Zpráva Sophos: Jak ransomwarové skupiny využívají ukradená data ke zvýšení tlaku na cíle, které odmítají zaplatit

Tyto techniky zahrnují i sdílení kontaktů nebo zveřejňování osobních údajů rodinných příslušníků ředitelů a majitelů napadených firem, stejně jako vyhrožování, že jakékoli informace o nelegálních obchodních aktivitách odhalené v ukradených datech nahlásí úřadům.

Expertní bezpečnostní tým Sophos X-Ops ve své zprávě odhaluje příspěvky nalezené na dark webu, které ukazují, jak ransomwarové gangy označují své cíle za „nezodpovědné a nedbalé“ a v některých případech nabádají jednotlivé oběti, jejichž osobní údaje byly ukradeny, aby vedly soudní spory proti svému zaměstnavateli.

Zneužití médií

„V prosinci 2023, v souvislosti s narušením bezpečnosti kasina MGM, začal Sophos upozorňovat na sklon ransomwarových gangů zneužívat média jako nástroj nejen ke zvýšení tlaku na své oběti, ale také k převzetí kontroly nad celým příběhem a přesunutí viny. Gangy si také vybírají vedoucí představitele firem, které označují za ‘zodpovědné‘ za ransomwarové útoky. V jednom z nalezených příspěvků útočníci zveřejnili fotografii majitele firmy s ďábelskými rohy a jeho číslo sociálního pojištění. V jiném příspěvku útočníci vyzývali zaměstnance, aby od své společnosti požadovali ‘odškodnění‘, a v dalších případech útočníci vyhrožovali, že budou o úniku dat informovat zákazníky, partnery a konkurenci. Tyto snahy vytvářejí hromosvod obvinění, zvyšují tlak na firmy, aby zaplatily, a potenciálně prohlubují poškození pověsti v důsledku útoku,“ řekl Christopher Budd, ředitel výzkumu hrozeb ve společnosti Sophos.

Bezpečnostní experti týmu Sophos X-Ops našli i několik příspěvků ransomwarových útočníků, kteří podrobně popisují své plány na hledání informací v ukradených datech, které by mohly být použity jako páka, pokud společnosti nezaplatí. V jednom příspěvku například ransomwarový útočník WereWolves uvádí, že veškerá ukradená data podléhají „trestněprávnímu posouzení, obchodnímu posouzení a posouzení z hlediska důvěryhodnosti informací pro konkurenci“. V dalším příkladu ransomwarová skupina Monti uvedla, že našla zaměstnance cílové společnosti, který hledal materiály týkající se sexuálního zneužívání dětí, a pohrozila, že pokud společnost nezaplatí výkupné, obrátí se s těmito informacemi na policii.

Útočníci aktivně v ukradených datech pátrají

Tyto příspěvky zapadají do širšího trendu, kdy se zločinci snaží vydírat společnosti stále citlivějšími údaji o zaměstnancích, klientech nebo pacientech, včetně záznamů o duševním zdraví a zdravotních záznamů dětí, informací o sexuálních problémech pacientů a snímků nahých pacientů. V jednom případě ransomwarová skupina Qiulong zveřejnila osobní údaje dcery generálního ředitele a odkaz na její profil na Instagramu.

„Ransomwarové gangy jsou stále invazivnější a odvážnější v tom, jak a čím se vyzbrojují. Tlak na společnosti se ještě zvyšuje, protože nejen kradou data a vyhrožují jejich únikem, ale aktivně je analyzují a hledají způsoby, jak maximalizovat škody a vytvořit nové příležitosti k vydírání. To znamená, že organizace se musí obávat nejen špionáže a ztráty obchodního tajemství nebo nezákonné činnosti zaměstnanců, ale také propojení těchto problémů s kybernetickými útoky,“ řekl Budd.

Další zdroje

Jak aktéři ransomwaru využívají média jako zbraň v článku Média a nátlak: Ransomwarové gangy a média

Vyvíjející se obchodní model ransomwaru popisuje studie Ransomware typu „junk gun“: I střela z foukačky může zabolet

Současné a vyvíjející se taktiky ransomwaru popisuje studie 2024 Sophos Threat Report: Cybercrime on Main Street

Zpráva Stav ransomwaru pro rok 2024

Přehled nejnovějších technik, taktik a postupů (TTP) kybernetických útočníků popisuje studie Zpráva o aktivních protivnících za 1. pololetí 2024

Článek Úloha orgánů činných v trestním řízení při ransomwarových útocích Článek Vliv kybernetického pojištění na prostředí ransomwaru Studie Jak často jsou zálohy společností ohroženy při ransomwarových útocích Článek Role neošetřených zranitelnosti při ransomwarových útocích Studie Nárůst vzdáleného šifrování mezi ransomwarovými skupinami Sophos X-Ops a jeho průlomový výzkum hrozeb je k dispozici k odběru po registraci na blogu Sophos X-Ops