Жертва групи Campari від програми-вимагателя Ragnar Locker

І попросіть 15 Ms $, щоб розблокувати файли та видалити вкрадені дані

campari

Популярність вигрозних програм, здається, не зменшується. Натомість розгортаються все нові й нові вишукані атаки. Серед них - Ragnar Locker, програма-вимагатель, яка впливає на пристрої, що працюють під управлінням операційних систем Microsoft Windows. Спочатку це спостерігалося в кінці грудня 2019 року в рамках серії атак на скомпрометовані мережі.

Насправді, постачальник рішень з безпеки Sophos написав про це допис, в якому зазначив, що програма-вимагатель має специфіку розгортання, що дозволяє її встановлювати як віртуальну машину на цільовій системі.

ЧИТАЙТЕ ТАКОЖ

Ця шкідлива програма для macOS була прихована протягом 5 років

Взлом SolarWinds: Intel, Nvidia та Cisco також завантажили російський бекдор

У квітні минулого року португальський енергетичний суперважкий EDP (Energias de Portugal) заплатив ціну: кіберзлочинцям вдалося отримати доступ до 10 ТБ конфіденційних даних і вимагали викуп 1580 біткойнів. До цього часу оператори, що стоять за Ragnar Locker, використовували експлойт у підключеннях протоколу віддаленого робочого столу Windows (RDP), протокол, що дозволяє користувачеві підключатися до сервера, на якому запущено служби Microsoft Terminal Services), щоб поставити під загрозу безпеку мережі та проникнення даних. Вони змогли отримати адміністративні привілеї, використовуючи інструменти та команди Powershell та маніпулюючи груповими політиками, тими централізованими функціями управління сімейства Microsoft Windows, які дозволяють керувати комп'ютерами та користувачами в середовищі Active Directory.

Цього разу Campari Group, італійська алкогольна компанія, стала ціллю однієї зі своїх атак, і, як повідомляється, було викрадено 2 ТБ незашифрованих файлів. Щоб відновити свої файли, оператори, що стоять за Ragnar Locker, вимагають 15 мільйонів доларів. Campari Group - це італійська компанія, відома своїми популярними алкогольними марками, включаючи Campari, Frangelico, горілку SKYY, Epsolon, Wild Turkey та Grand Marnier.

Атака була здійснена в неділю 1 листопада 2020 року, і в понеділок Campari опублікував прес-реліз, в якому заявив, що зазнав кібератаки протягом вихідних, що призвело до того, що вони закрили свої ІТ-відділи та свою мережу.

"Campari Group повідомляє, що, імовірно, 1 листопада 2020 року, на неї було здійснено атаку на шкідливе програмне забезпечення (комп'ютерний вірус), яку швидко виявили. ІТ-відділ групи за підтримки експертів з ІТ-безпеки негайно вжив заходів щодо обмеження поширення шкідливого програмного забезпечення в даних та системах. Тому компанія запровадила тимчасове призупинення ІТ-послуг, оскільки деякі системи були ізольовані, щоб забезпечити їх дезінфекцію та поступовий перезапуск у безпечних умовах для швидкого відновлення звичайних операцій ».

Дослідник безпеки під псевдонімом Pancak3 зміг переглянути викупну записку та отримати зразок шкідливого програмного забезпечення, що чітко показує, що саме Рагнар Локер був використаний у нападі на групу Campari .

У записці про викуп оператори, що стоять за Ragnar Locker, стверджують, що під час атаки вони викрали 2 ТБ незашифрованих файлів, включаючи банківські виписки, документи, договірні угоди, електронні листи тощо.:

Ми ЗРОБИЛИ ваш периметр безпеки і маємо доступ до всіх серверів корпоративної мережі в різних країнах через усі ваші міжнародні офіси. Тому ми СКАЧАТИ понад 2 ТБ загального обсягу ваших ЧУТЛИВИХ ПРИВАТНИХ даних, включаючи:

  • Бухгалтерські файли, банківські виписки, урядові листи, ліцензійні сертифікати
  • Конфіденційна та/або приватна ділова інформація, угоди про знаменитості, Особиста інформація клієнтів та працівників (включаючи номери соціального страхування, адреси, номери телефонів тощо)
  • Фірмові угоди та контракти з дистриб'юторами, імпортерами, роздрібними торговцями, угоди про нерозголошення інформації
  • Ми також зберігаємо вашу приватну ділову листування, електронні листи та підшивки, маркетингові презентації, звіти про аудит та багато іншої конфіденційної інформації.

