Шифровальщики-вымогатели: рычаги влияния на жертву

Разбираем, какие уловки используют вымогатели, чтобы заставить жертву заплатить выкуп.

За последние несколько лет подход злоумышленников к своей «работе» изменился достаточно сильно. Еще несколько лет назад они массово рассылали трояны и спойно ждали, пока кто-то из жертв не заплатит выкуп, понимая, что большая часть целей проигнорирует требования. Сейчас преступники, по всей видимости, практикуют иной подход — более клиенто-ориентированный, если так можно выразиться. От массовых заражений они перешли к целевым, что, несомненно, уменьшило «покрытие», поэтому теперь они не готовы спокойно переносить отказы платить. Теперь они пытаются бороться за каждую цель, выискивая дополнительные рычаги давления, порой достаточно нестандартные. Примером тому служит недавнее письмо, попавшееся нам при изучении деятельности группировки Darkside.

Письмо от вымогателей

Письмо от вымогателей

В чем суть кейса

Как следует из письма, злоумышленники смогли заразить шифровальщиком-вымогателем некую организацию, которая, помимо всего прочего, изготавливает фото- и печатную продукцию для школ. В базах данных этой организации хранились персональные данные как детей, так и сотрудников образовательных учреждений. Федеральные власти запретили организации платить выкуп злоумышленникам, в связи с чем хакеры начали выискивать дополнительные рычаги влияния.

Как Darkside пытается повлиять на решение платить или не платить

Преступники решили обратиться напрямую к школам, данные учеников которых были похищены. Их цель — инициировать как можно больше коллективных исков к компании, допустившей утечку. Для этого они убеждают школы подготовить пресс-релизы и обратиться к родителям учеников с объяснением ситуации. В противном случае они «не могут гарантировать», что данные конкретной школы, включая персональные данные детей, не будут опубликованы в даркнете. Кроме того, они также напоминают, что в их распоряжении есть фотографии и данные сотрудников. Этими данными потенциально могут воспользоваться какие-нибудь педофилы и напечатать себе пропуска в школы, что поставит под угрозу безопасность детей.

Таким образом, злоумышленники не только угрожают разрушить репутацию жертвы, но и пытаются повлиять на ее клиентов и партнеров, чтобы те надавили на жертву или причинили дополнительный ущерб юридическими средствами.

Что делать

Важно понимать, что в реальности выполнение требований злоумышленников в любом случае не решит проблему. Они никак не могут доказать, что действительно удалят похищенные у вас данные и не воспользуются ими так или иначе еще раз. Подробнее об этом можно почитать в недавнем посте Евгения Касперского.

Поэтому организациям — особенно тем, которые хранят у себя данные партнеров или клиентов — лучше заранее подготовиться к возможной атаке:

  • Объяснить всем сотрудникам суть угрозы, а в идеале научить их распознавать действия злоумышленников.
  • Снабдить все используемые в организации компьютеры надежными защитными решениями, способными эффективно бороться с троянами-шифровальщиками.
  • Тщательно следить за обновлениями используемого в организации программного обеспечения (в последнее время особенно разрушительны атаки шифровальщиков через уязвимости).
Советы