До сих пор одной из самых эффективных, хотя и трудоемких мер защиты от шифровальщиков было резервное копирование данных. Теперь злоумышленники, похоже, нашли управу и на тех, кто полагается на бэкапы: авторы уже нескольких вымогательских программ опубликовали в Сети данные жертв, отказавшихся платить выкуп.
Публикация данных: от слова к делу
Сами по себе угрозы обнародовать конфиденциальную информацию — явление не новое. Например, в 2016 году к этой уловке прибегли авторы шифровальщика, заразившего системы муниципального транспортного агентства Сан-Франциско. Однако они так и не воплотили свою угрозу в жизнь.
Первым начал Maze
В отличие от своих предшественников, создатели вымогателя Maze в конце 2019 года обещание выполнили, причем уже не раз. В ноябре, после того как охранное предприятие Allied Universal отказалось платить выкуп, злоумышленники разместили в Сети 700 МБ данных, в том числе договоры, соглашения об их расторжении, цифровые сертификаты и другую внутреннюю информацию компании. Вымогатели заявили, что опубликовали только 10% украденных данных, и пообещали выложить остальное, если жертвы продолжат упорствовать.
В декабре авторы Maze создали веб-сайт, на котором разместили названия пострадавших компаний, для каждой указали даты заражения, общий объем украденных данных, IP-адреса и имена зараженных серверов и выложили несколько документов. А в конце месяца в Сеть попало 2 ГБ файлов, предположительно принадлежащих администрации города Пенсакола, штат Флорида. По словам вымогателей, они опубликовали эту информацию, чтобы доказать журналистам, что их угрозы — не пустой звук.
И это, похоже, только начало истории: уже в январе в Сеть попали 9,5 ГБ данных компании Medical Diagnostic Laboratories и 14,1 ГБ документов производителя кабелей Southwire, который ранее подал на вымогателей в суд за слив конфиденциальной информации. Иск привел к тому, что сайт Maze закрыли, но это ненадолго.
Последователи: Sodinokibi, Nemty, BitPyLock
Примеру операторов Maze начали следовать другие киберпреступники. Создатели шифровальщика Sodinokibi, который под Новый использовался для атаки на международную финансовую компанию Travelex, в начале января заявили о намерении опубликовать данные клиентов организации. Киберпреступники утверждают, что скопировали более 5 Гб информации, в том числе даты рождения, номера социального страхования и данные платежных карт.
Представители Travelex уверяют, что не видят свидетельств утечки и не собираются платить. По словам злоумышленников, компания, напротив, пошла на переговоры. Неизвестно, сколько в их сообщениях правды, однако их заявления нельзя назвать совсем уж голословными.
Так, 11 января злоумышленники выложили на одном из хакерских форумов ссылки на примерно 337 МБ данных. По их словам, информация принадлежит рекрутинговой компании Artech Information Systems, отказавшейся платить выкуп. Преступники отметили, что это лишь небольшая часть украденных данных. Остальное они намерены уже не опубликовать, а продать, если жертвы не пойдут им навстречу.
Вслед за авторами Sodinokibi планы публиковать конфиденциальные данные «неплательщиков» анонсировали создатели зловреда Nemty. Злоумышленники собираются создать блог, в котором по частям будут выкладывать внутренние документы жертв, не желающих выполнять их требования.
Разработчики шифровальщика BitPyLock подхватили тренд, добавив в записку о выкупе обещание выложить конфиденциальные данные жертв в публичный доступ. Хотя они пока не выполнили эту угрозу, в свете последних событий вполне может оказаться, что и этот зловред ворует информацию.
Не просто шифровальщики
Дополнительная функциональность в шифровальщиках — тоже далеко не новое изобретение. Например, одна из версий трояна Shade еще в 2016 году вместо шифрования файлов устанавливала на зараженный компьютер инструменты удаленного управления, если обнаруживала, что попала на бухгалтерское устройство. Зловред CryptXXX не только шифровал файлы, но и воровал биткойны и учетные данные жертв. А авторы вымогателя RAA укомплектовали некоторые образцы трояном Pony, также нацеленным на кражу учетных данных. Поэтому само по себе то, что шифровальщики начали воровать файлы, не так уж удивительно. Тем более что компании все больше осознают необходимость резервного копирования информации.
Тревожно то, что от таких атак бэкапами не защитишься. Если вы уже заразились, потерь не избежать, и не факт, что только в размере выкупа, — вымогатели не дают никаких гарантий, кроме честного слова. Единственный выход — не допускать шифровальщиков в свои системы.
Как защититься от шифровальщиков
Пока неизвестно, окажется ли новый тренд среди шифровальщиков эффективным или спустя некоторое время от него откажутся. Но сейчас подобные атаки только набирают обороты, поэтому от них необходимо защищаться — ведь раскрытие конфиденциальной информации может ударить по бизнесу еще сильнее, и речь идет не только о репутационном ущербе и коммерческих секретах. Если среди опубликованной информации окажутся персональные данные клиентов, то инцидент может обернуться еще и значительными штрафами.
- Повышайте осведомленность сотрудников в области информационной безопасности. Чем больше они знают, тем меньше вероятность, что фишинг и другие приемы социальной инженерии сработают. У нас есть обучающая платформа Kaspersky Automated Security Awareness Platform, рассчитанная на работников с разными нагрузками, интересами и уровнями доступа к конфиденциальной информации.
- Своевременно обновляйте операционные системы и ПО. Особенно если в нем находят уязвимости, позволяющие проникать в систему без авторизации и захватывать управление над ней.
- Используйте специализированное защитное решение, нацеленное на борьбу с шифровальщиками. Например, нашу утилиту Kaspersky Anti-Ransomware Tool можно скачать абсолютно бесплатно.