Η συμμορία πίσω από το Conti ransomware μπήκε στην “παρέα” των hackers που δημιουργούν “site διαρροής” για τα δεδομένα των θυμάτων.
Μια από τις μεγαλύτερες απειλές στον κυβερνοχώρο είναι οι ransomware επιθέσεις. Ωστόσο, τους τελευταίους μήνες όλο και περισσότερες ransomware συμμορίες συνδυάζουν αυτές τις επιθέσεις με παραβιάσεις δεδομένων, αφού δημιουργούν τα λεγόμενα “sites διαρροής“, τα οποία χρησιμοποιούν για να εκθέτουν ευαίσθητα έγγραφα από εταιρείες που αρνούνται να πληρώσουν τα λύτρα.
Αυτά τα “sites διαρροής” αποτελούν μια νέα τάση, αφού οι ransomware ransomware υιοθετούν τη νέα τακτική που ονομάζεται “διπλός εκβιασμός“.
Ένα αντιπροσωπευτικό παράδειγμα του τρόπου με τον οποίο οι συμμορίες ransomware χρησιμοποιούν τα “sites διαρροής” και τον “διπλό εκβιασμό” για να ασκήσουν πίεση στα θύματα, είναι η περίπτωση του Πανεπιστημίου της Γιούτα.
Πριν λίγες μέρες, η διοίκηση του πανεπιστημίου παραδέχτηκε ότι πλήρωσε ένα μεγάλο ποσό σε μια συμμορία ransomware, παρά το ότι είχε επαναφέρει τα κρυπτογραφημένα αρχεία μέσω αντιγράφων ασφαλείας.
Το πανεπιστήμιο είπε ότι αναγκάστηκε να πληρώσει τη συμμορία επειδή οι hackers απείλησαν ότι θα διαρρεύσουν αρχεία που περιέχουν ευαίσθητα δεδομένα φοιτητών.
Όλο και περισσότερες ransomware συμμορίες δημιουργούν sites διαρροής
Αυτό το διάστημα, όλο και περισσότερες ransomware συμμορίες στρέφονται σε sites διαρροής για να ασκήσουν πρόσθετη πίεση στα θύματα.
Τα καλά νέα είναι ότι δεν έχουν όλες οι συμμορίες το δικό τους site. Ωστόσο, ο αριθμός τους αυξάνεται σταθερά από τον Δεκέμβριο του 2019, όταν οι χειριστές του Maze ransomware έκαναν την αρχή και δημιούργησαν το πρώτο site.
Σήμερα, η λίστα των συμμοριών ransomware που χρησιμοποιούν sites διαρροής περιλαμβάνει τις: Ako, Avaddon, CLOP, Darkside, DoppelPaymer, Maze, Mespinoza (Pysa), Nefilim, NetWalker, RagnarLocker, REvil (Sodinokibi) και Sekhmet.
Ορισμένες από αυτές τις ομάδες δεν είναι ιδιαίτερα γνωστές, αλλά υπάρχουν άλλες όπως οι Maze, DoppelPaymer, REvil και NetWalker που είναι από τις μεγαλύτερες απειλές.
Άλλες ομάδες, όπως οι BitPaymer, WastedLocker, LockBit, ProLock και Dharma, δεν έχουν ακόμη υιοθετήσει αυτή την τακτική. Ένας λόγος μπορεί να είναι ότι κάποιες ομάδες δεν θέλουν να τραβήξουν πολύ την προσοχή και τα sites διαρροής τείνουν να προσελκύουν υπερβολική προσοχή από δημοσιογράφους, εταιρείες ασφάλειας στον κυβερνοχώρο, και αξιωματούχους επιβολής του νόμου.
Το Conti ransomware δημιουργεί δικό του site διαρροής
Από την περασμένη εβδομάδα, άλλη μια σημαντική ransomware ομάδα μπήκε στο παιχνίδι του διπλού εκβιασμού και δημιούργησε ένα δικό της site διαρροής.
Η ομάδα χειρίζεται το σχετικά νέο Conti ransomware, που λέγεται ότι χρησιμοποιείται από τους χειριστές του Ryuk ransomware.
Το site διαρροής της ransomware ομάδας Conti ανακαλύφθηκε από έναν αναλυτή κακόβουλου λογισμικού με το ψευδώνυμο BreachKey. Το site είναι διαθέσιμο σε διαφορετικές διευθύνσεις URL τόσο στο δημόσιο Διαδίκτυο όσο και στο dark web.
Ο BreachKey είπε ότι το site περιλαμβάνει ήδη αρχεία 26 εταιρειών που έχουν πέσει θύματα των επιθέσεων της ομάδας και έχουν αρνηθεί να πληρώσουν τα λύτρα.
Η δημιουργία ενός ακόμη site διαρροής δείχνει ότι το σύστημα διπλού εκβιασμού είναι εδώ για να μείνει.
Αυτή η νέα τάση σημαίνει, επίσης, ότι πρέπει να πραγματοποιηθούν αλλαγές στον τρόπο με τον οποίο οι εταιρείες αντιμετωπίζουν τις επιθέσεις ransomware. Ενώ στο παρελθόν, οι εταιρείες-θύματα έπρεπε μόνο να ανακτήσουν τα αρχεία τους και να επανέλθουν στις καθημερινές δραστηριότητές τους, τώρα πρέπει να αντιμετωπίσουν και την παραβίαση και την πιθανή διαρροή δεδομένων.