Μια συμμορία ransomware χρησιμοποιεί μια νέα τεχνική για να ασκήσει περισσότερη πίεση στα θύματα και να αυξήσει τις πιθανότητες να πληρώσουν τα λύτρα. Οι hackers παραβιάζουν εταιρικά sites (defacement) και εμφανίζουν στην αρχική σελίδα τα “σημειώματα για λύτρα”, τα οποία ενημερώνουν τα θύματα για τη ransomware επίθεση και ζητούν χρήματα. Αυτή η νέα τεχνική εκβιασμού διεξάγεται από την Industrial Spy, μια συμμορία εκβιαστών που πρόσφατα άρχισε να χρησιμοποιεί το ransomware ως μέρος των επιθέσεών της.
Δείτε επίσης: Microsoft: Εμπόδισε επιθέσεις που έκαναν κατάχρηση του OneDrive
Οι hackers της Industrial Spy παραβιάζουν αρχικά τα δίκτυα των εταιρειών, κλέβουν δεδομένα και αναπτύσσουν το ransomware στις συσκευές των θυμάτων. Στη συνέχεια, οι επιτιθέμενοι απειλούν να πουλήσουν τα κλεμμένα δεδομένα στο Tor marketplace τους, εάν δεν λάβουν τα λύτρα.
Website defacement ως μέρος του εκβιασμού
Η ransomware ομάδα/ομάδα εκβιαστών Industrial Spy άρχισε να πουλά δεδομένα που, κατά τα λεγόμενά της, είχαν κλαπεί από μια γαλλική εταιρεία με το όνομα SATT Sud-Est. Τα δεδομένα πωλούνται για 500.000 $.
 και εμφανίζουν στην αρχική σελίδα τα "σημειώματα για λύτρα", που ενημερώνουν για τη ransomware){kind=link}
Όπως παρατηρήθηκε από το MalwareHunterTeam, αυτή η επίθεση ξεχωρίζει επειδή μετά το ransomware, οι επιτιθέμενοι χάκαραν και το site της εταιρείας για να εμφανίσουν ένα μήνυμα που προειδοποιεί ότι είχαν κλαπεί 200 GB δεδομένων και ότι σύντομα θα βρίσκονταν προς πώληση εάν το θύμα δεν πληρώσει λύτρα.
Δείτε επίσης: Atlassian Confluence zero-day: Χρησιμοποιείται ενεργά σε επιθέσεις
Όταν οι συμμορίες ransomware εκβιάζουν ένα θύμα, συνήθως του δίνουν ένα χρονικό περιθώριο (μερικές ημέρες ή εβδομάδες) για να διαπραγματευτούν και να πληρώσουν τα λύτρα προτού αρχίσει η διαρροή δεδομένων. Κατά τη διάρκεια αυτής της διαδικασίας διαπραγμάτευσης, οι φορείς απειλών υπόσχονται να κρατήσουν μυστική την επίθεση, να δώσουν ένα κλειδί αποκρυπτογράφησης και να διαγράψουν όλα τα δεδομένα εάν καταβληθούν τα λύτρα.
Μετά από αυτήν την περίοδο, οι φορείς των ransomware επιθέσεων χρησιμοποιούν διάφορες μεθόδους για να αυξήσουν την πίεση (π.χ. DdoS επιθέσεις σε εταιρικά sites, αποστολή email σε πελάτες και επιχειρηματικούς συνεργάτες, απειλές κ.λπ.).
Δείτε επίσης: Το Conti ransomware είχε στοχεύσει Intel firmware για κρυφές επιθέσεις
Ωστόσο, όλα αυτά γίνονται συνήθως ιδιωτικά ή με ελάχιστη έκθεση σε sites διαρροής δεδομένων που έχουν φτιάξει οι ίδιοι οι hackers. Αυτά τα sites τα επισκέπτονται κατά βάση ερευνητές ασφαλείας, ίσως και κάποια μέσα ενημέρωσης.
Τώρα, είναι η πρώτη φορά που βλέπουμε μια συμμορία ransomware να κάνει defacement σε εταιρικά sites για να εμφανίσει δημόσια ένα σημείωμα λύτρων. Αυτή η τεχνική επιτρέπει στη συμμορία ransomware να ασκήσει περαιτέρω πίεση σε ένα θύμα, καθώς οποιοσδήποτε (πελάτες, συνεργάτες κ.λπ.) μπορεί να δει ότι η εταιρεία έχει παραβιαστεί.
Πηγή: www.bleepingcomputer.com