Μία νέα κακόβουλη ομάδα που εντοπίστηκε ως SnapMC, εμφανίστηκε στο χώρο του κυβερνοεγκλήματος, εκτελώντας την τυπική κλοπή δεδομένων με εκβιασμό που υποστηρίζει λειτουργίες ransomware, χωρίς όμως να κρυπτογραφήσει τα αρχεία.
Δείτε επίσης: Νέο Python ransomware: Κρυπτογράφησε σύστημα μέσα σε τρεις ώρες
Η κρυπτογράφηση αρχείων θεωρείται βασικό συστατικό των επιθέσεων ransomware, καθώς είναι το στοιχείο που πιέζει περισσότερο το θύμα.
Η κλοπή των δεδομένων για σκοπούς διπλής εκβίασης, ήρθε αργότερα ως πρόσθετη μορφή πίεσης του θύματος, αλλά πάντα βρισκόταν πίσω σε σχέση με το χάος που μπορούσε να προκαλέσει η κρυπτογράφηση ενός δικτύου.
Σύντομα, οι επιτιθέμενοι ransomware συνειδητοποίησαν τη δύναμη αυτής της προσέγγισης, καθώς πολλές εταιρείες μπορούσαν να αποκαταστήσουν τα κατεστραμμένα αρχεία από αντίγραφα ασφαλείας, αλλά δεν μπορούσαν να επαναφέρουν τα κλεμμένα αρχεία και τις συνέπειές τους.
Οι ερευνητές στο NCC Group, παρακολουθούν έναν νέο αντίπαλο τον οποίο ονομάζουν SnapMC, ο οποίος πήρε το όνομά του από την μέθοδο που ακολουθεί η ομάδα, ο οποίος εισέρχεται σε δίκτυα, κλέβει αρχεία και παραδίδει μηνύματα εκβιασμού σε λιγότερο από 30 λεπτά.
Η συμμορία SnapMC χρησιμοποιεί τον σαρωτή ευπάθειας Acunetix, για να εντοπίσει μια σειρά από ελαττώματα στα VPN ενός στόχου και στις εφαρμογές διακομιστή ιστού και στη συνέχεια τα εκμεταλλεύεται με επιτυχία για να παραβιάσει το εταιρικό δίκτυο.
Τα πιο εκμεταλλευόμενα ελαττώματα που παρατηρήθηκαν στις αρχικές προσπάθειες πρόσβασης του κακόβουλου παράγοντα, περιλαμβάνουν το PrintNightmare LPE, απομακρυσμένη εκτέλεση κώδικα στο Telerik UI για ASPX.NET, καθώς και διάφορες επιθέσεις SQL injection.
Δείτε ακόμα: Χειριστές ransomware συνελήφθησαν στην Ουκρανία
Οι ηθοποιοί χρησιμοποιούν σενάρια εξαγωγής βάσης δεδομένων SQL για να κλέψουν τα δεδομένα, ενώ τα αρχεία CSV συμπιέζονται με το βοηθητικό πρόγραμμα αρχειοθέτησης 7zip πριν από τη διήθηση. Μόλις τακτοποιηθούν όλα, ο πελάτης MinIO χρησιμοποιείται για την αποστολή των δεδομένων πίσω στον εισβολέα.
Λαμβάνοντας υπόψη ότι η SnapMC αξιοποιεί γνωστά τρωτά σημεία που έχουν ήδη διορθωθεί, η ενημέρωση των εργαλείων λογισμικού σας θα ήταν ένας καλός τρόπος για να προστατευτείτε από αυτήν την αυξανόμενη απειλή.
Όπως επισημαίνει η ομάδα NCC στην έκθεσή της, ακόμη και αν ένας οργανισμός χρησιμοποιεί ευάλωτη έκδοση του Telerik, η τοποθέτησή του πίσω από ένα καλά διαμορφωμένο τείχος προστασίας εφαρμογών Web θα καθιστούσε μάταιες τις όποιες προσπάθειες εκμετάλλευσης.
Σε επιθέσεις εκβιασμού εξώθησης δεδομένων, η ικανοποίηση των απαιτήσεων του φορέα απειλής πληρώνοντας ransomware, δεν εγγυάται τίποτα. Αντίθετα, θα μπορούσε να δώσει στους hackers ένα κίνητρο να επιχειρήσουν περαιτέρω εκβιασμούς στο μέλλον.
Είναι επίσης πιθανό ότι ακόμη και αν ένα θύμα πληρώσει τα λύτρα, τα δεδομένα του μπορεί να καταλήξουν να πωλούνται σε αγορές εγκληματικών αγορών ή φόρουμ ως πρόσθετος τρόπος δημιουργίας εσόδων για τους επιτιθέμενους.
Η εταιρεία διαπραγματεύσεων Ransomware Coveware, συμβουλεύει έντονα τους πελάτες της να μην πληρώνουν ποτέ λύτρα για να αποτρέψουν τη διαρροή κλεμμένων αρχείων στο κοινό.
Δείτε επίσης: HSE επίθεση: Οι hackers δίνουν εργαλείο αποκρυπτογράφησης, αλλά απειλούν με διαρροή δεδομένων
Κατά τη διάρκεια διαπραγματευτικών υποθέσεων στο παρελθόν, τα θύματα πλήρωσαν λύτρα και τα δεδομένα τους διέρρευσαν ή δεν δόθηκε ποτέ απόδειξη διαγραφής.
Εξαιτίας αυτού, τα θύματα πρέπει να υποθέσουν αυτόματα ότι τα δεδομένα τους έχουν κοινοποιηθεί σε άλλους φορείς απειλής και ότι θα χρησιμοποιηθούν ή θα διαρρεύσουν στο μέλλον, ανεξάρτητα από το αν πλήρωσαν λύτρα.
