Σε μια προσπάθεια να ασκήσουν περισσότερη πίεση στα θύματά τους, ορισμένες συμμορίες ransomware έχουν υιοθετήσει την τεχνική cold-calling. Ουσιαστικά, όταν οι hackers υποψιάζονται ότι τα θύματα προσπαθούν να ανακτήσουν τα αρχεία τους από αντίγραφα ασφαλείας για να αποφύγουν την πληρωμή των λύτρων, τα καλούν στο τηλέφωνο και τους ασκούν πίεση.
“Έχουμε δει αυτήν την τάση τουλάχιστον από τον Αύγουστο-Σεπτέμβριο“, δήλωσε στο ZDNet ο Director of IR & Cyber Threat Intelligence του Arete Incident Response.
Σύμφωνα με την εταιρεία ασφαλείας, Emsisoft, μερικές από τις ransomware συμμορίες που έχουν χρησιμοποιήσει την τεχνική cold-calling είναι οι: Sekhmet και Maze (που τώρα έχουν σταματήσει τις δραστηριότητές τους) καθώς και οι Conti και Ryuk.
“Πιστεύουμε ότι είναι η ίδια ομάδα τηλεφωνικού κέντρου που εργάζεται για όλες τις ransomware συμμορίες, καθώς τα templates και τα scripts είναι βασικά τα ίδια με κάποιες παραλλαγές“, δήλωσε ο Bill Siegel, Διευθύνων Σύμβουλος και συνιδρυτής της εταιρείας ασφάλειας Coveware.
Οι Arete IR και Emsisoft δήλωσαν ότι έχουν δει τέτοιες τηλεφωνικές κλήσεις σε πελάτες τους.
Σύμφωνα με μια ηχογραφημένη κλήση που έγινε για λογαριασμό της ransomware συμμορίας Maze, και κοινοποιήθηκε στο ZDNet, οι καλούντες είχαν έντονη προφορά, το οποίο σημαίνει ότι τα αγγλικά δεν ήταν η μητρική τους γλώσσα.
Μια από τις εταιρείες ασφαλείας έδωσε στη δημοσιότητα ένα παράδειγμα κλήσης (cold calling), αφαιρώντας το όνομα του θύματος:
“Γνωρίζουμε ότι μια IT εταιρεία δουλεύει για το δίκτυό σας. Συνεχίζουμε να σας παρακολουθούμε και γνωρίζουμε ότι κάνετε εγκατάσταση του λογισμικού προστασίας από ιούς SentinelOne σε όλους τους υπολογιστές σας. Αλλά πρέπει να γνωρίζετε ότι αυτό δεν θα βοηθήσει. Εάν θέλετε να σταματήσετε να χάνετε το χρόνο σας και να ανακτήσετε τα δεδομένα σας αυτήν την εβδομάδα, σας συνιστούμε να το συζητήσετε μαζί μας στο chat, αλλιώς τα προβλήματα με το δίκτυό σας δεν θα τελειώσουν ποτέ“.
Ransomware συμμορίες: Εξελίσσουν συνεχώς τις μεθόδους τους
Η χρήση τηλεφωνικών κλήσεων είναι μια νέα τακτική που χρησιμοποιούν οι συμμορίες ransomware για να ασκήσουν πίεση στα θύματα και να τα κάνουν να πληρώσουν τα απαιτούμενα λύτρα.
Προηγούμενες τακτικές περιελάμβαναν το διπλασιασμό του χρηματικού ποσού αν τα θύματα δεν πλήρωναν κατά τη διάρκεια ενός καθορισμένου χρόνου, απειλές για ενημέρωση δημοσιογράφων σχετικά με την παραβίαση της εταιρείας ή απειλές για διαρροή ευαίσθητων εγγράφων στα λεγόμενα “sites διαρροής”.
Η cold calling τακτική για πίεση των θυμάτων εμφανίστηκε τώρα, αλλά δεν είναι η πρώτη φορά που οι συμμορίες ransomware καλούν θύματα (στις προηγούμενες κλήσεις ήταν για εξαπάτηση).
Τον Απρίλιο του 2017, η ομάδα Action Fraud του Ηνωμένου Βασιλείου είχε πει σε σχολεία και πανεπιστήμια ότι ransomware συμμορίες καλούσαν στα γραφεία τους, προσποιούμενοι ότι ήταν κυβερνητικοί λειτουργοί και προσπαθούσαν να εξαπατήσουν τους υπαλλήλους ώστε να ανοίξουν κακόβουλα αρχεία που οδηγούσαν σε ransomware επιθέσεις.
Πηγή: ZDNet