FBI har udgivet en ny rapport, der siger, at ransomware-grupper i stigende grad bruger “betydelige økonomiske begivenheder” som løftestang under deres angreb.
Ifølge FBI bruger ransomware-grupper begivenheder som fusioner og opkøb for at målrette virksomheder og tvinge dem til at betale løsesummer.
“Før et angreb undersøger ransomware-aktører offentligt tilgængelige oplysninger, såsom et offers aktievurdering, såvel som væsentlige ikke-offentlige oplysninger. Hvis ofrene ikke betaler en løsesum hurtigt, vil ransomware-aktører true med at offentliggøre disse oplysninger, hvilket forårsager potentielle investorers tilbageslag. “, skrev FBI.
“Ransomware-aktører retter sig mod virksomheder, der er involveret i betydelige, tidsfølsomme økonomiske begivenheder for at tilskynde til løsepengebetaling fra disse ofre. Ransomware er ofte en to-trins proces, der begynder med en indledende indtrængen gennem en trojansk malware, som giver en adgangsmægler mulighed for at udføre rekognoscering og bestemme, hvordan man bedst tjener penge på adgangen.”
FBI bemærkede, at selvom ransomware-grupper vilkårligt distribuerer malware, udvælger de ofte omhyggeligt deres ofre baseret på den information, de får fra indledende indtrængen.
Banden søger efter ikke-offentlig information og truer derefter virksomheder ved at sige, at de vil frigive dokumenterne forud for vigtige økonomiske begivenheder, i håb om, at presset vil få ofrene til at betale løsesummer.
Grupperne leder efter data eller information, som de ved vil påvirke en virksomheds aktiekurs og “justerer deres tidslinje for afpresning,” fandt FBI.
De retshåndhævende myndigheder fremhævede flere tilfælde, hvor ransomware-aktører selv opfordrede andre til at bruge NASDAQ-børsen som en slags klokke for afpresningsprocessen. FBI sagde, at det fandt et indlæg fra en velkendt ransomware-skuespiller ved navn “Unknown” i Exploit – et populært russisk hackingforum – der opfordrede andre ransomware-grupper til at følge denne metode.
I meddelelsen delte FBI et direkte citat fra en ransomware-gruppe, der forhandlede med et offer i marts 2020.
“Vi har også bemærket, at du har aktier. Hvis du ikke vil engagere os til forhandling, vil vi lække dine data til nasdaq, og vi vil se, hvad der vil ske med dine aktier,” fortalte gruppen til offeret under forhandlingerne.
FBI bemærkede, at fra marts til juli i 2020 blev mindst tre børsnoterede amerikanske virksomheder angrebet af ransomware-grupper, da de var i gang med processen med en fusion og opkøb.
To af de tre forhandlede om finansielle aftaler privat, hvilket indikerer, at ransomware-grupperne havde fået adgang til fortrolige data.
“En teknisk analyse fra november 2020 af Pyxie RAT, en fjernadgangstrojaner, der ofte går forud for Defray777/RansomEXX ransomware-infektioner, identificerede adskillige søgeordssøgninger på et offers netværk, hvilket indikerer en interesse i offerets nuværende og nære fremtidige aktiekurs. Disse nøgleord omfattede 10- q, 10-sb, n-csr, nasdaq, marketwired og newswire,” forklarede FBI.
FBI delte en anden besked fra Darkside ransomware-aktører i april, der sagde: “Nu krypterer vores team og partnere mange virksomheder, der handler på NASDAQ og andre børser.”
“Hvis selskabet nægter at betale, er vi klar til at oplyse inden offentliggørelsen, så det ville være muligt at tjene ind i nedsættelseskursen på aktier. Skriv til os i 'Kontakt os', så giver vi dig detaljeret information, ” skrev ransomware-gruppen på sin blog.
Recorded Futures Allan Liska fortalte ZDNet, at det, FBI beskriver, har foregået i et stykke tid.
Han bemærkede, at REvil specifikt diskuterede brugen af aktievurdering og fusionsaktivitet som afpresningsteknikker under ransomware-angreb, og DarkSide ransomware-gruppen gjorde det samme.
“Men, hvad FBI rapporterer, er en eskalering af disse taktikker. Vi ved, at ransomware-grupper overvåger nyhedshistorier nøje, det lyder som om de nu bruger information indsamlet fra nyhederne til at målrette mod specifikke virksomheder i økonomisk følsomme tider (såsom en fusion). eller offentligt udbud),« sagde Liska.
“Uden for nogle få industrier er vi ikke vant til at tænke på ransomware-angreb som 'målrettede' i traditionel forstand. Men hvis FBI-rapporten er korrekt, går ransomware-grupper efter specifikke virksomheder i disse perioder. Hvis jeg var en virksomhed, der planlægger en børsnotering eller en fusion, ville jeg nøje overvåge underjordiske fora for stjålne legitimationsoplysninger og sikre, at jeg er ekstra forsigtig med sikkerheden i den periode.”
En nylig undersøgelse fra Comparitech viste, at ransomware-angreb gør have en midlertidig effekt på virksomhedernes aktiekurs og finansielle sundhed.
Undersøgelsen viste, at lige efter et ransomware-angreb faldt aktiekurserne i en virksomhed med 22 % i gennemsnit. Men rapporten viste, at dykket ofte varer alt fra en dag til 10 dage. I sidste ende sagde rapporten, at de fleste ransomware-angreb ikke havde den store effekt på ofrets virksomheder.
“På trods af datatab, nedetid og muligvis betale en løsesum eller bøde eller begge dele, fortsætter aktiekurserne for angrebne virksomheder. at udkonkurrere markedet efter et meget kort fald. Selv cybersikkerhedsfirmaer synes selv isolerede fra ethvert længerevarende fald i aktiekursen, når deres egen cybersikkerhed svigter i lyset af et ransomware-angreb,” sagde Comparitechs Paul Bischoff.
“Undtagelsen er Ryuk ransomware, som havde en mere alvorlig negativ indvirkning på aktiekursen end andre typer ransomware. Databrud har en større og længerevarende negativ indvirkning på aktiekursen end ransomware, ifølge vores anden undersøgelse, men kun marginalt. Og husk på, at disse to angreb ofte kombineres.”
Ransomware-ekspert og Emsisoft-trusselsanalytiker Brett Callow sagde til ZDNet, at ransomware-aktører bruger alle de muligheder, de kan få – uanset om det er at bruge bots til at promovere deres angreb på Twitter, lave pressekontakt, kontakte kunder eller, ifølge denne advarsel, bruge ikke- offentlige oplysninger indhentet under rekognosceringsfasen af angreb til yderligere pres på ofre.
“Vi har også set hændelser, hvor aktører så ud til at have forsinket kryptering af kompromitterede netværk, indtil det var tættere på tidspunktet for en væsentlig begivenhed. Intet af dette er overraskende,” sagde Callow.
“Bandens taktik er blevet gradvist ekstrem i løbet af de sidste par år, og det er desværre ikke sandsynligt, at det ændrer sig foreløbigt.”