хакерски атаки. По-рано този месец пациент в Германия е починал след като е бил отпратен от болница, пострадала от поредната криптоатака.

От началото на 2020 г. международни организации периодично предупреждават за увеличаване на броя на ransomware-атаки (тук и тук) срещу болнични заведения. За съжаление, също толкова често научаваме и за поредната жертва (тук и тук).

Спомняте ли си „бизнес-ориентирания“ модел на ransomware-групата REvil (Sodinokibi), чието развитие следим отдавна? Наскоро „семейството“ е депозирало 1 млн. USD (всъщност, равностойността им в биткойни) в  рускоезичен хакерски форум, за да демонстрира пред потенциални сътрудници, които иска да набере, че има сериозни намерения за развитието си.

Както във всяка бизнес сфера, изглежда, че и разработката на криптовируси също следва икономическата логика и разделение на труда: едни хора (разработчици) отговарят за създаването на ransomware, а други (сътрудници) – хакват организациите и криптират устройствата им. При това се твърди, че последните получават до 80% от акумулираните откупи за декриптиране.

Публично депозираната от REvil сума илюстрира колко пари генерират създателите на ransomware. За съжаление, докато жертвите не престанат да плащат многомилионни откупи, този вид киберпрестъпления ще продължат и участниците в  тях ще стават все по-богати.

Последен ъпдейт на 2 октомври 2020 в 11:23 ч.

Четирите най-големи морски корабоплавателни компании в света (CMA CGM, APM-Maersk, Средиземноморска корабоплавателна компания и COSCO) са били засегнати от атака с криптовируси в периода от 2017 г. насам.

Това е първият случай досега, в който Голямата четворка в даден сектор на индустрията претърпява последователно големи кибератаки. Въпреки че инцидентите са различни, те показват преференциално насочване към морската индустрия. През последните 4 години жертви са ставали кораби, базираните на брега системи на корабните компании и  най-често – приложенията за резервация на контейнери.

Свидетели сме на вълна от криптоатаки срещу корпоративни гиганти, опериращи в различни сфери на бизнеса и логично си задаваме въпроса: Дали „кибер-пиратите“ не са се насочили към криптирането на цяла индустрия, така че да повишат многократно шансовете си за получаване на откуп?

Собственикът на Ray-Ban – компанията Luxottica, най-веротяно е станал жертва на атака с криптовирус, която е засегнала италианското и китайското поделение на корпорацията.

Самата компания все още не е коментирала проблема, но според BleepingComputer, клиенти са съобщили  за спиране на уебсайтовете на Ray-Ban, Sunglass Hut, LensCrafters, EyeMed и Pearle Vision.

Засега няма данни за откраднати или изтекли данни, а към 24-ти септември всички засегнати сайтове изглежда са възобновили работа, без следи от инцидента.

Luxottica е поредната мултинационална компания в списъка с жертви на криптоатаки, след Garmin, Enel, Honda и др., за които съобщаваме през изминалите няколко месеца.

457 хил. USD. Толкова е откупът, платен от Университетът на Юта (САЩ), за да остане (евентуално) конфиденциална източена от образователната институция информация.

Кражбата на данните е станала след зараза с модерното вече поколение криптовируси, които първи източват информацията от заразените устройства, след което я криптират. Така хакерите искат два откупа – един за декриптирането и един за непубликуването на откраднатите данни.

Сериозната сума е била платена за сметка на действаща киберзастраховката. Засегнатите лица са предупредени да следят своята кредитна история за измамна дейност и да променят всички пароли, които използват онлайн.

Американският гигант Brown-Forman, собственик на марките уиски Jack Daniel’s, водка Finlandia и др., е най-новата по-известна жертва на атака с криптовирус. Компанията, обаче, може да послужи за пример с реакцията си.

Историята: според Bloomberg, Brown-Forman са станали жертва на добре познатите REvil / Sodinokibi. Зловредният код първо източва информацията от работните станции на жертвите си, а след това ги криптира. В случая се твърди, че са източени 1 терабайт данни, обхващащи над период от над 10 години от дейността на организацията.

