REvil nie tylko zaszyfruje Twoje dane. Sprzeda je potem na aukcji

Kolejny miesiąc, i kolejny krok w ewolucji ransomware. 1 czerwca grupa REvil Ransomware wzbogaciła swoją ofertę w darknecie o możliwość wystawiania ukradzionych danych na aukcjach internetowych.

REvil Threat, znani także jako Sodinokibi, są jedną z najbardziej znanych grup hakerskich ostatnich lat. Przestępcy ci stoją między innymi za atakiem Travelex w Sylwestra 2019 r., za który podobno zapłacono okup w wysokości ponad 1,8 mln funtów (w Bitcoin). Ransomware REvil ponownie trafił na pierwsze strony gazet w maju 2020 r., kiedy to zaatakował nowojorską kancelarię prawniczą obsługująca wielu amerykańskich celebrytów.

Grupa REvil wyznacza nowe standardy?

REvil zdaje się być zawsze krok do przodu. Od czasu ataku na kancelarię Grubman, Shire, Meiselas & Sacks, REvil zaczął nie tylko szyfrować dane, ale także je przechwytywać. Skradzione dane mogą być następnie wykorzystane do szantażu, co zdecydowania ułatwia wyłudzenie okupu. Dokumenty prawne odnoszące się do Madonny i Lady Gagi zostały opublikowane jako dowód, że przestępcy bynajmniej nie żartują.

Kiedy żądany okup w wysokości 21 mln dolarów nie został wpłacony, REvil podniósł stawkę. Przestępcy zażądali 42 mln dolarów. Grupa odgrażała się, że jeśli jej żądania znów nie zostaną spełnione, to opublikuje dokumenty obciążające Donalda Trumpa. Okazało się to jednak pustą przechwałką. Po tym jak okup ponownie nie wpłynął na konta hakerów, szajka opublikowała e-maile rzekomo wysyłane przez Trumpa. Nie wyjawiały one jednak żadnej tajemnicy mogącej obciążyć urzędującego prezydenta. Jednak zaraz po tym REvil ogłosił, że jest w posiadaniu innych informacji, które mogłyby obciążyć głowę państwa. Nikt jednak nie potraktował tych gróźb poważnie. Dlatego cyberprzestępcy zdecydował się wystawić dane na licytacji.

REvil to tylko jedna z grup, które nieustannie dopuszczają się ataków

REvil jest tylko jedną z grup cyberprzestępczych, które zmieniają panoramę zagrożeń typu ransomware. Czy oznacza to, że przedsiębiorstwa powinny częściej inwestować w IT security? Wygląda na to, że tak. ”Ataki z wykorzystaniem oprogramowania ransomware przeszły od incydentów związanych tylko z szyfrowaniem do pełnego wykorzystania danych" - dowodzi Brett Callow, analityk zagrożeń w Emsisoft w wywiadzie dla SC Media UK. "Nie stanowią już one zagrożenia tylko dla firmy dotkniętej atakiem, ale także dla jej klientów i partnerów biznesowych, ponieważ ich dane są wciąż zagrożone".

Fragment komunikatu pozostawionego przez hakerów z REvil

Jaka jest przyszłość branży bezpieczeństwa IT?

Jeśli chodzi o przyszłość aukcji REvil, zwiększa to presję na przyszłe ofiary. ”Stanie się tak, ponieważ firmy będą prawdopodobnie bardziej zaniepokojone perspektywą wystawiania swoich danych na publiczne aukcje niż tym, że zostaną one po prostu umieszczone na mało znanej, szemranej stronie internetowej poświęconej przeciekom" - podkreśla Brett Callow. Najprawdopodobniej REvil nie jest pierwszą i ostatnią organizacją, która obrała tę ścieżkę. Nie pozostanie monopolistą na rynku kradzionych danych.

"W przeszłości często mówiło się, że kopie zapasowe są najlepszą ochroną przed okupem, ale tak już nie jest" - kontynuuje Callow. Podczas gdy kopie zapasowe są z pewnością bardzo ważne, nie mogą pomóc w odzyskaniu skradzionych danych". Dlatego bardziej niż kiedykolwiek ważne jest, aby firmy kładły nacisk na zapobieganie. Należy szybko reagować na incydenty i stosować MFA wszędzie tam, gdzie jest to możliwe. Niedawno pisaliśmy o ochronie MFA WatchGuard, którą producent udostępnia do darmowych testów przez 120 dni. Z tego samego powodu PowerShell powinien być wyłączany, gdy nie jest potrzebny. Ogranicz też przywileje administratorów do absolutnego minimum.

Częstotliwość ataków mających na celu wyłudzenie okupu nie maleje

Wbrew pozorom ataki ransomware bardzo często kończą się sukcesem. Są też coraz łatwiejsze w przeprowadzeniu. Dzieje się tak między innymi dlatego, że know-how cyberprzestępców pozwala na coraz bardziej zuchwałe ataki. Inną przyczyną jest większa dostępność narzędzi w darknecie.

Należy pamiętać o ważnej zasadzie. Lepiej zabezpieczyć sieć przed atakiem, niż polegać na kopii zapasowej. Nawet jeżeli będziesz mógł odzyskać dane, mogą znaleźć się one w rękach przestępców. Nawet jeżeli ryzyko padnięcia ofiarą skutecznego ataku wydaje się mniejszym firmom niższe, to w przypadku gdy dojdzie do incydentu, losy firmy będą przesądzone. Mniejsze przedsiębiorstwa nie będą miały środków na to, aby odbudowywać swoją pozycję po utracie większości kluczowych danych. Ponadto  REvil jest tylko jedną z grup, o których zrobiło się głośno, gdyż przeprowadzony przez nią tak jest wyjątkowy pod względem niszczycielskiego potencjału. Podobne próby podejmowane są na masową skalę. Łatwo można się o tym przekonać, przeglądając firmową skrzynkę pocztową.