News

Тройной шантаж - новая тактика кибервымогателей

News | 13.01.2022

Все чаще кибепреступники используют инновации для своих целей.

Вот пример, когда атаки интегрируются в портфель Ransomware as a service (RaaS) - «программы-вымогатели как услуга», чтобы сформировать так называемую атаку тройного шантажа. Она состоит из небольшого выкупа, небольшого вымогательства DDoS и множества неприятностей. 

Как работает атака тройного шантажа:

Шифрование данных

С помощью традиционного метода атаки программ-вымогателей киберпреступники проникают в сеть и шифруют ценные данные, чтобы жертва больше не могла получить к ним доступ (а иногда и ко всей системе). Затем злоумышленники передают расшифровку в обмен на выкуп.

Кража данных

Киберпреступники извлекают данные, прежде чем заблокировать жертву. Затем они угрожают опубликовать украденные данные и/или предложить их для публичной продажи, если жертва не заплатит требуемые за вымогательство деньги. На втором этапе шантажа жертвам особенно сложно игнорировать угрозу программ-вымогателей, потому что даже если данные можно восстановить из резервных копий, риск утечки данных все равно остается. Это явно ценный источник дохода: по оценкам Coveware, извлечение данных использовалось почти в половине случаев программ-вымогателей в третьем квартале 2020 года.

DDoS-атака

DDoS-атаки являются распространенным автономным методом шантажа, а теперь являются частью спектра услуг RaaS. Это увеличивает давление на жертву несколькими способами: во-первых, злоумышленник подтверждает, что он представляет серьезную угрозу. Кроме того, постоянное давление является еще одним фактором стресса для службы безопасности, которая уже вложила много ресурсов в первые два инцидента.

Сочетая шифрование, кражу данных и DDoS-атаки, киберпреступники добились хет-трика с программами-вымогателями, который вполне увеличивает вероятность выплаты выкупа.

Согласно Bleeping Computer, SunCrypt и Ragnor Locker были одними из первых, кто применил тактику тройного шантажа. Позже этой тактикой воспользовались Avaddon и группа DarkSide, ответственная за инцидент с Колониальным трубопроводом.

С точки зрения злоумышленника, добавление DDoS-атак к службам вымогателей — разумный шаг. DDoS-атаки невероятно дешевы, их легко инициировать, и они повышают вероятность выплаты выкупа.

Новая тактика делает программы-вымогатели все более опасной формой киберпреступности — не только для бизнеса, но и для государственных структур, школ и общественной инфраструктуры.

Рекомендуемые меры предотвращения атак:

  • Избегайте нарушения сети. Передовой опыт включает в себя обучение персонала правильной кибергигиене и настройку решений кибербезопасности сети и конечных точек для обнаружения вредоносного ПО, необычной активности или индикаторов компрометации (IoC).
  • Обратите внимание на основы. Создавайте резервные копии ценных данных и тестируйте планы восстановления. Выполняйте оценку уязвимостей и соответствующим образом исправляйте/обновляйте компьютерные системы, чтобы избежать воздействия.
  • Используйте текущую информацию об угрозах. Постоянное наблюдение за угрозами может помочь организациям выявлять, расследовать или активно выявлять IoC, которые могут быть предшественниками атаки программ-вымогателей.
  • Важные типы данных для всех основных отраслей, таких как финансы/банковское дело, здравоохранение, розничная торговля, государственный сектор и т. д.
  • Используйте настоящую защиту от DDoS. DDoS-атаки увеличиваются в размерах, частоте и сложности. Передовые методы противодействия DDoS включают гибридное и интеллектуальное сочетание облачных и локальных мер противодействия DDoS.

Всем организациям следует использовать специализированные решения в области кибербезопасности, которые могут помочь противостоять всем трем аспектам атаки тройного шантажа.

Arbor Edge Defense - умная автоматизированная защита периметра.

NETSCOUT Arbor Edge Defense (AED) - важнейший компонент NETSCOUT Omnis Security, развертывается локально, внутри интернет-маршрутизатора и за пределами брандмауэра, где он выступает в качестве первой линии защиты.

В качестве последней линии защиты AED может обнаруживать и блокировать исходящие индикаторы компрометации, которые были пропущены другими инструментами в вашем стеке безопасности, что позволяет блокировать вредоносное ПО или управление и контроль, которые предшествуют краже данных или атакам программ-вымогателей.

Использование AED таких стандартов, как STIX/TAXII, SYSLOG (CEF, LEEF), REST API, и его способность предоставлять больше контекста для заблокированных IoC с помощью аналитики угроз ATLAS позволяют ему стать полностью интегрированным компонентом существующего стека и процесса безопасности.

NetScout Systems - ведущий разработчик инновационных решений, обеспечивающих доступность, производительность и безопасность для сетей, приложений и сервисов.

Узнайте больше у специалистов Softprom о решениях NetScout Systems: Arbor для защиты от DDoS-атак, Omnis Security для выявления киберугроз в корпоративных сетях, nGeniusOne для мониторинга качества работы сервисов и приложений.

Softprom - Value Added Distributor компании NetScout Systems.