Οι ransomware ομάδες δίνουν πλέον προτεραιότητα στην κλοπή δεδομένων από workstations που χρησιμοποιούν κορυφαία στελέχη και διευθυντές εταιρειών. Στόχος τους είναι να κλέψουν σημαντικές πληροφορίες, τις οποίες μπορούν αργότερα να χρησιμοποιήσουν για να πιέσουν και να εκβιάσουν τα κορυφαία στελέχη μιας εταιρείας να πληρώσουν υψηλά ποσά σε λύτρα.
Η νέα αυτή τακτική των χάκερς αποκαλύφθηκε από το ZDNet την προηγούμενη εβδομάδα, αφότου αυτό πραγματοποίησε τηλεφωνική κλήση με μια εταιρεία που πλήρωσε λύτρα πολλών εκατομμυρίων δολαρίων στην συμμορία του Clop ransomware. Παρόμοιες κλήσεις με άλλα θύματα του Clop και συνεντεύξεις μέσω email με εταιρείες κυβερνοασφάλειας αργότερα επιβεβαίωσαν πως πρόκειται για μία τεχνική που η συμμορία του Clop έχει τελειοποιήσει τους τελευταίους μήνες.
Τα τελευταία δύο χρόνια, οι ransomware ομάδες έχουν εξελιχθεί, έχοντας πλέον ως βασικό στόχο όχι οικιακούς καταναλωτές αλλά εταιρείες υψηλού προφίλ. Οι χάκερς παραβιάζουν εταιρικά δίκτυα, κλέβουν ευαίσθητα αρχεία, τα οποία στη συνέχεια κρυπτογραφούν, και αφήνουν σημειώματα λύτρων στους παραβιασμένους υπολογιστές.
Σε ορισμένες περιπτώσεις, ένα σημείωμα λύτρων ενημερώνει τις εταιρείες ότι πρέπει να πληρώσουν λύτρα για να λάβουν ένα κλειδί αποκρυπτογράφησης. Σε περίπτωση κλοπής δεδομένων, κάποια σημειώματα λύτρων ενημερώνουν επίσης τα θύματα ότι εάν δεν πληρώσουν τα απαιτούμενα λύτρα, τα κλεμμένα δεδομένα θα δημοσιευτούν σε data leak sites.
Οι ransomware ομάδες ελπίζουν ότι οι εταιρείες θα κάνουν τα πάντα για να αποφύγουν τη δημοσίευση εμπιστευτικών κι ευαίσθητων δεδομένων τους, τα οποία, σε περίπτωση έκθεσης, θα είναι προσβάσιμα στους ανταγωνιστές. Συνεπώς, θα είναι πιο πρόθυμες να πληρώσουν τα απαιτούμενα λύτρα, αντί να επιχειρήσουν αποκατάσταση από αντίγραφα ασφαλείας.
Υπάρχουν επίσης περιπτώσεις στις οποίες ransomware ομάδες έχουν πει σε εταιρείες ότι η δημοσίευση των δεδομένων τους θα ισοδυναμούσε επίσης με παραβίαση δεδομένων, η οποία πιθανώς να οδηγούσε σε επιβολή προστίμου στο εκάστοτε θύμα από τις αρχές, ενώ επίσης θα αμαυρωνόταν η φήμη του. Αυτό είναι σαφώς κάτι που οι εταιρείες θέλουν επίσης να αποφύγουν.
Ωστόσο, οι ransomware ομάδες δεν καταφέρνουν πάντα να κλέψουν δεδομένα ή ευαίσθητες πληροφορίες στις επιθέσεις τους. Αυτό μειώνει την ικανότητά τους να διαπραγματεύονται και να πιέζουν τα θύματα. Γι’αυτό, σε πρόσφατες επιθέσεις, μια ομάδα που έχει συχνά χρησιμοποιήσει το στέλεχος Clop ransomware ψάχνει συγκεκριμένα για workstations μέσα σε μια παραβιασμένη εταιρεία, που χρησιμοποιούνται από τα κορυφαία στελέχη της.
