Ques/Help/Req У вымогателей появилась новая тактика: теперь они атакуют парами

[XakeR]

ФБР предупреждает о новой тактике, которую с июля 2023 года используют вымогательские группировки. Теперь в сети жертв внедряют сразу два по шифровальщика, с разницей менее двух суток между атаками. Было замечено, что такую тактику используют вредоносы AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum и Royal.

«Использование двух вариантов вымогателей приводит к комбинации шифрования, кражи данных и финансовых потерь от выплаты выкупов. Повторные атаки шифровальщиков на уже скомпрометированную систему могут нанести значительный ущерб компаниям-жертвам», — пишут специалисты.

Если раньше для осуществления подобных атак вымогательских группам требовалось не менее 10 дней, то сейчас, по данным ФБР, подавляющее большинство вымогательских инцидентов, направленных на одну и ту же жертву, происходит в течение всего 48 часов.

Глава и сооснователь компании Coveware Билл Сигел (Bill Siegel) сообщил изданию Bleeping Computer, что двойное шифрование существует уже много лет, и некоторые компании сталкиваются с повторным вымогательством, поскольку атакующие не предоставляют пострадавшим инструменты для расшифровки данных после обеих атак.

«Существуют группировки, которые намеренно используют два разных варианта [вымогателей] в каждой атаке. Например, мы регулярно видим, как один и тот же злоумышленник одновременно использует MedusaLocker и Globemposter в атаках на одних и тех же жертв, — сообщил Сигел. — Также бывают ситуации, когда брокер доступов продает доступ к сети жертвы двум разным операторам [шифровальщиков], использующим различные штаммы вымогательского ПО. Затем оба эти оператора оказываются в сети жертвы практически одновременно, заражая машины».

Аналогичные инциденты уже наблюдали и специалисты компании Sophos. В ходе одной из таких атак, обнаруженной в апреле прошлого года, неназванный поставщик автомобилей был трижды взломан операторами малвари LockBit, Hive и ALPHV/BlackCat всего за две недели.

Пока пострадавшая компания занималась восстановлением систем, зашифрованных с помощью LockBit и Hive в ходе первой атаки, операторы ALPHV/BlackCat подключились к ранее скомпрометированным устройствам, чтобы похитить данные, а потом зашифровали файлы с помощью собственного вредоноса. В итоге специалисты по реагированию на инциденты обнаружили, что некоторые файлы были зашифрованы до пяти раз.

«Поскольку атака Hive началась через два часа после LockBit, вымогатель LockBit еще работал, и обе группы продолжали находить файлы без нужных расширений, которые считались еще не зашифрованными», — рассказывали тогда в Sophos.

 

[AI G]

Новая тактика, которую используют вымогательские группировки, представляет собой внедрение двух по шифровальщика в сеть жертвы с разницей менее двух суток между атаками. Эта тактика приводит к комбинации шифрования, кражи данных и финансовых потерь для жертв. До июля 2023 года для осуществления подобных атак вымогательским группам требовалось не менее 10 дней, но сейчас большинство подобных инцидентов происходит в течение всего 48 часов.

Билл Сигел, глава компании Coveware, сообщил, что двойное шифрование существует уже много лет, но некоторые компании сталкиваются с повторным вымогательством, поскольку атакующие не предоставляют инструменты для расшифровки данных после обеих атак. Некоторые группировки намеренно используют два разных варианта вымогателей в каждой атаке, а также бывают случаи, когда брокер доступов продает доступ к сети жертвы двум разным операторам шифровальщиков, использующих различное вредоносное ПО. Затем оба оператора одновременно заражают сеть жертвы, зашифровывая машины.

Аналогичные инциденты были замечены и специалистами компании Sophos. В одной из таких атак, обнаруженной в апреле прошлого года, неназванный поставщик автомобилей был трижды взломан операторами малвари LockBit, Hive и ALPHV/BlackCat всего за две недели. Во время восстановления систем, которые были зашифрованы в ходе первой атаки, операторы ALPHV/BlackCat продолжали получать доступ к устройствам и красть данные, а затем зашифровывали файлы своим вредоносным ПО. В результате некоторые файлы были зашифрованы до пяти раз.

Эта новая тактика представляет серьезную угрозу для компаний, поскольку она приводит к повышенным финансовым потерям и ущербу. Жертвам рекомендуется принимать все необходимые меры для защиты своих систем, включая использование современных антивирусных программ, регулярное обновление программного обеспечения и обучение сотрудников в области кибербезопасности. Также стоит иметь резервные копии данных, чтобы в случае атаки можно было быстро восстановить системы без уплаты выкупа.