По информации портала ZDNet, операторы вирусов-критповымогателей с августа 2020 года сменили тактику. Они теперь перезванивают жертвам атак и угрожают им по телефону. Это происходит в том случае, если взломанные компании самостоятельно восстановили данные из своих бэкапов и отказались платить за дешифратор.
Согласно данным ИБ-специалистов компаний Emsisoft и Arete Incident Response, хакерские группы, занимающиеся распространением и внедрением вирусов-вымогателей, используют для подобных «холодных» звонков один и тот же колл-центр на аутсорсе. Причем, операторские шаблоны и сценарии бесед с пунктами угроз очень схожи. В основном звонят компаниям, чьи системы были подвержены заражению Maze, Sekhmet, Conti или Ryuk. В настоящее время первые два вымогателя уже неактивны.
Злоумышленники также передают в этот колл-центр контакты и номера телефонов высших менеджеров и руководящих IT-специалистов, если подозревают, что взломанная компания может попытаться восстановить данные из резервных копий или обратилась к ИБ-компании для восстановления сервисом, а также хочет уклониться от уплаты выкупа. Тем самым они пытаются психологически сломать ответственных лиц компании, чтобы они пошли на поводу у хакеров.
ZDNet опубликовал часть стенограммы одного из подобных звонков. Предоставивший ее ИБ-специалист пояснил, что оператор представился именем группировки Maze, а в его произношении превалировал сильный акцент, что свидетельствовало о том, что он не был носителем английского языка.
«Нам известно о сторонней компании и об ее экспертах по безопасности, работающих сейчас в вашей сети и с вашим IT-оборудованием. Мы продолжаем отслеживать ваши действия и знаем, что вы устанавливаете антивирус SentinelOne на все свои компьютеры. Но вы должны знать, что это не поможет. Если вы хотите перестать тратить свое время зря и желаете восстановить свои данные на этой неделе, то настоятельно рекомендуем вам обсудить эту ситуацию с нами в чате, иначе проблемы с вашей сетью никогда не закончатся», — вот такие угрозы были высказаны в адрес одной из компаний.
Эксперты по безопасности уточнили, что ни в коем случае нельзя принимать всерьез подобные звонки, а также давать повод операторам продолжать общение.
Журналисты ZDNet пояснили, что ранее операторы вирусов-вымогателей действовали от своего имени напрямую. Они использовали такие способы давления: удваивание сумму выкупа, если жертва не платит вовремя; угроза уведомления СМИ об атаке; угроза опубликовать в открытом доступе скопированные ими конфиденциальные данные. украденные у компании перед шифрованием данных.
Согласно данным Bleeping Computer, 1 ноября 2020 года киберпреступная группа Maze прекратила свою деятельность по развертыванию вирусов-вымогателей. За полтора года жертвами Maze Ransomware стали такие крупные компании, как Allied Universal, Southwire, City of Pensacola, Canon, LG Electronics и Xerox. Maze несут ответственность за текущую тенденцию к двойному вымогательству, которую сегодня используют большинство операторов вирусов-вымогателей. Они сначала копируют данные, а лишь потом шифруют информацию на серверах компаний, угрожая открытой публикации части файлов, если жертва не заплатит выкуп за дешифратор. Сумма выкупа могла достигать $10 млн.
См. также:
- «Canon официально подтвердила факт атаки вируса-вымогателя на сервера компании»
- «Как работает шифровальщик Ryuk, который атакует предприятия»
- «Больница в Германии обвинила вирус-криптовымогатель в смерти пациента»
- «Шекспировский театр в Нью-Джерси атакован вирусом-вымогателем, одну рождественскую постановку пришлось отменить»
- «Несколько больниц в США заразил вирус-криптовымогатель Ryuk; больницы платят выкуп»
- «Garmin купила у криптовымогателей ключ для расшифровки файлов»