Συγκεκριμένα, οι χάκερς ψάχνουν τα αρχεία και τα email ενός διευθυντή, ενώ κλέβουν δεδομένα που πιστεύουν ότι μπορεί να είναι χρήσιμα για να απειλήσουν ή να πιέσουν τη διοίκηση μιας εταιρείας. Τα ίδια άτομα που πιθανότατα θα ήταν υπεύθυνα για την έγκριση της ζήτησης λύτρων μέρες αργότερα.
Ο Stefan Tanase, ειδικός στον κυβερνοχώρο στην CSIS Group, δήλωσε στο ZDNet τα εξής: «Πρόκειται για ένα νέο modus operandi των ransomware συμμορίων, αλλά μπορώ να πω ότι δεν εκπλήσσομαι. Οι ransomware ομάδες συνήθως στοχεύουν στους “πολύτιμους λίθους” μιας επιχείρησης. Συνήθως είναι servers αρχείων ή βάσεις δεδομένων, όταν πρόκειται για την αποβολή δεδομένων με σκοπό τη διαρροή τους. Είναι λογικό να ακολουθούν οι συσκευές κορυφαίων στελεχών, εάν αυτό θα έχει ακόμα μεγαλύτερη επίδραση.»
Επιπλέον, ο Brett Callow, αναλυτής απειλών στην εταιρεία κυβερνοασφάλειας “Emsisoft”, δήλωσε στο ZDNet ότι, μέχρι στιγμής, έχουν δει μόνο τέτοιες τακτικές σε περιστατικά που συνδέονται με το Clop ransomware. Ο Callow πρόσθεσε ακόμη ότι τα τελευταία δύο χρόνια, οι τακτικές που χρησιμοποιούν οι ransomware ομάδες έχουν γίνει όλο και πιο ακραίες, καθώς τώρα χρησιμοποιούν κάθε δυνατή μέθοδο για να πιέσουν τα θύματά τους. Ανάμεσα στις τακτικές που χρησιμοποιούν περιλαμβάνονται παρενόχληση και απειλή μέσω τηλεφωνικών κλήσεων τόσο σε στελέχη όσο και σε πελάτες και επιχειρηματικούς συνεργάτες, διαφημίσεις στο Facebook, προσέγγιση Τύπου και απειλές για την αποκάλυψη “βρώμικου χρήματος” των εταιρειών.
Επίσης, ο Evgueni Erchov, διευθυντής στο τμήμα απόκρισης περιστατικών και κυβερνοαπειλών στην Arete IR, ανέφερε ότι ένας συνεργάτης των επιχειρήσεων του REVil/Sodinokibi ransomware έχει ήδη υιοθετήσει αυτήν την τεχνική από την συμμορία του Clop. Ειδικότερα, κατάφερε να βρει έγγραφα που αφορούν εσωτερικές συζητήσεις των θυμάτων. Στη συνέχεια, χρησιμοποίησε αυτές τις πληροφορίες και επικοινώνησε με τα στελέχη μέσω email, τα οποία απείλησε ότι θα δημοσιοποιήσει τα δεδομένα του φερόμενου “παραπτώματος” της διοίκησης.
Ο Bill Siegel, Διευθύνων Σύμβουλος και συνιδρυτής της εταιρείας ασφαλείας “Coveware”, επεσήμανε ότι σε πολλές περιπτώσεις, τα δεδομένα που χρησιμοποιούνται σε εκβιασμούς που στοχεύουν στη διαχείριση μιας εταιρείας, δεν ανταποκρίνονται πάντα στην πραγματικότητα. Πρόσθεσε επίσης ότι δεν έχει καταγραφεί κάποια περίπτωση όπου τα κλεμμένα δεδομένα έδειξαν πραγματικά στοιχεία εταιρικής ή προσωπικής κακής χρήσης. Ως επί το πλείστον, είναι απλώς μια τακτική τρόμου για να αυξήσουν οι χάκερς την πιθανότητα πληρωμής των λύτρων. Τέλος, ο Siegel τόνισε ότι πρόκειται για εγκληματίες εκβιαστές, οι οποίοι λένε πολλά «φανταστικά» πράγματα, αν αυτά πρόκειται να τους αποφέρουν χρήματα.
Πρόκειται για πληροφορίες που συνέλεξε το ZDNet, με τη βοήθεια της εταιρείας ασφαλείας “S2W Lab”.
