Ataki ransomware weszły w nową, ohydną fazę

W lutym napastnicy z rosyjskiej grupy BlackCat ransomware zaatakowali praktykę lekarską w hrabstwie Lackawanna w Pensylwanii, która jest częścią Lehigh Valley Health Network (LVHN). W tym czasie LVHN powiedziała, że atak „dotyczył” systemu zdjęć pacjentów związanych z leczeniem onkologicznym z wykorzystaniem promieniowania. Grupa opieki zdrowotnej powiedziała, że BlackCat wydał żądanie okupu, „ale LVHN odmówił zapłacenia tego przestępczego przedsięwzięcia”.

Po kilku tygodniach BlackCat zagroził, że opublikuje dane skradzione z systemu. „Nasz blog jest śledzony przez wiele światowych mediów, sprawa zostanie szeroko nagłośniona i spowoduje znaczne szkody w waszym biznesie” – napisał BlackCat na swojej stronie z wymuszeniami w dark-web. „Twój czas się kończy. Jesteśmy gotowi wyzwolić na tobie naszą pełną moc!”. Napastnicy następnie wypuścili trzy zrzuty ekranu przedstawiające pacjentów z rakiem otrzymujących radioterapię oraz siedem dokumentów, które zawierały informacje o pacjentach.

Zdjęcia medyczne są graficzne i intymne, przedstawiające nagie piersi pacjentów w różnych kątach i pozycjach. I chociaż szpitale i placówki opieki zdrowotnej od dawna są ulubionym celem gangów ransomware, badacze twierdzą, że sytuacja w LVHN może wskazywać na zmianę desperacji atakujących i chęć posunięcia się do bezwzględnej skrajności, ponieważ cele ransomware coraz częściej odmawiają zapłaty.

„Ponieważ mniej ofiar płaci okup, aktorzy ransomware stają się bardziej agresywni w swoich technikach wymuszania”, mówi Allan Liska, analityk firmy bezpieczeństwa Recorded Future, który specjalizuje się w ransomware. „Myślę, że będziemy widzieć więcej takich sytuacji. Ściśle podąża za wzorcami w sprawach porwań, gdzie gdy rodziny ofiar odmawiały zapłaty, porywacze mogli wysłać ucho lub inną część ciała ofiary.”

Badacze mówią, że kolejny przykład tych brutalnych eskalacji pojawił się we wtorek, gdy powstający gang ransomware Medusa opublikował przykładowe dane skradzione z Minneapolis Public Schools w lutowym ataku, który przyszedł z żądaniem okupu w wysokości 1 miliona dolarów. Wycieknięte zrzuty ekranu zawierają skany odręcznych notatek, które opisują zarzuty napaści seksualnej oraz nazwiska ucznia płci męskiej i dwóch uczennic zaangażowanych w incydent.

„Proszę zauważyć, MPS nie zapłacił okupu” – powiedział okręg szkolny w Minnesocie w oświadczeniu na początku marca. Okręg szkolny zapisuje ponad 36 000 uczniów, ale dane najwyraźniej zawierają zapisy związane z uczniami, personelem i rodzicami sięgające 1995 roku. W zeszłym tygodniu Medusa zamieściła 50-minutowy film, w którym napastnicy wydawali się przewijać i przeglądać wszystkie dane, które ukradli ze szkoły, co jest nietypową techniką reklamowania dokładnie tych informacji, które obecnie posiadają. Medusa oferuje trzy przyciski na swojej stronie dark-web, jeden dla każdego, aby zapłacić 1 milion dolarów za zakup skradzionych danych MPS, jeden dla samego dystryktu szkolnego, aby zapłacić okup i mieć skradzione dane usunięte, i jeden do zapłaty 50 000 dolarów, aby przedłużyć termin okupu o jeden dzień.

„Myślę, że w przeszłości gangi zawsze musiały zachować równowagę pomiędzy wywieraniem nacisku na swoje ofiary, aby zapłaciły, a nie robieniem tak ohydnych, strasznych, złych rzeczy, że ofiary nie chcą mieć z nimi do czynienia” – mówi Brett Callow, analityk zagrożeń w firmie antywirusowej Emsisoft. „Ale ponieważ cele nie płacą tak często, gangi naciskają teraz mocniej. Zły PR to atak ransomware, ale nie tak straszny jak kiedyś – a naprawdę zły PR to bycie postrzeganym jako płacący organizacji, która robi straszne, ohydne rzeczy.”

Presja opinii publicznej z pewnością jest coraz większa. W odpowiedzi na wyciek zdjęć pacjentów w tym tygodniu, na przykład, LVHN powiedział w oświadczeniu, „Ten niewygodny akt przestępczy wykorzystuje pacjentów otrzymujących leczenie raka, a LVHN potępia to nikczemne zachowanie.”

FBI Internet Crime Complaint Center (IC3) powiedział w swoim corocznym raporcie o przestępczości internetowej w tym tygodniu, że otrzymał 2,385 raportów o atakach ransomware w 2022 roku, w sumie 34,3 miliona dolarów strat. Liczby te spadły z 3 729 skarg dotyczących ransomware i 49 milionów dolarów łącznych strat w 2021 roku. „Ustalenie prawdziwej liczby ofiar ransomware stanowiło dla FBI wyzwanie, ponieważ wiele infekcji nie jest zgłaszanych organom ścigania” – zauważa raport.

Ale raport szczególnie nazywa ewoluujące i bardziej agresywne zachowania związane z wymuszaniem okupu. „W 2022 r., IC3 zaobserwowało wzrost dodatkowej taktyki wymuszania wykorzystywanej do ułatwiania tworzenia ransomware” – napisało FBI. „Aktorzy zagrożeń naciskają na ofiary, aby zapłaciły, grożąc opublikowaniem skradzionych danych, jeśli nie zapłacą okupu”.

Pod pewnymi względami zmiana jest pozytywnym znakiem, że wysiłki na rzecz zwalczania ransomware przynoszą efekty. Jeśli wystarczająco dużo organizacji będzie miało zasoby i narzędzia, aby oprzeć się płaceniu okupów, osoby atakujące w końcu mogą nie być w stanie generować pożądanych przez siebie przychodów i, w idealnej sytuacji, całkowicie porzuciłyby ransomware. Ale to sprawia, że ten zwrot w kierunku bardziej agresywnej taktyki jest niepewnym momentem.

„Naprawdę nie widzieliśmy wcześniej takich rzeczy. Grupy robiły nieprzyjemne rzeczy, ale to dorośli byli celem, nie byli to chorzy na raka czy dzieci w wieku szkolnym” – mówi Callow z Emsisoft. „Mam nadzieję, że ta taktyka ugryzie ich w tyłek i że firmy powiedzą nie, nie możemy być postrzegani jako finansujący organizację, która robi te ohydne rzeczy. Taką mam nadzieję. To, czy zareagują w ten sposób, pozostaje do przewidzenia”.

Leave a Comment

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Scroll to Top