Хакеры-вымогатели экспериментируют с новым видом атак, которые вместо шифрования данных полностью уничтожают их. Цель состоит в том, чтобы сделать невозможным восстановление данных, если жертва не заплатит выкуп.
Шифровальщики - одна из самых серьезных проблем кибербезопасности, с которыми сталкивается мир сегодня, и хотя многие жертвы отказываются поддаваться на вымогательство, многие считают, что у них нет другого выбора, кроме как заплатить за ключ для расшифровки.
Но, по данным исследователей кибербезопасности из Cyderes и Stairwell, по крайней мере одна группа разработчиков шифровальщиков тестирует атаки «уничтожения данных».
Это может быть опасно для жертв атак, поскольку, хотя часто можно вернуть зашифрованные файлы без выплаты выкупа, угроза полного уничтожения серверов в случае невыполнения требований вымогателей может подтолкнуть еще больше жертв к уступкам.
Признаки появления новой тактики были обнаружены аналитиками по кибербезопасности в ходе и следования атаки шифровальщика BlackCat - также известного как ALPHV.
BlackCat стал виновником целого ряда инцидентов по всему миру, но преступники всегда ищут новые способы сделать атаки более эффективными - и, похоже, они тестируют новую стратегию с вредоносным ПО, уничтожающим данные.
Уничтожение данных связано с Exmatter, инструментом извлечения на .NET, который ранее использовался в атаках BlackMatter. Многие подозревают, что BlackCat - это ребрендинг BlackMatter, который, в свою очередь, был ребрендингом Darkside, программы-вымогателя, стоящей за атакой на Colonial Pipeline.
В предыдущих атаках вымогателей Exmatter использовался для получения определенных типов файлов из выбранных каталогов и загрузки их на контролируемые злоумышленниками серверы, после чего на зараженных системах запускался вркедонос и файлы шифровались, а злоумышленники требовали плату за ключ.
Однако анализ нового образца Exmatter, использованного в атаке BlackCat, показывает, что вместо шифрования файлов инструмент используется для повреждения и уничтожения файлов.
Есть несколько причин, по которым киберпреступники могут экспериментировать с этой новой тактикой. Во-первых, угроза уничтожения данных вместо их шифрования может послужить дополнительным стимулом для жертвы атаки заплатить.
«Исключение этапа шифрования данных ускоряет процесс и устраняет риск того, что жертва не получит полную выплату или найдет другие способы расшифровать данные» - предупреждают исследователи из Cyderes.
Кроме того, разработка вредоносного стирателя данных менее сложна, чем разработка шифровальщиков, поэтому использование атак на уничтожение данных может занять меньше ресурсов и времени, обеспечивая злоумышленникам большую прибыль.
«Создание стабильных и надежных шифровальщиков - гораздо более трудоемкий процесс, чем создание вредоносного ПО, предназначенного для повреждения файлов, вместо этого арендуя большой сервер для получения украденных файлов и возвращая их после оплаты» - заявляет Дэниел Майер, исследователь угроз из Stairwell.
«Вымогатели, вероятно, продолжат экспериментировать с извлечением и уничтожением данных с растущей частотой» - добавил Майер.
Атаки шифровальщиков и вредоносного ПО могут быть чрезвычайно разрушительными, но есть шаги, которые организации могут предпринять, чтобы сделать свои сети более надежными и защитить их от атак.
К ним относится своевременное применение исправлений и обновлений безопасности, чтобы хакеры не могли использовать известные уязвимости для проведения атак, а также внедрение многофакторной аутентификации во всей сети для защиты пользователей.
Источник: https://www.zdnet.com