В мире киберпреступности изменения, пожалуй, единственная постоянная величина. Хотя кибервымогательство как более широкая категория преступлений доказало свою жизнеспособность, ransomware – его, возможно, самый разрушительный «вкус» – живёт и умирает не только за счёт шифрования. В старом сценарии в основном блокировались файлы или системы, и требовалась оплата за ключ дешифрования, но в последние годы кампании переключились на сочетание шифрования с кражей данных и угрозами публикации украденной информации.
Именно здесь на сцену выходят специализированные сайты утечек, или сайты слива данных (DLS). Появившись впервые в конце 2019 года, DLS с тех пор стали основой стратегии двойного вымогательства. Злоумышленники крадут корпоративные данные (перед их шифрованием), а затем публично используют украденное, фактически превращая инцидент безопасности в полномасштабный публичный кризис.
Специалисты по безопасности и правоохранительные органы, конечно, отслеживают этот сдвиг годами. ФБР и CISA теперь регулярно описывают ransomware как проблему «кражи данных и вымогательства». Публичные проекты отслеживания, такие как Ransomware.live, указывают в том же направлении, хотя к точным подсчётам жертв следует относиться с осторожностью. Сайты утечек отражают только то, что преступники решают «рекламировать», а не всю вселенную инцидентов.
Давайте разберём роль DLS в экосистеме ransomware и их последствия для компаний-жертв.
Как группы ransomware используют сайты утечек данных?
Размещённые в тёмной сети и доступные через сеть Tor, эти сайты часто публикуют образцы украденных данных и угрожают жертвам полным публичным раскрытием, если оплата не будет произведена. Иногда материалы публикуются после того, как жертва отказалась уступить, тем самым ещё больше усугубляя её положение. Информация о жертвах, объём украденных материалов и даже сроки, призванные казаться неумолимыми, — всё это часть стратегии.
Что делает эту стратегию разрушительной, так это скорость и усиление. Как только инцидент становится достоянием общественности, несколько рисков сжимаются в один, очень заметный момент, и компания-жертва действует в атмосфере подозрений и неопределённости – часто ещё до того, как её IT- и служба безопасности полностью поймут, что было украдено или насколько далеко зашло вторжение. И это, конечно, цель – сайты утечек данных являются инструментом принуждения.
Именно поэтому они тщательно курируются. Злоумышленники часто публикуют ровно столько материалов, чтобы показать, что они не блефуют: горстку контрактов или партию электронных писем. Больше будет опубликовано, если жертва не уступит.
Действительно, ущерб редко останавливается на первоначальной жертве. Данные, однажды слитые или перепроданные, становятся топливом для последующих преступлений, и команды безопасности видят, как они снова появляются в фишинговых наборах, кампаниях компрометации деловой переписки (BEC) и схемах мошенничества с личными данными. В инцидентах в цепочке поставок один взлом может вызвать цепную реакцию, подвергая риску клиентов и партнёров жертвы. Этот каскадный эффект отчасти является причиной того, почему власти рассматривают ransomware как системный риск, а не как серию изолированных сбоев.
Давление по замыслу
Каждый элемент сайта утечек призван максимально усилить психологическое давление.
- Доказательство несанкционированного доступа. Группы публикуют образцы документов, такие как контракты и внутренние электронные письма, чтобы продемонстрировать, что вторжение было реальным, а угроза – правдоподобной.
- Срочность: Таймеры и обратные отсчёты создают ощущение, что время истекает, поскольку решения, принятые под давлением времени, с большей вероятностью будут в пользу стороны, контролирующей время.
- Публичная огласка: Даже если украденные данные никогда не будут опубликованы, одно лишь упоминание об утечке вызывает репутационный ущерб, который может занять годы для восстановления.
- Регуляторные риски: В соответствии с такими системами, как GDPR, HIPAA, и растущим набором законов о конфиденциальности на уровне штатов в США, подтверждённая утечка, связанная с персональными данными, может привести к обязательным раскрытиям, расследованиям и штрафам.
