Zostaw komentarz
Na przestrzeni ostatnich kilku lat szeroko rozpowszechnione ataki ransomware, w których przestępcy wykorzystują szkodliwe oprogramowanie w celu zaszyfrowania danych i żądania okupu, zostały zastąpione przez bardziej ukierunkowane ataki na konkretne firmy oraz branże. W takich kampaniach atakujący grożą nie tylko zaszyfrowaniem danych, ale również opublikowaniem poufnych informacji online. Trend ten został zaobserwowany przez badaczy z firmy Kaspersky podczas analizy dwóch wyróżniających się rodzin oprogramowania ransomware: Ragnar Locker oraz Egregor.
Ataki z wykorzystaniem oprogramowania ransomware należą do poważniejszych rodzajów zagrożeń, z jakimi mierzą się firmy. Mogą bowiem nie tylko zakłócić krytyczne operacje biznesowe, ale również spowodować ogromne straty finansowe, a w niektórych przypadkach nawet bankructwo na skutek grzywien i spraw sądowych za naruszenie przepisów i regulacji. Dla przykładu, straty finansowe poniesione w wyniku ataków WannaCry szacuje się na ponad 4 miliardy dolarów. Jednocześnie zmienia się sposób działania nowszych kampanii ransomware: cyberprzestępcy grożą teraz firmom upublicznieniem ich informacji.
Tę nową metodę wyłudzeń stosują dwie dobrze znane rodziny oprogramowania ransomware: Ragnar Locker oraz Egregor.
Ragnar Locker został po raz pierwszy wykryty w 2019 r., jednak dopiero w pierwszej połowie 2020 r., gdy zauważono jego ataki na duże organizacje, stał się powszechnie znany. Ataki są niezwykle ukierunkowane – każdy ściśle dostosowany do atakowanej ofiary – a w przypadku odmowy zapłaty okupu poufne dane zostają opublikowane w sekcji „Wall of Shame” na stronie cyberprzestępców. Jeśli ofiara czatuje z atakującymi, a następnie odmawia zapłaty, rozmowa ta również zostaje opublikowana. Główne cele stanowią firmy w Stanach Zjednoczonych z różnych branż. W lipcu br. Ragnar Locker „oznajmił”, że przyłączył się do kartelu Maze, co oznacza, że oba gangi będą odtąd dzielić się skradzionymi informacjami i współpracować. Maze stał się jedną z najbardziej osławionych rodzin oprogramowania ransomware w 2020 r.
Egregor jest aktywny znacznie krócej niż Ragnar Locker — po raz pierwszy wykryto go we wrześniu tego roku. Jednak wykorzystuje wiele tych samych taktyk i wykazuje podobieństwa do Maze pod względem kodu. Szkodnik jest dostarczany w wyniku włamania do sieci, a następnie daje ofierze 72 godziny na zapłacenie okupu, zanim skradzione informacje zostaną upublicznione. Jeśli ofiary odmawiają zapłaty, atakujący publikują na swojej stronie ich nazwy oraz odsyłacze umożliwiające pobranie poufnych danych danej organizacji.
Zasięg ataków Egregora jest znacznie większy niż w przypadku szkodnika Ragnar Locker. Atakuje on ofiary w Ameryce Północnej, Europie oraz częściach regionu Azji i Pacyfiku.