ransomware
Мы внимательно следим за изменениями тактик злоумышленников. Недавно эксперты Глобального центра исследования и анализа угроз Kaspersky GReAT обратили внимание, что после атак шифровальщика-вымогателя Fog преступники публикуют не только украденные данные жертв, но и IP-адреса пострадавших компьютеров. Ранее мы не замечали такой тактики у шифровальщиков. В данной статье рассказываем, почему это важно и какова цель этого приема.
Кто такие Fog и чем они известны
С тех пор как бизнес шифровальщиков-вымогателей стал превращаться в полноценную индустрию, у злоумышленников наблюдается четко оформленное разделение труда. Сейчас создатели шифровальщика и люди, стоящие непосредственно за атаками, чаще всего никак не связаны — одни разрабатывают платформу для шантажа, а другие просто покупают услуги по модели Ransomware-as-a-Service (RaaS).
Fog Ransomware — одна из таких платформ, впервые замеченная в начале 2024 года. Их шифровальщики используются для атак на компьютеры под управлением Windows и Linux. Как это обычно происходит в последние годы, данные на атакованных машинах не только шифруются, но и закачиваются на серверы злоумышленников, а затем, если жертва отказывается платить, публикуются на Tor-сайте.
Атаки с использованием Fog проводились против компаний, работающих в сферах образования, финансов и организации отдыха. Часто для проникновения в инфраструктуру жертвы преступники использовали ранее утекшие учетные данные для доступа через VPN.
Зачем публиковать IP-адреса жертв
Наши эксперты считают, что основная цель публикации IP-адресов — усиление психологического давления на жертв. Во-первых, это повышает отслеживаемость и заметность инцидента. Эффект от публикации названия компании-жертвы менее внушителен — ведь по адресу можно быстро понять не только, кто стал жертвой, но и что именно было атаковано (сервер это был или компьютер в инфраструктуре). А чем более заметен инцидент, тем больше вероятность столкнуться с судебными исками по поводу утечки данных и штрафами от регуляторов. Значит, по мнению атакующих, более вероятно, что жертва пойдет на сделку и заплатит выкуп.
Кроме того, публикация IP-адреса подает сигнал другим группировкам, которые могут воспользоваться утекшими данными. Им становится известен адрес заведомо уязвимой машины и доступна скачанная с нее информация, которую можно исследовать и применить для дальнейших атак на инфраструктуру той же компании. Это, в свою очередь, делает последствия публикации еще более неприятными, а следовательно, становится дополнительным фактором устрашения.
Как оставаться в безопасности
Поскольку большая часть атак с применением шифровальщиков-вымогателей все еще начинается с ошибки сотрудника, в первую очередь мы рекомендуем периодически повышать осведомленность персонала о современных киберугрозах (например, при помощи онлайн-платформы для обучения).
Чтобы вы не потеряли доступ к собственным данным, мы, как обычно, рекомендуем делать бэкапы и хранить их в изолированном от основной сети хранилище. Чтобы исключить запуск шифровальщика на компьютерах компании, необходимо, чтобы каждое корпоративное устройство, имеющее выход в Сеть, было оснащено современным защитным решением. Крупным компаниям мы также рекомендуем наблюдать за активностью в инфраструктуре при помощи решения класса XDR, а при необходимости привлекать к защите компании сторонних экспертов.
Советы