За пределами вымогательства
Некоторые операторы ransomware-as-a-service (RaaS) расширили функционал сайтов утечек. LockBit, до того как его инфраструктура была захвачена правоохранительными органами в начале 2024 года, размещал на своём сайте утечек программу Bug Bounty, предлагая выплаты любому, кто найдёт уязвимости в их коде.
Другие размещают «задания» для инсайдеров компаний, предлагая оплату сотрудникам, готовым предоставить учётные данные для входа или ослабить меры безопасности. Ещё другие сайты служат платформами для привлечения следующей волны злоумышленников, рекламируя «партнёрские программы», объясняя распределение доходов и как подать заявку.
Взгляд в общую картину
Сайты утечек данных работают, потому что они бьют по слабым местам компаний, выходящим за рамки технологий. Потенциальная утечка данных одновременно вызывает множество рисков: репутационный ущерб, потерю доверия клиентов и партнёров, финансовые потери, регуляторные санкции и судебные иски.
Поскольку группы ransomware также продают украденные данные, они подпитывают рынки украденных данных и способствуют последующим атакам. Некоторые группы даже были замечены полностью отказывающимися от шифрования, вместо этого «только» крадя данные и угрожая их опубликовать.
Между тем, жертвы должны принимать решения, не имея достаточного времени, чтобы обдумать последствия. Люди, чьи личные данные оказались вовлечены в инцидент, сталкиваются с длительным процессом восстановления, возможными угонами аккаунтов и мошенничеством с личными данными.
На этом фоне оплата может показаться (относительно) простым выходом или наименее плохим вариантом. Но это не так. Оплата не гарантирует восстановление файлов или систем, а также не гарантирует, что данные останутся конфиденциальными. Многие организации, которые заплатили, подверглись атаке снова в течение нескольких месяцев. И каждая оплата помогает финансировать следующую атаку.
Для организаций угроза ransomware требует комплексных мер защиты, которые включают:
- Развёртывание передовых решений безопасности с возможностями EDR/XDR/MDR. Среди прочего, они отслеживают аномальное поведение, такое как несанкционированное выполнение процессов и подозрительные боковые перемещения, чтобы остановить угрозу на корню. Действительно, продукты являются занозой в заднице преступников, которые всё чаще используют EDR killers, пытаясь завершить или вызвать сбой продуктов безопасности, обычно злоупотребляя уязвимыми драйверами.
- Ограничение бокового перемещения с помощью чётко определённых, строгих правил контроля доступа. Принципы нулевого доверия улучшают защищённость компании, устраняя предположения о доверии по умолчанию для любой сущности. Злоумышленники часто используют скомпрометированные учётные данные и доступ к протоколу удалённого рабочего стола для ручного перемещения по сетям.
- Поддерживайте всё ваше программное обеспечение в актуальном состоянии. Известные уязвимости являются одним из основных векторов проникновения для злоумышленников ransomware.
- Поддержание резервных копий, хранящихся в изолированных, физически отключённых средах, к которым ransomware не может получить доступ или которые не может изменить. Основная цель ransomware — найти и зашифровать конфиденциальные данные. Хуже того, даже когда жертвы платят выкуп, ошибочные процессы дешифрования могут привести к необратимой потере данных, не говоря уже о других возможных последствиях уплаты выкупа. Надёжные резервные копии и возможности восстановления после ransomware помогают значительно снизить ущерб от этой угрозы.
- Человеческая бдительность, дополнительно отточенная хорошо разработанным обучением по осведомлённости о безопасности, также представляет собой высокоэффективный барьер защиты. Сотрудник, который может рано распознать вредоносное электронное письмо, устраняет один из излюбленных точек входа злоумышленников ransomware, и это само по себе может заметно снизить риск того, что атака затронет всю вашу организацию.
Эволюция ransomware продолжается беспрепятственно, поскольку модель ransomware-as-a-service (RaaS) продолжает привлекать широкую криминальную аудиторию и обеспечивает многочисленным угрозам долговечность и адаптивность. До тех пор, пока преступники смогут надёжно превращать украденные данные в публичный спектакль, они будут продолжать это делать, и ransomware останется машиной для зарабатывания денег.