Sākumlapa » Apdraudējumi » Datu rezerves kopijas palīdz ne vienmēr: šifrējošo izspiedējvīrusu izplatītāji sākuši publicēt datus

Datu rezerves kopijas palīdz ne vienmēr: šifrējošo izspiedējvīrusu izplatītāji sākuši publicēt datus

Līdz šim viens no efektīviem pasākumiem aizsardzībai pret šifrētājiem bija datu rezerves kopiju veidošana. Tagad šķiet, ka uzbrucēji ir atraduši līdzekli pret tiem, kuri paļaujas uz rezerves kopijām: vairāku izspiešanas programmu autori tīmeklī ir publicējuši upuru datus, kad tie atteicās maksāt izpirkuma maksu.

 

 

Datu publicēšana: no vārdiem pie darbiem

Draudi atklāt konfidenciālu informāciju pati par sevi nav jauna parādība. Piemēram, 2016. gadā šifrētāja autori, kuri inficēja Sanfrancisko pašvaldības transporta aģentūras sistēmas, ķērās pie šī trika. Tomēr viņi nerealizēja savus draudus.

 

Pirmais sāka Maze

Atšķirībā no viņu priekšgājējiem, Maze izsoiedēja veidotāji 2019. gada beigās solījumu izpildīja un vairāk nekā vienu reizi. Novembrī pēc tam, kad apsardzes kompānija Allied Universal atteicās maksāt izpirkuma maksu, uzbrucēji tīmeklī ievietoja 700 MB datu, ieskaitot līgumus, vienošanās par to laušanu, digitālos sertifikātus un citu uzņēmuma iekšējo informāciju. Izspiedēji sacīja, ka ir publicējuši tikai 10% no nozagtajiem datiem, un solīja izlikt pārējos, ja upuri turpinās pretoties.

Decembrī Maze autori izveidoja vietni, kurā tika ievietoti skarto uzņēmumu vārdi, katram no tiem norādot inficēšanas datumus, kopējo nozagto datu daudzumu, IP adreses un inficēto serveru nosaukumus, kā arī ievietojot vairākus dokumentus. Mēneša beigās tīklā nokļuva 2 GB failu, kas, domājams, piederēja Pensakolas pilsētai Floridā. Pēc izspiedēju teiktā, viņi nopublicēja šo informāciju, lai pierādītu žurnālistiem, ka viņu draudi nav tukša runāšana.

Un tas, šķiet, ir tikai stāsta sākums: jau janvārī tīmeklī nokļuva 9,5 GB datu no Medical Diagnostic Laboratories un 14,1 GB dokumentu no kabeļu ražotāja Southwire, kas iepriekš bija iesnieguši prasību tiesā par konfidenciālas informācijas nopludināšanu. Tiesvedība ļāva slēgt Maze vietni, bet ne uz ilgu laiku.

 

Sekotāji: Sodinokibi, Nemty, BitPyLock

Citi kibernoziedznieki sāka sekot Maze operatoru piemēram. Autori izspiedējam Sodinokibi, kas uz Jauno gadu tika izmantots, lai uzbruktu starptautiskajai finanšu kompānijai Travelex, janvāra sākumā paziņoja par nodomu publicēt organizācijas klientu datus. Kibernoziedznieki apgalvo, ka ir nokopējuši vairāk nekā 5 GB informācijas, ieskaitot dzimšanas datumus, sociālās apdrošināšanas numurus un maksājumu karšu datus.

Travelex pārstāvji apgalvo, ka neredz pierādījumus noplūdei un negrasās maksāt. Pēc uzbrucēju teiktā, tieši pretēji, uzņēmums piekrita sarunām. Nav zināms, cik daudz patiesības ir viņu vēstījumos, taču viņu izteikumus nevar saukt par pilnīgi nepamatotiem.

