Създателите на Maze сбъдват един от кошмарите на специалистите по защита
Мнозина експерти по киберсигурност приказват за рансъмуер офанзиви, при които с изключение на заключването на данните, нарушителите крадат сензитивна информация и желаят спомагателен откуп за нея. За благополучие, този жанр офанзиви не са постоянно срещани (сякаш криптирането не е дребна беда). Но понякога научаваме точно за сходен жанр офанзиви. Този път източник на този ред офанзива се явява групировката зад рансъмуер с името Maze. Хакерският колектив се свързва от някои и с ведомствени хакери, поради употребена от тях стратегия, засечена в офанзиви на известна APT (advanced persistent threat) група.
Използването на съчетанието от рансъмуер с кражбата на информация и опасността тя да бъде изнесена обществено, в случай че не се заплати спомагателен откуп за нея, подсигурява на нарушителите, както спомагателен доход от дейностите им, по този начин и убеденост, че дори и откуп за заключването на файловете да не бъде заплатен (поради налично тяхно аварийно копие например), те ще получат пари от жертвата, в случай че не желае сензитивна за нея информация да стане налична за всички.
В офанзивите с Maze в последните месеци, хакерите слагат онлайн уебсайт, на който разгласяват имената на фирмите, отказали да платят откуп, дружно с откраднати вътрешни документи, IP адреси на инфектираните машини и други данни. Браян Кребс и Bleeping Computer предават за точно подобен уебсайт, на който са оповестени данните на осем компании, като най-малко за една, Кребс е уверен, че е станала жертва на Maze, въпреки че случая да не е влезнал в медийните обективи.
В една от известните офанзиви, с изключение на Maze, хакерите употребяват и Cobalt Strike, стратегия, която е употребена от APT група с името Cozy Bear. Тя оказва помощ за извличането на информацията от машината на жертвата и напредването на офанзивата в локалния периметър. Престъпниците употребяват още Power Shell за добиване на данните и свързването към далечен FTP сървър. Едва след тези стъпки бива доставен и Maze.
„ Използването на целенасочени рансъмуер офанзиви не е нещо ново и за жалост надали ще бъде прекъснато скоро “, пишат от Cisco Talos Security, които също преглеждат случаите с Maze. „ Това е извънредно привлекателна и доходоносна форма на офанзива за нарушителите и като такава, нейната известност евентуално ще нараства. Но това, което прави в действителност забавни тези офанзиви са спомагателната монетизация от извличането на данните по време на офанзивата “.
Даже обаче и да не заплати жертвата откуп за рухването ѝ под удара на криптовируса, както и да реши да не заплаща и за откраднатата информация, нарушителите отново могат да изкарат пари от действията си, като предложат тази информация за обмен в даркуеб пространството.
Използването на съчетанието от рансъмуер с кражбата на информация и опасността тя да бъде изнесена обществено, в случай че не се заплати спомагателен откуп за нея, подсигурява на нарушителите, както спомагателен доход от дейностите им, по този начин и убеденост, че дори и откуп за заключването на файловете да не бъде заплатен (поради налично тяхно аварийно копие например), те ще получат пари от жертвата, в случай че не желае сензитивна за нея информация да стане налична за всички.
В офанзивите с Maze в последните месеци, хакерите слагат онлайн уебсайт, на който разгласяват имената на фирмите, отказали да платят откуп, дружно с откраднати вътрешни документи, IP адреси на инфектираните машини и други данни. Браян Кребс и Bleeping Computer предават за точно подобен уебсайт, на който са оповестени данните на осем компании, като най-малко за една, Кребс е уверен, че е станала жертва на Maze, въпреки че случая да не е влезнал в медийните обективи.
В една от известните офанзиви, с изключение на Maze, хакерите употребяват и Cobalt Strike, стратегия, която е употребена от APT група с името Cozy Bear. Тя оказва помощ за извличането на информацията от машината на жертвата и напредването на офанзивата в локалния периметър. Престъпниците употребяват още Power Shell за добиване на данните и свързването към далечен FTP сървър. Едва след тези стъпки бива доставен и Maze.
„ Използването на целенасочени рансъмуер офанзиви не е нещо ново и за жалост надали ще бъде прекъснато скоро “, пишат от Cisco Talos Security, които също преглеждат случаите с Maze. „ Това е извънредно привлекателна и доходоносна форма на офанзива за нарушителите и като такава, нейната известност евентуално ще нараства. Но това, което прави в действителност забавни тези офанзиви са спомагателната монетизация от извличането на данните по време на офанзивата “.
Даже обаче и да не заплати жертвата откуп за рухването ѝ под удара на криптовируса, както и да реши да не заплаща и за откраднатата информация, нарушителите отново могат да изкарат пари от действията си, като предложат тази информация за обмен в даркуеб пространството.
Източник: kaldata.com
КОМЕНТАРИ