Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

„Puk puk, firma z którą współpracujesz została zhackowana” – ransomware Clop informuje klientów „trafionej” firmy o potencjalnym wycieku

29 marca 2021, 20:28 | Aktualności | komentarze 2

Ostatnio na sekuraku opublikowaliśmy  kilka ciekawych tekstów na temat ransomware:

  • Wywiad z operatorem ransomware – „Grzebałem w śmieciach, teraz jestem milionerem”
  • Włam do Pekaes – Operatorzy ransomware DarkSide: „publikujemy ~65GB danych z włamania do firmy Pekaes”
  • Mity i fakty o ransomware – Ransomware – zapiski z placu boju.
  • Większe kwoty okupów – Raport Palo Alto: średnia wypłat ransomware wzrosła o 170%, do ponad 300.000$

Jeśli jeszcze się nie zapoznałeś z tymi artykułami, to gorąco zachęcamy do ich przeczytania. W artykule prezentującym “Raport Palo Alto” przybliżyliśmy między innymi  sposoby, jakich używają przestępcy do wywierania presji na ofiarach, np. ataki DDoS, publikacje wykradzionych danych czy informowanie mediów i inwestorów o wycieku. Operatorzy ransomware “Clop” zdecydowali się na wykorzystanie jeszcze innej, choć podobnej do wyżej przedstawionych taktyk.

“Dzień dobry, zamawiał Pan wyciek danych?”

Jak informuje Bleepingcomputer, operatorzy ransomware’a Clop jakiś czas temu zaatakowali firmę Bombardier, specjalizującą się między innymi w produkcji i budowie samolotów, lokomotyw czy wagonów kolejowych.

Przestępcy zaczęli informować media o ataku, więc firma postanowiła wyprzedzić te działania i opublikowała stosowny komunikat o incydencie:

Komunikat był jednoznacznym oświadczeniem o braku zainteresowania ze strony firmy do zapłaty okupu. Co z tym faktem zrobili przestępcy?

Tym razem nie tylko dziennikarze i inwestorzy są informowani o wycieku. Ransomware “Clop” wysyła także stosowną informację do klientów firmy, której dane zostały wykradzione. Z  takiego e-maila klient dowiaduje się, że jego dane, takie jak numer telefonu, e-mail, adres czy dane karty kredytowej, mogą zostać opublikowane, jeśli zaatakowana firma nadal nie zapłaci okupu.

Podsumowanie

Metody działań grup ransomware stają się coraz bardziej zaawansowane i skuteczne. Przestępcy nie spoczywają na laurach i część swoich dochodów przeznaczają na dalszy rozwój, ulepszając zarówno złośliwe oprogramowanie, jak i techniki wywierania presji na ofiary. I jak przypadku Bombardiera, firma, która nie jest zainteresowana negocjacjami z przestępcami. może być do tego zmuszona pod naciskiem swoich klientów. 

I o ile przestępczych działań operatorów ransomware samych w sobie nie popieramy, to informowanie klientów o potencjalnym wycieku (wraz z dokładną specyfikacją wykradzionych danych) może okazać się pozytywne, gdyż część zaatakowanych firm zataja tego typu informacje lub nie określa dokładnie, jakie dane zostały wykradzione.

~ Jakub Bielaszewski

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. klop

    Ale sobie nazwe wybrali…

    BTW, grozba opublikowania danych karty kredytowej _zmniejsza_ ryzyko nieuczciwego wykorzystania ukradzionych danych :-).

    Powiadomiony klient zastrzega karte w banku i niech zlodzieje sobie publikuja jej numer… ;-)

    Odpowiedz
    • Clop Clop Clop

      Nazwa nie ma znaczenia, era znaczacych, fajnych nazw sie skonczyla, teraz wazniejsze jest tworzenie zlosliwego oprogramowania i zarobek niz nazwa.

      Odpowiedz

Odpowiedz