Kriminální skupiny kolem ransomware se začínají chovat korporátně

Vzhledem k tomu, že útoky ransomwaru (vysvětlení pojmu je zde – ve slovníčku pojmů) se za posledních několik let rychle proměnily
v miliardový obchod, skupiny za nimi stále častěji přijímají postupy
a taktiku velkých podniků, na které cílí.

Skupiny útočníků ransomwarem (a někteří argumentují širším ekosystémem počítačové kriminality) stále více tíhnou ke společným partnerstvím a ujednáním o sdílení zisku s jinými hackerskými skupinami, zavádějí nástroje pro měření efektivity své práce, vytvářejí příručky
a skripty pro fáze vyjednávání a budují zákaznický servis a PR taktiky korporátního světa.

Tento posun v chování, ve srovnání s předchozími lety, se projevuje řadou nových způsobů, od navázání kooperativních partnerství až po příjemný tón při jednání s oběťmi, po psaní a distribuci tiskových zpráv, určených
k uvedení jejich nejnovějšího úspěšného ransomwaru na trh. Budují svou značku pro širší veřejnost.

Odhaduje se, že loni bylo ransomwarovým skupinám vyplaceno přibližně 1,4 miliardy USD a průměrná výplata dnes vystoupala z 84 000 USD na 
200 000 USD.  Tyto vyšší hodnoty a s tím související návratnost přinesly
s sebou profesionálnější postupy a budování veřejného povědomí. Rovněž to zmenšilo prostor pro malé hráče nebo chování jednotlivců, které tyto skupiny vnímají jako nepoctivé.

Existuje psychologická motivace pro jakoukoli činnost – i kriminální – aby vypadala profesionálně a byla si vědoma svého image a pověsti. Aktéři zřizují uživatelsky přívětivé weby, které oznamují kompromitaci, únik dat nebo publikují vydané tiskové zprávy. Tyto akce mají obětem signalizovat, že jednají s profesionální organizací.

Služby zákazníkům

Jeden z nejpozoruhodnějších příkladů tohoto chování, zaměřeného na zákazníka, lze najít v nevymazaných informacích z chatu mezi jednou konkrétní skupinou ransomware a společností CWT pro správu cestovního ruchu, které agentura Reuters získala na začátku tohoto roku. V záznamech operátor chatu „Podpora“ vede veselý a nenucený rozhovor, tón podobný běžnému zákaznickému servisu. Na jednom místě poděkuje oběti za „trpělivost“ a diskutuje o podobě „speciální dohody“, pokud oběť kontaktuje skupinu do 48 hodin. Poté, co společnost informovali, o „adekvátním“ poplatku 10 milionů USD, nakonec vyjednají snížení na „pouhých“ 4,5 milionu USD za podmínky, že CWT zaplatí útočníkům do 24 hodin. Operátor dokonce nabídl dešifrování dvou náhodných souborů jako projev dobré vůle a důkazu, že jejich klíč funguje.

Stejně jako mnoho legitimních společností i tyto zločinecké skupiny neustále hledají způsoby, jak dosáhnout vyšší efektivity. Snaží se vložit co nejvíce práce automatizovaným skriptům nebo franšízovat své operace
a nástroje za poplatek třetím stranám.

Dojem úctyhodnosti

Nedávno jiná zločinecká skupina reagovala na negativní článek o útocích na ransomware stejným způsobem, jako to dělá mnoho společností, když čelí krizi v public relations: darovala peníze na dobrou věc! To je totéž, co hackeři ze skupiny DarkSide udělali nedávno, když podle BBC News poslali ukradené bitcoiny dvěma charitativním organizacím, Children International a The Walter Project. Ve svém prohlášení, které skupina zveřejnila na webu, spolu s potvrzeními o daru, napsali, že je „spravedlivé, že část peněz, které jim společnosti zaplatily, půjdou na charitu“, a že „bez ohledu na to, jak špatně je naše práce vnímána, jsme rádi, že jsme pomohli někomu změnit život. “

10 000 dolarů, které údajně poslali, představuje samozřejmě jen nepatrný zlomek z desítek milionů dolarů, které ukradli firmám a organizacím. Charitativní organizace Children International oznámila BBC, že dar nepřijme.

Navzdory této taktice, odborníci, kteří studují dopad útoků ransomwaru, říkají, že by se nikdo neměl nechat zmást pozlátkem úctyhodnosti, kterou se tyto skupiny pokoušejí budovat.

Jsou to prostě vyděrači! 

Každý jejich útok má velký dopad na životy lidí. Mnohé společnosti se kvůli útokům rozpadly, lidé se stali nezaměstnanými, zaměstnanci IT byli propuštěni za to, že neochránili svěřené sítě. Takže ve skutečnosti jsou to zločinci bez svědomí, a to navzdory obrazu, který si sami vytvářejí. “

Volný překlad článku https://www.scmagazine.com/home/security-news/ransomware/ransomware-groups-are-going-corporate/

Útočníkům je třeba se bránit, a ne jim platit! 

Zaplacené výkupné organizaci neposkytne jistotu, že je tím věc skončena. Naopak: prostředí již bylo zkompromitováno a data, přestože byla obnovena, mohou být dále zneužívána – a oběť je tak stále v rukou útočník.

Nejlepší obranou je prevence. 

Heimdal Security nabízí k ochraně proti pokročilým hrozbám Thor Foresight Enterprise. Ten ochrání Vaše koncové body před riziky, se kterými si neporadí antivirus nové generace, ani firewall. Produkt můžete zdarma vyzkoušet po dobu 30 dní. Vrstev ochrany ale nabízíme více: komplexnost útoků si žádá komplexní ochranu.

Důležité je také správně a bezpečně zálohovat data. Toto nabízí třeba AGORA plus ve formě cloudové i „on premise“. Od diskových jednotek až po páskové knihovny.

Zdroj obrázku: pixabay.com