În conformitate cu „noul normal”, hackerii amenință acum și cu eliberarea datelor criptate “în sălbăticie”. Ransomware 2.0 s-a transformat în ceva „și mai nociv” și o „amenințare și mai mare”.
Acesta funcționează astfel încât chiar și copiile de rezervă ale celor mai importante fișiere nu vor putea salva o organizație infectată.
Începând cu anul trecut, operatorii de ransomware și-au escaladat strategiile de extorsiune, furând fișiere de la victime înainte de criptarea datelor. Aceste fișiere furate sunt apoi folosite ca o pârghie suplimentară pentru a obliga victimele să plătească.
Mulți operatori de ransomware au creat site-uri pentru a-și “rușina” public victimele și a publica fișierele furate. Deoarece acum este o tactică standard într-o campanie ransomware, toate atacurile trebuie tratate ca o încălcare a securității datelor.
Mai jos este o listă de campanii ransomware care au un site dedicat pentru publicarea datelor furate:
1. AKO Ransomware
AKO ransomware-ul a început să funcționeze în ianuarie 2020 când au început să țintească rețele corporative cu servicii RDP expuse.
Spre deosebire de alte ransomware-uri, Ako solicită companiilor ce dețin date valoroase, să plătească răscumpărarea și o cerere suplimentară pentru a șterge datele furate.
Dacă nu se efectuează plata, datele victimei sunt publicate pe blogul personal „Data Leak Blog”.
2. CL0P Ransomware
CL0P a început ca o variantă CryptoMix și a devenit în curând ransomware-ul ales pentru un grup APT cunoscut sub numele de TA505.
Această grupare a câștigat atenția mass-media prin criptarea a 267 de servere la Universitatea Maastricht.
În martie 2020, CL0P a lansat un site de publicare a datelor exfiltrate numit „CL0P ^ -LEAKS”, unde publică datele victimei.
3. DoppelPaymer Ransomware
În iulie 2019, a apărut DoppelPaymer, se crede că un membru al grupului BitPaymer s-a despărțit și a creat acest ransomware pentru o nouă campanie.
DoppelPaymer se propagă prin atacuri remote dasktop realizate de troianul Dridex. Dintre cele mai cunoscute victime ale sale se numără Bretagne Télécom și Orașul Torrance din Los Angeles.
În februarie 2020, DoppelPaymer a lansat un site dedicat scurgerilor de date pe care le numesc „Dopple Leaks” și a amenință să vândă date pe Dark Web dacă o victimă nu plătește.
4. Maze Ransomware
Maze se poate spune că este singurul vinovat pentru noua tactică de a fura fișierele și de a le folosi ca pârghie pentru a determina victima să le răscumpere.
Prima dată observat în mai 2019, Maze a escaladat rapid atacurile folosind kituri de exploatare, spam și alte tehnici de data breach.
În noiembrie 2019, Maze a publicat datele furate ale Allied Universal pentru neplătirea răscumpărării. De atunci, au început să publice datele extrase de la numeroase victime prin postări pe forumuri de hacking și în cele din urmă un site dedicat scurgerilor de date.
Maze este responsabilă pentru numeroase atacuri de înaltă calitate, inclusiv cele asupra asiguratorului cibernetic Chubb, Orașului Pensacola, Bouygues Construction și Banco BCR.
5. Nemty Ransomware
Lansat inițial în ianuarie 2019 sub numele de JSWorm, ransomware-ul s-a redenumit ca Nemty în august 2019.
Se distribuie prin mai multe metode, inclusiv kituri de exploatare, spam, atacuri RDP și troieni.
În martie 2020, Nemty a creat un site de publicare a datelor victimelor sale. Acest site nu este accesibil în acest moment.
6. Nephilim Ransomware
Pe 30 martie 2020, operatorul Nemty ransomware a început să construiască o nouă echipă de afiliați pentru un Ransomware-as-a-Service privat numit Nephilim.
Spre deosebire de Nemty, un RaaS gratuit, care a permis oricui să se alăture, Nephilim a fost construit recrutând doar distribuitori și hackeri malware cu experiență.
La scurt timp, au creat un site numit „Leaks corporative” pe care îl folosesc pentru a publica datele furate ale victimelor care refuză să plătească o răscumpărare.
7. Netwalker Ransomware
Apărut în octombrie 2019 ransomware-ul Mailto, acesta a fost redenumit ca Netwalker în februarie 2020.
Netwalker vizează rețelele corporative distribuindu-se prin atacuri RDP și spam. Cel mai cunoscut atac al său este împotriva companiei australiene de transport Toll Group.
În mai 2020, Newalker a început să recruteze parteneri atrăgându-i cu plăți uriașe și un site de publicare automată a datelor exfiltrate.
8. Pysa Ransomware (Mespinoza)
Pysa a apărut pentru prima dată în octombrie 2019. Și acest ransomware vizează rețelele corporative iar textul de răscumpărare începe cu „Bună companie”.
Pentru cei interesanți în a citi mai multe despre acest ransomware, CERT-FR are un raport despre tacticile, tehnicile și procedurile lor.
Site-ul în care sunt publicate datele furate ale „partenerilor” lor dacă nu este plătită o răscumpărare se numește „Pysa Homepage”
9. Ragnar Locker Ransomware
Văzut pentru prima dată în februarie 2020, Ragnar Locker a fost primul care vizează la închiderea proceselor utilizate de Managed Service Providers (MSP).
Această tactică arată că sunt vizate rețelele corporative și închiderea acestor procese îngreunează detectarea și stoparea de către un MSP a unui atac în desfășurare.
Ragnar Locker a câștigat atenția mass-media după criptarea gigantului energetic portughez Energias de Portugal (EDP) și a cerut o răscumpărare de 1.580 BTC.
RagnarLocker a creat un site web numit „Ragnar Leaks News” unde publică datele furate ale victimelor care nu plătesc răscumpărarea.
10. Revil / Sodinokibi Ransomware
Sodinokibi a apărut în aprilie 2019 și se crede că este succesorul lui GandCrab.
Cunoscut și sub numele de REvil, Sodinokibi are ca ținte rețelele corporative. Au fost recrutați recrutati afiliați specializați în pe atacuri care folosesc exploit-uri, atacuri asupra MSP-urilor și spam.
Cele mai cunoscute victime ale ransomware-ului REvil sunt: Grubman Shire Meiselas & Sacks (GSMLaw), SeaChange, Travelex, Kenneth Cole și GEDIA Automotive Group.
După ce Maze a început să publice fișiere furate, Sodinokibi i-a urmat exemplul, publicând mai întâi datele furate pe un forum de hackeri și apoi lansând un site dedicat pentru a distribui datele exfiltrate intitulat „Happy Blog”.
11. Sekhmet Ransomware
Sekhmet a apărut în martie 2020, când a început să vizeze rețelele corporative.
“Rețeaua companiei dvs. a fost compromisă. Am descărcat date confidențiale și private. Dacă nu ne veți contacta în 3 zile lucrătoare, aceste date vor fi publicate pe un site web special disponibil pentru vizualizare publică“, precizează nota de răscumpărare a lui Sekhmet.
Operatorii Sekhmet au creat un site web intitulat „Leaks leaks and leaks” în care publică date furate de la victimele lor.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe Facebook, Twitter sau pe adresa de email [email protected].