Какъв е бил отговорът на компанията на исканията откуп? Изглежда, че Brown-Forman са казали на киберпрестъпниците да ги изпратят „там, където слънцето не огрява“.

Междувременно, не е имало данни, че компанията е спирала принудително дейността си, което говори за добра политика за реакция при кибератака – най-вероятно, актуални резервни копия на информацията. И най-вероятно политики за ограничаване негативното въздействие върху партньори, доставчици, кредитори, дистрибутори, търговци на дребно и др.

Добра работа, Brown-Forman!

Около 72 часа по-късно и след безброй слухове, извънредната ситуация в Garmin изглежда овладяна, а услугите на компанията отново функционират нормално. А въпросите около случилото се тепърва започват.

В този текст няма да коментираме слухове или спекулации – защото такива не липсват – а по-скоро ще извлечем част от уроците от случилото се с Garmin. Съвсем накратко, какво знаем:

• 23 юли, около обед източно-американско време. Атаката срещу Garmin започва. Редица услуги на компанията, сред които Garmin Connect, garmin.com и колцентровете на компанията спират принудително работа
• Малко след началото на проблемите, Garmin публикува официално съобщение в Twitter акаунта си, но не цитира причината за спирането на услугите си
• Редица публикации в онлайн медии твърдят, че атаката срещу компанията е дело на Evil Corp, които са успели да заразят Garmin с криптовирус, заключили са ключови за компанията файлове и системи и са поискали 10 млн. USD откуп за възстановяването им. За източници се посочват служители на компанията, вътрешни мемота от ИТ екипите ѝ, включително и скрийншоти, за които се твърди, че са от засегнатите машини
• Официалната позиция на компанията е, че не са източени лични данни на клиенти
• Възстановяването на услугите на компанията отне няколко дни,

Какви са част от научените уроци:

1. Няма твърде голяма или малка компания, която да не е интересна за киберпрестъпниците
2. Криптовирусите далеч не са преминали пика си – дори обратното. Само за предпоследната седмица на юли са засечени няколко атаки срещу мащабни организации като Garmin. Още през април ИНТЕРПОЛ предупреди за ръст в ransomware атаките. А новите тактики за разпространение не спират. Например, създаването на специална виртуална машина, с цел маскиране на заразата.
3. Бекъпът е задължителен. И не само, защото според Trend Micro 33% от засегнатите организации никога не получават файловете си обратно – а защото не се знае дали това възстановяване няма да е твърде късно

 

 

Неведнъж сме разказвали на групата REvil / Sodinokibi – едни от добилите популярност в началото на 2020 г. криптовируси, които източват данните на жертвите си преди да ги криптират. 

Всяко ново появяване на това ransomware семейство е запомнящо се, защото добавя нов щрих към измамата: 

• Първоначално групата стана известна с това, че подсигурява печалбата си от две страни – или плащате за декриптиране на данните си или за да не попаднат те в ръцете на конкуренцията. При всички случаи REvil печели. 
• По-късно през годината „семейството“се сдоби със собствена платформа. На нея, под формата на каталог, се публикува откраднатата информация от жертвите, които не са платили откупите си. Така пазарният дял е гарантиран. 
• В началото на юни 2020 г. REvil добави черешката на тортата – функция за анонимно наддаване за откраднатата информация. А първите аукциони са вече факт. 

Сред жертвите, чиито данни са били продадени на търг, са дистрибутор на храни, адвокатска кантора и дружество за интелектуална собственост, всички в САЩ.  

Спечелилите наддаването плащат, разбира се, с криптовалута. При това, изглежда, че страните се ползват с взаимно доверие, тъй като не би било възможно да се поиска възстановяване на сумата в случай на недоставяне на заплатената информация. 

Продължаване да следим развитието на REvil и ни се иска този бизнес нюх да бъде вложен в положителна кауза. 

Прочетете повече по темата тук

 

В рубриката Бързи новини подбираме водещи заглавия за вас и споделяме линкове към външни публикации.