Bezpečnost | Ransomware

Vyděračské viry upravují strategii: Pokud firma nezaplatí, zveřejní její data

Autoři vyděračských virů začínají ve velkém využívat novou metodu vydírání. Pokud firma včas nezaplatí výkupné, tak její data zveřejní. O jednom z případů nyní podrobně informoval web Bleeping Computer.

Data ukradli při cílených útocích

Vyděračský virus Sodinokibi byl odhalen v květnu minulého roku, přičemž cílil převážně na společnosti a organizace z celého světa. Šíří se prostřednictvím nevyžádaných e-mailových zpráv, ale často je využíván i v úzce cílených útocích.

Při cílených útocích hackeři vyhledávají počítače s nedostatečně zabezpečeným vzdáleným přístupem přes RDP (Remote Desktop Protocol). Po získání přístupu vyhledají a stáhnou všechny zajímavé soubory, ukradnou uložené přihlašovací údaje a pokusí se infiltrovat i další počítače v síti.

Nakonec útočníci spustí samotný vyděračský virus, respektive šifrování souborů. Po zašifrování souborů se zobrazí výzva k zaplacení výkupného a základní instrukce, jak dále postupovat.

První soubory již zveřejnili

Zdá se však, že zašifrováním souborů se to nekončí. Jeden z autorů ransomwaru Sodinokibi se totiž na nejmenovaném ruském fóru vyjádřil, že od nynějška budou zveřejňovat data ze společností, které nezaplatí výkupné. 

Útočníci v této souvislosti rovnou zveřejnili i 337MB archiv, který údajně obsahuje soubory pocházející z americké společnosti Artech Information Systems. Mělo by přitom jít jen o malou ukázkovou část dat, kterými disponují. Zbývající soubory obsahující obchodní, osobní i finanční údaje budou zveřejněny, pokud firma ani poté nezaplatí výkupné.

Zveřejňovat data chtějí i autoři jiných hrozeb

Podobně jako vyděračský virus Sodinokibi se i Nemty zaměřuje především na organizace a různé společnosti. Odhalen byl v srpnu minulého roku, přičemž se šíří prostřednictvím jiných škodlivých kódů, nebo ve formě nevyžádaných e-mailů.

I jeho autoři chtějí využít stejný model založený na zveřejňování ukradených dat. Bleeping Computer totiž zjistil , že útočníci plánují spustit speciální internetovou stránku. Ta bude, jak jinak, obsahovat data z firem, které nezaplatí výkupné.

Nový model vydírání se zřejmě útočníkem zalíbil. Zveřejnění citlivých firemních údajů je totiž častokrát horší než „obyčejné“ zašifrování souborů. Většina společností pravidelně zálohuje svá data, a proto je jejich obnovení otázkou několika minut.

Naproti tomu únik citlivých materiálů, obchodního tajemství, faktur, seznamů dodavatelů či údajů o zaměstnancích může způsobit nevyčíslitelné škody. Útočníci jsou si toho vědomi, a proto se dá očekávat, že novou formu vydírání začne využívat mnohem více autorů vyděračských virů.

Zveřejňování dat začalo před měsícem

Na závěr připomeňme, že celý šílenství se zveřejňováním citlivých dat odstartovali autoři vyděračské viru Maze. Před necelým měsícem totiž začali jako první masivně zveřejňovat údaje z firem, které odmítly zaplatit výkupné.

Speciální web obsahuje jména společností, jejich URL adresy, počáteční datum infiltrace, seznam dotčených IP adres, názvy infikovaných serverů, jakož i celkové množství odcizených dat uvedených v gigabajtech. Ke každé oběti je mimoto přiřazen i archiv obsahující ukradené dokumenty a PDF soubory.

Diskuze (23) Další článek: Seznamka Grindr sdílí inzerentům citlivé informace, tvrdí stížnost. Veřejná byla i sexuální orientace uživatelů

Témata článku: , , , , , , , , , , , , , , ,