Do trzech razy sztuka! Nowe trendy w ransomware.

Home / Aktualności / Do trzech razy sztuka! Nowe trendy w ransomware.

W przeciwieństwie do ataków fizycznych cyfrowe „porwania dla okupu” przy pomocy ransomware cechuje podejście „więcej to więcej”. Dlaczego ofiara ma za odzyskanie swoich cennych danych zapłacić okup tylko raz, a nastepnie wrócić do swojego normalnego trybu życia skoro można zaatakować ją ponownie lub nawet rozszerzyć atak o dodatkowe źródła i tym samym dostać więcej pieniędzy?

Czy po przez:
  • Ponowne zaszyfrowanie systemów“wymówką” dla tego typu działań jest oskarżenie zaatakowanych o ignorancję i niezabezpieczenie się przed powracającym zagrożeniem (niezastosowanie starej zasady “mądry Polak po szkodzie”)
  • Zagrożenie ujawnieniem wykradzionych (przed lub po zaszyfrowaniu) danych – po zapłaceniu okupu hakerzy żądają drugiej opłaty grożąc publikacją danych w internecie.

W ostatnim czasie możemy zaobserwować rosnącą popularność ataków typu double-encryption ransomware. Metoda ta polega na szyfrowaniu danych ofiary z wykorzystaniem nie jednego lecz dwóch niezależnych od siebie mechanizmów szyfrowania.

Emsisoft informuje o dwóch scenariuszach:
  1. Ofiary otrzymują jednocześnie dwie listy okupu, co oznacza, że ​​hakerzy chcą, aby ich ofiary wiedziały o ataku z użyciem podwójnego szyfrowania.
  2. Ofiary widzą tylko jedną informację o okupie i dowiadują się o drugiej warstwie szyfrowania dopiero po zapłaceniu za wyeliminowanie pierwszej.


Firma zidentyfikowała również dwie różne taktyki.
  • Hakerzy szyfrują dane za pomocą oprogramowania ransomware typu A, a następnie ponownie szyfrują te dane za pomocą oprogramowania ransomware typu B. Dla przykładu: atakujący może wykorzystać 256-bitowe szyfrowanie symetryczne AES do pierwotnego szyfrowania plików oraz asymetryczne szyfrowanie RSA do zaszyfrowania wyniku pierwotnego szyfrowania.

  • Druga ścieżka, to side-by-side encryption (autorska nazwa Emsisoft) w którym ataki szyfrują niektóre systemy organizacji za pomocą oprogramowania ransomware typu A i inne z oprogramowaniem ransomware typu B. W takim przypadku dane są szyfrowane tylko raz, ale ofiara potrzebowałaby obu kluczy deszyfrujących, aby odblokować wszystko. W tym równoległym scenariuszu dwa różne szczepy oprogramowania ransomware wyglądają bardzo podobnie, więc osobom reagującym na incydenty trudniej jest ustalić, co się dzieje.

Natomiast najnowszy trend to tzw. triple-encryption ransomware polegający na zaszyfrowaniu danych ofiary z wykorzystaniem trzech niezależnych od siebie mechanizmów szyfrowania. Wcześniej takie sytuacje zdarzały się jedynie gdy dwie grupy hakerów jednocześnie dokonywały ataku na daną organizację (co swoją drogą było bardzo rzadko spotykaną sytuacją).


Jednak istnieją już dziesiątki incydentów, w których jeden atakujący celowo nakłada na siebie dwa typy oprogramowania ransomware:
  • Pierwszym z przypadków jest atak na klinkę Vastaamo z października 2020. Od organizacji zażądano przyzwoitego okupu, ale, co zaskakujące, zażądano również mniejszych kwot od pacjentów, którzy otrzymali żądanie okupu indywidualnie w wiadomości e-mail. W tych e-mailach napastnicy zagrozili, że opublikują notatki z sesji terapeutycznej.

  • Luty 2021 r. – grupa REvil ransomware ogłosiła, że dodała dwa etapy do swojego planu podwójnych wymuszeń – ataki DDoS i rozmowy telefoniczne z partnerami biznesowymi ofiary i mediami. Grupa REvil ransomware, odpowiedzialna za dystrybucję ransomware Sodinokibi, działa w modelu biznesowym ransomware-as-a-service. Grupa oferuje teraz ataki DDoS i zaszyfrowane połączenia głosowe VoIP dziennikarzom i współpracownikom jako bezpłatną usługę dla swoich podmiotów stowarzyszonych, mającą na celu wywarcie dalszej presji na firmę ofiary w celu spełnienia żądań okupu w wyznaczonych ramach czasowych.


Ofiary zewnętrzne, takie jak klienci firmy, współpracownicy i dostawcy usług, są pod silnym wpływem naruszeń danych spowodowanych atakami ransomware, nawet jeśli ich zasoby sieciowe nie są bezpośrednim celem ataku. Niezależnie od tego, czy żąda się od nich dalszego okupu, czy też nie, są oni bezsilni w obliczu takiego zagrożenia i mają wiele do stracenia, jeśli incydent przybierze zły obrót.

Dotychczas by utrzymać „rentowność” biznesu ransomware, organizacje mogły liczyć na odzyskanie swoich danych. Oszustwo skutkowałoby utratą reputacji danej grupy atakujących i brakiem kolejnych okupów. Jednak pojawienie się podwójnego szyfrowania jako strategii dodaje ryzyko, że ofiara może zapłacić, raz odszyfrować swoje pliki, a następnie odkryć, że musi ponownie zapłacić za drugi klucz. W rezultacie zagrożenie podwójnym szyfrowaniem sprawia, że ​​możliwość przywracania danych z kopii zapasowych jest ważniejsza niż kiedykolwiek.

Dla ofiar ransomware, które nie mają odpowiednich kopii zapasowych lub nie chcą poświęcać czasu na rekonstrukcję swoich systemów od zera, ataki z potrójnym  szyfrowaniem stanowią dodatkowe zagrożenie. Dlaczego? Ponieważ podkopują całe “zaufanie” do ransomwarepłacąc okup nie mamy pewności, że po odszyfrowaniu nie zobaczymy kolejnego szyfru.

Oprócz podkreślanego wyżej posiadania kopii zapasowych, polecane jest posiadanie rozwiązania klasy Web Security Gateway i porządnego EDR (rekomendowany jest XDR). W dobie architektury rozproszonej nie do przecenienia jest korzystanie z platformy klasy Secure Access Service Edge.


Powiązane artykuły

Nasz serwis używa plików cookies w celach statystycznych, reklamowych oraz funkcjonalnych. Dzięki nim możemy indywidualnie dostosować ofertę do Twoich potrzeb. Każdy może zaakceptować pliki cookies albo ma możliwość wyłączenia ich w przeglądarce, dzięki czemu nie będą zbierane żadne informacje.