Útočníci pomáhají obětem zaplatit výkupné, dokonce nabízejí tipy, jak zabránit budoucímu útoku

 

Vzhledem k tomu, že ransomware je stále ziskovější, jedná se o jasnou volbu pro mnoho gangů. S potenciálem způsobit katastrofu v jakékoli organizaci se průměrné náklady na podvod s ransomwarem zvýšily ze 761 106 USD v roce 2020 na 1,85 milionu USD v tomto roce, podle zprávy Sophosu State of Ransomware 2021. Kromě výkupného musí oběti nést velké břemeno přerušení podnikání, důsledky pojistné smlouvy, zmírnění následků, potenciální regulační pokuty, poškození crossoverů třetích stran a poškození pověsti.

Útoky jsou stále propracovanější, často zahrnují více zločineckých gangů a v mnoha organizacích zanechávají pocit, že nemají jinou možnost než zaplatit. Výkupné platí až 56% obětí; ať už platí nebo ne, pouze 29% obětí je schopno obnovit všechny své šifrované soubory; některé zdroje se domnívají, že jde pouze o osm procent.

Každá organizace se musí na tuto hrozbu připravit. Otázkou je, jak to udělat nejlépe. Jako další opatření se můžeme obrátit na nepravděpodobný zdroj s žádostí o radu, jak se vyhnout útoku ransomware - na samotné zločince.

 

Ransomware jako služba

Zatímco ransomware je tu s námi 30 let, rozsah, nástroje a ekosystém se průběžně vyvíjely. Ransomware jako služba je populární model. Kyberzločinci infikují tisíce zařízení malwarem a nabídnou dalším zločincům možnost za poplatek načíst do systémů cokoli chtějí. Help Desky jsou zřízeny tak, aby podporovaly kohokoli, kdo licencuje tyto služby ransomwaru, což znamená, že útočníci nepotřebují žádné speciální technické dovednosti. Tato technická podpora se dokonce vztahuje i na oběti, aby jim poskytly pokyny ohledně vyplácení výkupného.

 

Jednání s kyberzločinci a „dvojitý útok“

Většina helpdesků nebo fór podpory je veřejně přístupná a odhaluje plný rozsah vyjednávání o ransomwaru. Jsou životně důležitým zdrojem informací, protože oběti se často vyhýbají prozrazení své situace ohledně ransomwaru. Nyní víme, že oběti často trpí dvojitým ransomwarovým útokem. Mohou vyjednat a zaplatit výkupné, aby získali dešifrovací klíč k osvobození svých souborů, jen aby byli vydíráni za další poplatek pod hrozbou, že jejich důvěrné údaje budou veřejně vyhozeny, aby je všichni viděli. Jakákoli pojistka kybernetické bezpečnosti, kterou drží a která může pokrývat dešifrovací výkupné, nepokryje druhou platbu, aby se zabránilo vystavení dat.

Navíc se to jen zhoršuje. Organizace, které se rozhodnou platit, mohou být penalizovány za zasílání finančních prostředků počítačovým zločinným skupinám a státem sponzorovaným hacktivistům z ekonomicky sankcionovaných zemí, které jsou na amerických listinách na černé listině. Úřad pro kontrolu zahraničních aktiv amerického ministerstva financí (OFAC) objasňuje toto doporučení ohledně plateb za ransomware. Velké pokuty navíc ke dvěma výkupným, když započítáte náklady na vylepšení obrany, nejen oddalují zmírňování, ale mohou narušit celistvost organizace na celé roky.

Mnoho obětí je zcela vyloučeno z podnikání. Uvědomte si také, že 80% společností, které zaplatily výkupné, byly znovu napadeny. Většina měla podezření, že za druhým útokem stál stejný zločinecký gang, ale útočníci mohli také sdílet nebo prodávat informace o měkkých cílech.

 

Vypracování plánu reakce na mimořádné události

Jasnost toho, co je třeba udělat, zmírní paniku a minimalizuje narušení. Na internetu je spousta dobrých rad a bezpečnostní agentura pro kybernetickou bezpečnost a infrastrukturu je skvělým místem, kde začít. Jak mi na nedávném webináři řekl zvláštní agent dohledu FBI Doug Domin, 20letý veterán z Boston Criminal Computer Intrusion Squad, každý plán ransomwaru by měl obsahovat informace pro kontaktování FBI, ať už jde o vaši místní pobočkuCyWatch nebo Internetové centrum pro stížnosti na zločin.

V České republice toto obstarává Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB), kde lze bezpečnostní incidenty nahlásit - tým expertů zaeviduje, zanalyzuje útok a nabídne Vám pomoc s řešením situace.