Щоб довести, що вони справді викрали дані, викупна записка містить вісім URL-адрес скріншотів деяких викрадених даних. Ці скріншоти містять конфіденційні документи, такі як банківські виписки, паспорт Великобританії, податкові форми W-4 працівника США, електронну таблицю із SSN та угоду про конфіденційність.

Pancak3 заявив, що Ragnar Locker заявляє, що зашифрував більшість серверів групи Campari у двадцять чотирьох країнах, і вимагає 15 мільйонів доларів у біткойнах, щоб дати їм дешифрувач. Ця нагорода також включає зобов’язання видалити дані з їхніх файлових серверів, а також не публікувати та не передавати дані, а також звіт про проникнення в мережу та рекомендації щодо підвищення безпеки.

Слід зазначити, що відповідно до звіту Coveware, опублікованого цього тижня, оператори, що стоять за програмами-вимагателями, не завжди видаляють дані, викрадені у компаній, які заплатили викуп.

У тому ж звіті зазначається, що майже 50% атак-вимоглив включали загрозу розміщення даних, викрадених операторами. Погроза опублікувати викрадені дані була використана як пусковий механізм для викупного платежу. Раніше, коли жертва програми-вимогача мала адекватні резервні копії, вони просто відновлювали свої системи і рухалися далі своїм життям; не було причин вести діалог з кіберзлочинцями. Зараз, коли зловмисний актор краде дані, компанія з резервними копіями, які можна безпечно відновити, часто змушена принаймні вести діалог з кіберзлочинцями, щоб визначити, які дані були взяті.

Coveware вважає, що ми дійшли до переломного моменту з тактикою вилучення даних. Хоча деякі компанії вирішили платити зловмисникам, а не розголошувати викрадені дані, компанія Coveware побачила обіцянки кіберзлочинців видалити дані після виплати викупу. Нижче наведений список включає групи-викупники, які публічно шантажували своїх жертв після того, як вони заплатили викуп або вимагали повторного платежу від компанії, яка раніше заплатила за видалення/нерозголошення даних:

  • Содінокібі: жертв, які заплатили, знову вимагали через кілька тижнів із погрозами звільнити той самий набір даних.
  • Мережець: дані, викрадені у компаній, які заплатили за їх нерозголошення, все ще розміщувались на сайті.
  • Меспіноза: дані, викрадені у компаній, які заплатили за їх нерозголошення, все ще розміщувались на сайті.
  • Конті: оператори представили неправдиві файли, які вони видалили як доказ добросовісності (тому справжні файли все ще були у них у власності).

Хоча потерпілі можуть виявити, що є вагомі причини платити, щоб запобігти публічному обміну викраденими даними, політика Coveware рекомендує потерпілим очікувати наступного, якщо вони вирішать платити:

  • Дані не будуть достовірно видалені. Жертви повинні припустити, що вони будуть передані іншим зловмисникам, продані або утримані для другої/майбутньої спроби вимагання.
  • Оператор (и), який зберігав викрадені дані, не обов'язково зберігав їх у безпеці. Навіть якщо вони повинні були видалити обсяг даних в результаті платежу, інші сторони, які мали до них доступ, могли зробити копії, щоб вони могли вимагати жертву в майбутньому.
  • Дані можуть бути оприлюднені в будь-якому випадку помилково або навмисно, перш ніж жертва може навіть відповісти на спробу вимагання.

На відміну від узгодження ключа розшифровки, ведення переговорів щодо видалення викрадених даних не має реального кінця. Після того, як жертва отримує ключ для розшифровки, його не можна забрати і з часом не погіршується. Завдяки викраденим даним зловмисний актор може повернутися за другим платежем у будь-який час у майбутньому. Крім того, Coveware радить всім жертвам вилучення даних вживати жорстких, але відповідальних заходів.

«Це включає отримання консультацій від відповідних адвокатів з питань конфіденційності, розслідування зібраних даних та надсилання необхідних повідомлень в результаті цього розслідування та цього адвоката. Виплата зловмисному акторові не шкодує вам жодного з перерахованого, а враховуючи нещодавно переглянуті результати, виплата зловмисному актору за утримання викрадених даних практично не приносить користі жертві. Можуть бути й інші причини для розгляду, такі як пошкодження торгової марки чи довгострокова відповідальність, і перш ніж визначати стратегію, слід враховувати всі міркування ".