Jedno od sedam curenja podataka o iznuđivanju ransomware-a otkriva podatke o operativnim tehnologijama koje su ključne za poslovanje kompanija.
Istraživači kažu da ransomware napadi dvostruke iznude predstavljaju ozbiljan rizik za operativne procese.
Ransomware je u posljednjih nekoliko godina evoluirao od barebone enkripcije i osnovnih zahtjeva za plaćanje u nešto potencijalno mnogo teže.
Nekada se ransomware masovno koristio za inficiranje sistema i iznuđivanje plaćanja ucjenom od šire javnosti -- obično u kriptovalutama kao što je Bitcoin (BTC) -- ali sada napadaći ciljaju na mete visoke vrijednosti za veće isplate.
U onome što neki stručnjaci za sajber sigurnost nazivaju "lovom na velike divljači", grupe ransomware-a traže velike poslovne firme, komunalne usluge, bolnice i ključne igrače u lancu nabavke.
Iako može potrajati duže da se izvrši izviđanje potrebno za ulazak u mreže u vlasništvu velikih kompanija, nakon što se ulazak dobije, moguće je da im jedan napad može donijeti milione dolara.
Colonial Pipeline velika kompanija u SAD je primjer koliko iscrpljujući napad može biti ransomwarom. DarkSide je 2021. godine oteo sisteme dobavljača goriva od strane ransomware-a, i dok je otkupnina od $ 4,4 USA miliona dolara plaćena za obnavljanje mreže Colonial Pipeline-a. A šteta je već učinjena -- napad je izazvao paničnu kupovinu i nestašicu goriva širom Sjedinjenih Država.
Međutim, napadi ransomware-a na kompaniju sada idu dalje. Cisco Secure je skovao novi izraz iznuda „jedan-napad - dva udarca“, u kojem će operateri ransomware-a ukrasti povjerljive podatke prije nego što šifriranje započne i prijeti da će u javnost procuriti ove informacije ako žrtva odbije da plati.
Mnogi operateri ransomware-a upravljaju web lokacijama za curenje podataka na mreži koje objavljuju deponije ukradenih podataka, a prema Mandiant Threat Intelligence, tokom 2021. godine hiljade žrtava našle su se podvrgnute ovim taktikama iznuđivanja.
U periodu od samo 12 mjeseci, u SAD pogođeno je preko 1.300 organizacija iz kritičnih usluga, infrastrukture i industrijskog sektora.
Napadač je prikupio važne informacije od žrtava koje koriste operativne tehnologije (OT) za svoju proizvodnju. Nakon što su pregledali baze podataka koji su procurile na web-stranice s imenima i sramotama, istraživači su pronašli sve, od mrežnih i inženjerskih dijagrama do informacija o partnerskim dobavljačima i operaterskim panelima.
Među ispitanim uzorcima bili su ukradeni: akreditivi zaposlenika, oznake imovine, ugovori sa trećim stranama i pravni dokumenti, projektni fajlovi, dijagrami proizvoda, procesni dokumenti, proračunske tablice, vizualizacije i u jednom slučaju, vlasnički izvorni kod GPS platforme satelitskog uređaja za praćenje vozila .
Na osnovu analize, svako sedmo curenje informacija iz industrijskih organizacija objavljeno na web sajtovima za iznudu ransomware-a će vjerovatno otkriti osjetljivu OT dokumentaciju. Pristup ovoj vrsti podataka može omogućiti akterima prijetnji da nauče o industrijskom okruženju, identificiraju puteve najmanjeg otpora i osmisle nove sajber-fizičke napade.
Da stvar bude još gora, procureli OT zapisi mogu takođe pružiti sajber napadačima -- bilo da je to originalna grupa ili imitatorski tim koji želi da udari istu žrtvu -- sliku kulture kompanije, osoblja, finansija, proizvodnih procesa, istraživanja, intelektualne svojine i više.
Preporuka je da organizacije u ovim sektorima provode robusne politike rukovanja podacima za zaposlene i podatke o podizvodnji kako bi osigurale zaštitu interne tehničke dokumentacije.
Ovo je posebno važno za kritičnu infrastrukturu u SAD-u kao što je željeznica, koja svakodnevno pruža usluge hiljadama putnika.
Ako kompanija otkrije da su njenii podaci otkriveni na web lokaciji za iznuđivanje ransomwarea, važno je procijeniti vrijednost ovih procurjelih podataka i utvrditi treba li uvesti bilo kakvu dodatnu kontrolu kako bi se smanjio rizik da protivnik koristi ove podatke u budućnosti.
Istraživač u SAD-u je objavio rezultate analize ransomware napada između jula i septembra 2021. Kompanija je rekla da su organizacije u sektoru finansija i maloprodaje, uz komunalne usluge, bile najčešće mete napada, čineći 58% prijavljenih incidenata ransomware-a.
Napisao: N.K.
Pročitajte više: Sjevernokorejski hakeri napali Pfizer, željeli ukrasti tehnologiju za cjepivo
