Ransomware dotąd polegał głównie na blokowaniu danych i wymuszaniu okupu za ich odzyskanie. Teraz złodzieje najwyraźniej zauważyli możliwość nowych zarobków na przymusowych klientach – oprócz szyfrowania danych zaczęli je wykradać i grozić upublicznieniem. Jedna grupa nawet założyła w tym celu własny serwis WWW – donosi zaufana trzecia strona.

Rok 2019 przyniósł istotne zmiany w krajobrazie ataków ransomware. Coraz częściej widzimy na polskim rynku i poza nim ataki wycelowane w przedsiębiorstwa. Nazwy takie, jak Ryuk, LockerGoga, MegaCortex, Maze czy RobbinHood, budzą niemiłe wspomnienia niejednego prezesa. W ostatnim roku część przestępców porzuciła szyfrowanie dysków osób prywatnych i skoncentrowała się na działalności b2b. Rozpoznają biznes ofiary, szacują potencjalne straty, zdobywają uprawnienia administratora domeny i uruchamiają procedury szyfrowania jednocześnie na setkach lub tysiącach stacji roboczych i serwerów. Odpowiednio do większego wysiłku, który wkładają w swoją działalność, zwiększyli także kwoty oczekiwanych okupów. Stawki zaczynają się od 100 000 – 200 000 PLN, ale widzieliśmy też takie po kilka milionów. Cześć organizacji płaci, część odzyskuje z backupów – i ta druga grupa jest głównym problemem przestępców. Przestępcy postanowili ten problem zaadresować w ciekawy, choć niepokojący sposób.

Mamy backupy, ale co z tego
Załóżmy, że w waszej firmie doszło do skutecznego ataku ransomware. Problem jest spory, ale na szczęście macie kopie bezpieczeństwa przechowywane offline, które się uchowały. Czeka was spory wydatek i kilkanaście dni przestoju, ale firma nie musi płacić okupu. To godne pochwały podejście. Niestety okazuje się, że padliście ofiarą grupy Maze, a ta ma inne zdanie na temat waszej decyzji i manifestuje je na swojej stronie.
Więcej tutaj