Kibernoziedznieki pāriet no datu šifrēšanas pie konfidenciālas informācijas publicēšanas internetā

Pēdējos pāris gados plaši izspiedējvīrusu uzbrukumi, kad noziedznieki izmanto ļaunprogrammatūru, lai šifrētu datus un glabātu tos izpirkuma maksas saņemšanas nolūkā, ir aizstāti ar mērķtiecīgākiem uzbrukumiem noteiktiem uzņēmumiem un nozarēm. Šajās mērķtiecīgākajās kampaņās uzbrucēji draud ne tikai šifrēt datus, bet arī publicēt konfidenciālu informāciju internetā. Šo tendenci „Kaspersky” pētnieki novēroja, analizējot divas nozīmīgas izspiedējvīrusu saimes: „Ragnar Locker” un „Egregor”.

Kopumā izspiedējvīrusu uzbrukumi tiek uzskatīti par vienu no nopietnākajiem apdraudējumu veidiem, ar ko saskaras uzņēmumi. Tie var ne tikai pārtraukt izšķirīgi svarīgu saimniecisko darbību, bet arī izraisīt milzīgus finansiālos zaudējumus un dažkārt pat bankrotu naudas sodu un tiesvedību dēļ, kuru iemesls ir likumu un noteikumu pārkāpumi. Piemēram, tiek lēsts, ka „WannaCry” radītie finansiālie zaudējumi pārsniedz 4 miljardus USD. Tomēr jaunākās izspiedējvīrusu kampaņas maina darbības veidu: tās draud publiskot uzņēmumam nozagto informāciju.

„Ragnar Locker” un „Egregor” ir divas plaši pazīstamas izspiedējvīrusu saimes, kas piekopj šo jauno izspiešanas paņēmienu.

„Ragnar Locker” pirmo reizi tika konstatēts 2019. gadā, bet kļuva plaši pazīstams tikai 2020. gada pirmajā pusē, kad tika pamanīti tā uzbrukumi lielām organizācijām. Uzbrukumi ir ļoti mērķtiecīgi, katrs paraugs ir īpaši pielāgots paredzētajam upurim, un to, kas atsakās maksāt, konfidenciālie dati tiek publicēti izspiedējvīrusa noplūžu vietnes sadaļā „Kauna siena”. Ja upuris tērzē ar uzbrucējiem un pēc tam atsakās maksāt, tiek publicēta arī šī tērzēšana. Galvenie mērķi ir dažādu nozaru uzņēmumi ASV. Šā gada jūlijā „Ragnar Locker” paziņoja, ka ir pievienojies izspiedējvīrusu kartelim „Maze”. Tas nozīmē, ka abi apmainīsies ar zagto informāciju un sadarbosies. 2020. gadā „Maze” ir kļuvusi par vienu no bēdīgi slavenākajām izspiedējvīrusu saimēm.

„Egregor” ir daudz jaunāks par „Ragnar Locker” — tas pirmo reizi pamanīts šā gada septembrī, tomēr tas izmanto daudzas tās pašas taktikas un tam ir koda līdzība ar „Maze”. Ļaunprogrammatūra parasti tiek nomesta, ielaužoties tīklā, un pēc tam dod upurim 72 stundas, lai samaksātu izpirkuma maksu, pirms nozagtā informācija tiks publiskota. Ja upuri atsakās maksāt, uzbrucēji noplūžu vietnē publicē upuru nosaukumus un saites, kur var lejupielādēt uzņēmuma konfidenciālos datus.

„Egregor” uzbrukumu rādiuss ir daudz plašāks nekā „Ragnar Locker”. Tas ir novērots uzbrūkam upuriem Ziemeļamerikā, Eiropā, kā arī Āzijas un Klusā okeāna reģiona daļās.

„Pašlaik mēs piedzīvojam izspiedējvīrusu atdzimšanas 2. versiju. Gribu teikt, ka uzbrukumi kļūst ļoti mērķtiecīgi un ir vērsti ne tikai uz šifrēšanu, bet izspiešanas process balstās uz konfidenciālu datu publicēšanu internetā. Tādējādi tiek apdraudēta ne tikai uzņēmuma reputācija, bet draud arī tiesvedības, ja publicētie dati pārkāpj noteikumus, piemēram, Likumu par veselības apdrošināšanas informāciju (HIPAA) vai VDAR. Uz spēles ir likts vairāk nekā tikai finansiālie zaudējumi,” komentē Starptautiskās pētniecības un analīzes grupas (GReAT) Latīņamerikā vadītājs Dmitrijs Bestuževs.

„Tas nozīmē, ka organizācijām ir jāuztver izspiedējvīrusu apdraudējums ne tikai kā ļaunprogrammatūru veids. Patiesībā bieži vien izspiedējvīruss ir tikai ielaušanās tīklā pēdējais posms. Līdz izspiedējvīrusa faktiskajai izvietošanai uzbrucējs jau ir izlūkojis tīklu, identificējis konfidenciālos datus un izguvis tos. Ir svarīgi, lai organizācijas ieviestu visu kiberdrošības paraugprakses klāstu. Uzbrukuma noteikšana agrīnā stadijā, pirms uzbrucēji ir sasnieguši galīgo mērķi, var ietaupīt daudz naudas,” piebilst „Kaspersky” vadītājs Baltijas valstīs Andis Šteinmanis.

Par izspiedējvīrusu 2. versiju vairāk lasiet vietnē „Securelist”.

Lai aizsargātu uzņēmumu no tamlīdzīgiem izspiedējvīrusu uzbrukumiem, „Kaspersky” eksperti iesaka rīkoties šādi.

1. Bez galējas nepieciešamības neatspoguļot publiskajos tīklos attālas darbvirsmas pakalpojumus (piemēram, RDP) un vienmēr tiem izveidot stipras paroles.
2. Vienmēr atjaunināt programmatūras visās ierīcēs, ko lietojat. Lai izspiedējvīrusi neizmantotu ievainojamības, lietot rīkus, kas var automātiski noteikt ievainojamības, kā arī lejupielādēt un instalēt ielāpus.
3. Nekavējoties instalēt pieejamos ielāpus, kas paredzēti komerciālo virtuālo privāto tīklu risinājumiem, kuri nodrošina piekļuvi tāldarbiniekiem vai jūsu tīklā darbojas par vārtejām.
4. Piesardzīgi izturēties pret e-vēstuļu pielikumiem vai ziņām no personām, ko nepazīstat. Ja šaubāties, tad neatveriet to.
5. Lai aizsargātu uzņēmuma vidi, izglītot darbiniekus. Bezmaksas nodarbība, kā aizsargāties no izspiedējvīrusu uzbrukumiem, atrodas šeit.
6. Personīgajām ierīcēm izmantot spēcīgu drošības risinājumu.

Foto: ilustratīvs (pexels.com)