„Nechcete zaplatit? Pro zvýšení motivace zveřejníme část vašich dat na našem fóru.“ Taktika dvojího vydírání je oblíbeným postupem internetových zločinců. Pokud oběť nereaguje na první kontakt, útočník zveřejní vybraná data.
K tomu slouží speciální stránky pro uniklá data. Typicky jsou provozovaná dodavateli RaaS (Ransomware as a Service). Ti útočníkům dodávají komplexní balíčky nástrojů a služeb pro kybervydírání. Jejich spolupráce funguje na smluvní bázi, nejčastěji formou podílu na zisku.
Využíváte už některé z inovativních metod šifrování?
Koncem srpna se řada těchto dodavatelů stala obětí útoků. První z nich monitorovala kyberbezpečnostní agentura Cisco Talos 20. srpna. RaaS provider LockBit oznámil, že jeho stránky pro uniklá data jsou pod „palbou“ tisícovky serverů a počet požadavků o přístup je téměř 400 za sekundu. Mělo jít o největší DDoS úrok za poslední tři roky.
To vedlo k výpadku důležitého nástroje k vytváření nátlaku na oběti. Nedostupnost či pomalý provoz platforem pro publikaci úniků dat v následujících dnech postihly i jiné dodavatele pro kybervydírání, jmenovitě ALPHV (známý jako BlackCat), LV, Hive, Everest, BianLian, Yanluowang, Snatch, Lorenz, Ragnar Locker nebo Vice Society.
DDoS útoky odhalily dvě věci. Zaprvé: Čím sofistikovanější a propracovanější je zločinecký model, tím více jej dokáže zaskočit primitivní forma útoku. Jednoduché zahlcení stránek se ukázalo slabým místem pro překvapivé množství známých poskytovatelů RaaS. Jakkoliv se jedná o nepříjemnost na pár dní, může napáchat nezanedbatelné škody na jejich reputaci.
Druhou odhalenou věcí byl způsob, jakým se jednotlivé RaaS skupiny s nastalou situací vypořádaly. Zatímco ALPHV na své stránky nasadil robustnější ochranu proti automatizovanému získávání dat (tzv. scraping), Quantum své stránky v podstatě odstavil. Místo odfiltrování útočného provozu jednoduše žádosti o přístup přesměrovává zpět tam, odkud přišly. To podle výzkumníků Cisco Talos může naznačovat jejich omezenou úroveň IT dovedností.
Chcete dostávat do mailu týdenní přehled článků z Computertrends? Objednejte si náš mailový servis a žádná důležitá informace vám neuteče. Objednat si lze také newsletter To hlavní, páteční souhrn nejdůležitějších článků ze všech našich serverů. Newslettery si můžete objednat na této stránce.
Nejvíce z útoků vytěžil LockBit. Vedle vylepšení DDoS ochrany oznámil, že k vydírání a šifrování nově do svého portfolia přidává i zahlcení. Protože tuto taktiku využívá málo ransomware skupin, podle odborníků by tento krok mohl přispět k posílení LockBitu na trhu kybervydírání.
Zatím není jisté, kdo za útoky stojí. Ačkoliv LockBit naznačuje souvislost s probíhajícím vydíráním kyberbezpečnostní agentury Entrust, důkazy ukazující jakýmkoliv konkrétním směrem nejsou k dispozici. S ohledem na časový rámec útoků, jejich počet a zaměření, můžeme pouze konstatovat, že jde o koordinované úsilí proti RaaS platformám zveřejňujícím uloupená data s cílem narušit snahy o publikaci nových informací o obětech.
Útoky přitom nemají vliv na ostatní fáze této kriminální aktivity, protože nástroje pro interakci se zákazníky nebo oběťmi nebyly dotčeny. Tato aktivita však může na ransomware scéně zasít nedůvěru a přinést neshody jak mezi provozovateli systémů a jejich zákazníky, tak mezi RaaS poskytovateli navzájem.
Securitytrends si můžete koupit i jako klasický časopis, buď v klasické tištěné formě nebo v elektronické verzi. Věnujeme se bezpečnosti počítačových systémů, ochraně dat, informací a soukromí. Jsme jediný titul na českém a slovenském trhu, který oslovuje širokou čtenářskou obec – od ředitelů firem, přes odborníky na bezpečnost po koncové uživatele. Naším cílem je poskytnout ucelený přehled o bezpečnostních hrozbách a zejména o tom, proč a jak se jim bránit, případně proč respektovat a dodržovat nařízení IT manažerů ve firmách.
PŘEDPLATNÉ
ČLÁNKY DO MAILU