Hakerzy testują nowy, destrukcyjny rodzaj ataku ransomware

Oprogramowanie ransomware sieje od kilku lat spustoszenie, zarówno wielkie koncerny, jak i małe firmy bardzo często ulegają dyktatowi napastników i płacą wysokie okupy za odszyfrowanie danych. To jednak najwyraźniej nie wystarcza cyberprzestępcom, bowiem poszukują oni cały czas metod pozwalających jeszcze bardziej zwiększyć presję na ofiarach.

Według badaczy cyberbezpieczeństwa z Cyderes i Stairwell co najmniej jedna grupa ransomware testuje ataki polegające na niszczeniu danych. To wyjątkowo niebezpieczna sytuacja dla ofiar tego typu incydentów, ponieważ niejednokrotnie udaje się odszyfrować pliki bez płacenia haraczu. Natomiast groźba całkowitego uszkodzenia serwerów może skłonić dużo więcej poszkodowanych do poddania się i wypłacenia gangom ransomware okupu.

Niszczenie danych jest powiązane z Exmatter, narzędziem do eksfiltracji .NET, które było wcześniej używane w ramach ataków ransomware BlackMatter. Powszechnie podejrzewa się, że BlackCat jest rebrandingiem BlackMatter – który wcześniej był znany jako Darkside, czyli gang ransomware stojący za atakiem na Colonial Pipeline.

W poprzednich działaniach ransomware Exmatter był używany do pobierania określonych typów plików z wybranych katalogów i przesyłania ich na serwery kontrolowane przez atakującego przed uruchomieniem złośliwego oprogramowania.

Jednak analiza nowej próbki Exmattera użytej w ramach ataku BlackCat sugeruje, że zamiast szyfrowania plików narzędzie do eksfiltracji służy do uszkadzania i niszczenia plików.

- Istnieje kilka powodów, dla których cyberprzestępcy sięgają po nową metodę. Po pierwsze, groźba zniszczenia danych zamiast ich zaszyfrowania może stanowić dodatkową zachętę dla ofiar ataków do zapłaty okupu. Wyeliminowanie etapu szyfrowania danych przyspiesza proces i eliminuje ryzyko nieotrzymania pełnej kwoty. Ponadto tworzenie destrukcyjnego złośliwego oprogramowania jest mniej skomplikowane niż projektowanie ransomware – dlatego wykorzystanie ataków niszczących dane może zająć mniej zasobów i czasu, zapewniając atakującym większe zyski - tłumaczy Mariusz Politowicz z firmy Marken, dystrybutor rozwiązań Bitdefender w Polsce.

Ataki ransomware mogą być niezwykle szkodliwe, ale istnieją kroki, które organizacje mogą podjąć, aby zwiększyć niezawodność swoich sieci i chronić przed atakami. Obejmują one terminowe stosowanie poprawek i aktualizacji zabezpieczeń, aby uniemożliwić hakerom wykorzystywanie znanych luk w zabezpieczeniach do przeprowadzania ataków, a także wdrożenie w całej sieci uwierzytelniania wieloskładnikowego.

Źródło: marken.com.pl; bitdefender.pl