 

Skutečné tipy od vyděračů ransomwaru

Útočníci používají podpůrné weby ke komunikaci s cíli, dokonce i k pomáhání obětem při převádění měny s nuceným oběhem na kryptoměny. Vyjednávači ransomwaru z týmů pro reakci na incidenty používají tyto platformy k vyjednávání podmínek a nižších vypořádání.

Agentura Reuters uvedla útok ransomwarem Ragnar Locker na společnost CWT, společnost zabývající se správou cest za 1,5 miliardy dolarů, která na svém seznamu klientů čítá jednu třetinu indexu S&P 500. Útočníci zašifrovali finanční a zaměstnanecká data v hodnotě dvou terabajtů z 30 000 počítačů a požadovali 10 milionů dolarů.

Snímky obrazovky ze zasedání CWT-Ragnar poskytují nejlepší důkaz o tom, co sami vyděrači považují za osvědčené postupy, aby se vyhnuli opakovanému útoku.

Podle očekávání byly nabízeny obecné protokoly, které upravují etiketu hesel, jako je vícefaktorová autentizace, použití alespoň osmi znaků, měsíční aktualizace hesel, vyhýbání se používání osobních údajů (např. Rodné příjmení matky) a porovnávání nových hesel se zveřejněnými a kompromitovanými.

Následuje (doslovně) osm bezpečnostních tipů, které skupina Ragnar přímo navrhla vyjednavači CWT:

  • "Pište ve "skutečném" programovacím jazyce."
  • "Sledujte chybně nakonfigurované brány firewall a zabezpečte zranitelné porty."
  • "Schvalte POUZE spouštění absolutně nezbytných aplikací."
  • "Vynuťte ukončení relací správců."

Mezi další návrhy, které zločinci sdíleli, patří:

  • "Zaměstnávejte správné lidi." Pro velké společnosti doporučujeme, aby alespoň tři správci systému pracovali maximálně 24 hodin, aby administrátor pracoval na tři směny po dobu osmi hodin denně, což by stačilo. “
  • "Zkontrolujte udělená oprávnění pro uživatele, aby jim maximálně omezili oprávnění a měli přístup pouze k přesným aplikacím." Ve většině případů bude k dispozici dostatek standardního softwaru pro Windows, jako je Applocker. “
  • "Nepočítejte s antivirem, žádný A.V. není absolutní, mohou být užitečné pouze při dlouhodobých infekcích, pokud hackeři z nějakých důvodů nezaútočili v krátkém čase. “
  • "Nainstalujte si zabezpečení EDR (Endpoint Detection and Response) a naučte správce IT s ním pracovat."

V konečném důsledku se může ukázat nemožné zabránit útoku ransomwarem, ale kyberzločinci si vždy vyberou cestu nejmenšího odporu. Pokud dokážete ze své organizace učinit náročnější cíl, můžete drasticky snížit riziko, že se stanete obětí.

Autor původního článku: Etay Maor
Překlad: Ondřej Strachota

Kybernetická bezpečnost - aktuality

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu...

Jak může zabezpečení pomocí Sandboxu zvýšit vaše schopnosti detekce a analýzy malwaru?

Při nedávných velkých incidentech, jako byl útok na MGM Resorts nebo únik dat Bank of America, hrály velkou roli exploity typu zero-day, pokročilé perzistentní hrozby (APT) a další komplexní kybernetické hrozby.

Změny v licencování VMware

Akvizice společnosti VMware firmou Broadcom, která byla dokončena 22. listopadu 2023, představuje významný krok v oblasti technologií. Tento krok je součástí strategie Broadcomu rozšířit své portfolio v oblasti infrastrukturních...

Trusted CHAT-GPT s Fujitsu produkty

GenAI a Suverenita dat: Budoucnost on-premise řešení s FujitsuVe světě digitální transformace mění generativní umělá inteligence (GenAI) způsob, jakým organizace fungují, a přináší významné výhody v oblasti efektivity, kreativity a rozhodování.

WI-FI 7 - rychlost a kapacita!

Wifi 7, označované také jako IEEE 802.11be, přináší výrazné zvýšení rychlosti a kapacity sítí. S teoretickými rychlostmi až 46 Gbps, Wifi 7 je zhruba pětkrát rychlejší než předchozí standardy. 

Windows Server 2025 - budoucnost se blíží!

Připravte se na budoucnost s Windows Server 2025! Microsoft přináší řadu novinek a vylepšení, které usnadní správu, zabezpečení a výkon vaší serverové infrastruktury....