Tā 11. janvārī uzbrucēji vienā no hakeru forumiem ievietoja saites uz aptuveni 337 MB datu. Pēc viņu teiktā, informācija pieder personāla atlases kompānijai Artech Information Systems, kura atteicās maksāt izpirkuma maksu. Noziedznieki atzīmēja, ka tā ir tikai neliela daļa no nozagtajiem datiem. Pārējo viņi plāno nepublicēt, bet pārdot, ja upuri nebūs pretīmnākoši.

Sekojot Sodinokibi autoriem, ļaunprogrammatūras Nemty veidotāji paziņoja par plāniem publicēt “nemaksātāju” konfidenciālos datus. Uzbrucēji plāno izveidot emuāru, kurāpa daļām publicēs upuru iekšējos dokumentus, kuri nevēlas izpildīt viņu prasības.

BitPyLock izspiedējprogrammatūras izstrādātāji pievienojās “kolēģiem”, izpirkuma paziņojumā pievienojot solījumu publiskot upura konfidenciālos datus. Lai gan viņi vēl nav izpildījuši šos draudus, ņemot vērā nesenos notikumus, var izrādīties, ka šī ļaunprogrammatūra arī zog informāciju.

 

Ne tikai šifrētāji

Papildu funkcionalitāte šifrētājos arī nav nekāds jaunums. Piemēram, 2016. gadā viena no Trojas zirga Shade versijām tā vietā, lai šifrētu failus, inficētajā datorā instalēja attālinātās pārvaldības rīkus, ja atklāja, ka tas atrodas grāmatvedības ierīcē. CryptXXX ļaunprogrammatūra ne tikai šifrēja failus, bet arī zaga bitmonētas un upuru pieejas datus. Savukārt RAA izspiedēja autori dažus paraugus aprīkoja ar Trojas zirgu Pony, kura mērķis bija pieejas datu zādzības. Tāpēc pats par sevi fakts, ka šifrētāji ir sākuši zagt failus, nav tik pārsteidzošs. Turklāt uzņēmumi arvien vairāk apzinās nepieciešamību veidot rezerves kopijas.

Satraucošs ir fakts, ka nav iespējams pasargāt sevi no šādiem uzbrukumiem ar datu rezerves kopiju veidošanu. Ja datorsistēmas ir inficētas, vairs nav iespējams izvairīties no zaudējumiem. Un nav teikts, ka tikai izpirkuma apmērā, jo izspiedēji nesniedz nekādas garantijas, izņemot godavārdu. Vienīgā izeja ir neļaut šifrētājiem iekļūt savās sistēmās.

 

Kā pasargāt sevi no šifrētājiem

Joprojām nav zināms, vai jaunā tendence izrādīsies noturīga, vai arī pēc kāda laika tiks atmesta. Bet tagad uzbrukumi ar datu publicēšanas draudiem tikai uzņem apgriezienus, tāpēc pret tiem ir jāaizsargājas – galu galā konfidenciālas informācijas izpaušana var vēl vairāk ietekmēt biznesu, un tas attiecas ne tikai uz reputācijas bojāšanu un komercnoslēpumiem. Ja publicētajā informācijā būs klientu personas dati, negadījums var novest pie ievērojamas soda naudas.

  • Palieliniet darbinieku informētību par informācijas drošību. Jo vairāk viņi zina, jo mazāka ir ticamība, ka darbosies pikšķerēšana un citas sociālās inženierijas metodes.
  • Savlaicīgi atjauniniet operētājsistēmas un programmatūru. It īpaši, ja tiek atklātas ievainojamības, kas ļauj iekļūt sistēmās un pārņemt kontroli pār tām.
  • Izmantojiet drošības risinājumus ar specializētām tehnoloģijām un komponentēm, kas paredzētas šifrētāju apkarošanai un darbības nepieļaušanai (šādu tehnoloģiju darbības piemēru varat redzēt Kaspersky video demonstrācijā zemāk).

 

Izmantoti Kaspersky materiāli.

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

28 − 26 =

Uz augšu