Czy firmę może spotkać coś gorszego niż utrata najważniejszych danych? W wielu przypadkach tak – udostępnienie ich publicznie. Kolejne szczepy ransomware wykorzystują obawy firm przed wyciekiem, by jeszcze skuteczniej wymuszać okup. Zdaniem Kamila Sadkowskiego z ESET, tego typu ataki mogą stać się jednym z największych zagrożeń dla firm w nadchodzących latach.
Jak donosi serwis Bleeping Computer, miał miejsce kolejny atak ransomware, w którym na skutek niespełnienia żądań przestępców doszło do udostępnienia danych zaatakowanego przedsiębiorstwa. Ofiarą padła jedna z amerykańskich firm z branży obuwniczej, a skradzione pliki – łącznie 3,5 GB – opublikowane zostały na publicznie dostępnym blogu.
W ataku wykorzystano ransomware Nemty. Jest to kolejny już szczep, którego operatorzy wdrożyli taktykę, polegającą nie tylko na szyfrowaniu, ale również udostępnianiu przechwyconych danych. Szlaki dla tego typu działań przetarła w 2020 grupa odpowiedzialna za złośliwe oprogramowanie Maze, publikując pliki należące do jednej z zaatakowanych firm – Allied Universal. Następnie podobną strategię zaobserwowano w przypadku zagrożeń DopplePaymer i Sodinokibi.
Czemu przestępcy stojący za atakami ransomware zaczęli publikować wykradzione dane? Jak tłumaczy Kamil Sadkowski, starszy analityk zagrożeń w ESET, jest to dla nich dużo skuteczniejszy sposób, by wymusić okup niż samo szyfrowanie.
– Wśród firm rośnie świadomość, jak chronić się przed atakami ransomware. Coraz więcej instytucji posiada aktualne kopie bezpieczeństwa, dzięki którym może zminimalizować szkody wyrządzone w razie incydentu. Powstają też kolejne narzędzia pozwalające odszyfrować zaszyfrowane dane. W efekcie organizacje nie zawsze płacą okup – tłumaczy Kamil Sadkowski z ESET. – Niestety te same organizacje nie są w stanie równie skutecznie przeciwdziałać groźbie publikacji skradzionych danych. Przestępcy o tym wiedzą i coraz chętniej z tej metody korzystają.
Jak się chronić?
Zdaniem eksperta ta nowa generacja ransomware jest groźna nie tylko ze względu na szkody, jakie może wyrządzić ofiarom, ale również dlatego, że dużo trudniej się przed nią chronić. Co prawda sam backup nadal wystarczy, by przywrócić normalne funkcjonowanie organizacji, ale nie powstrzyma przestępców przed publikacją poufnych dokumentów i tajemnic przedsiębiorstwa w Internecie.
– Najważniejsze w takiej sytuacji stają się prewencja i szybka reakcja. Atak trzeba wykryć i powstrzymać, zanim przestępca zdąży wykraść dane, co wcale nie jest takie łatwe. Na pewno pomocne w takiej sytuacji okaże się skuteczne oprogramowanie antywirusowe oraz rozwiązanie klasy EDR, które pozwoli zidentyfikować podejrzaną aktywność wewnątrz sieci. Kluczem jest jednak praca u podstaw – odpowiedni dobór polityk bezpieczeństwa oraz przeszkolona kadra to najskuteczniejsza linia obrony przed atakiem – wyjaśnia Kamil Sadkowski z ESET.