FBI har släppt en ny rapport som säger att ransomware-grupper i allt högre grad använder “betydande ekonomiska händelser” som hävstång under sina attacker.
Enligt FBI använder ransomware-grupper händelser som fusioner och förvärv för att rikta in sig på företag och tvinga dem att betala lösensummor.
“Innan en attack undersöker ransomware-aktörer allmänt tillgänglig information, såsom ett offers aktievärdering, såväl som väsentlig icke-offentlig information. Om offren inte betalar en lösensumma snabbt kommer ransomware-aktörer att hota att avslöja denna information offentligt, vilket orsakar potentiella investerare bakslag. “, skrev FBI.
“Ransomware-aktörer riktar sig mot företag som är inblandade i betydande, tidskänsliga ekonomiska händelser för att uppmuntra dessa offer att betala lösen. Ransomware är ofta en process i två steg som börjar med ett första intrång genom en trojan skadlig kod, vilket gör att en åtkomstmäklare kan utföra spaning och avgöra hur du bäst tjänar pengar på åtkomsten.”
FBI noterade att även om ransomware-grupper urskillningslöst distribuerar skadlig programvara, väljer de ofta noggrant ut sina offer baserat på informationen de får från inledande intrång.
Gängen söker efter icke-offentlig information och hotar sedan företag genom att säga att de kommer att släppa dokumenten före viktiga ekonomiska händelser, i hopp om att trycket kommer att få offren att betala lösensummor.
Grupperna letar efter data eller information som de vet kommer att påverka ett företags aktiekurs och “justerar sin tidslinje för utpressning”, fann FBI.
Den brottsbekämpande myndigheten lyfte fram flera tillfällen där ransomware-aktörer själva uppmanade andra att använda NASDAQ-börsen som ett slags ringsignal för utpressningsprocessen. FBI sa att de hittade ett inlägg från en välkänd ransomware-aktör vid namn “Okänd” i Exploit – ett populärt ryskt hackingforum – som uppmanade andra ransomware-grupper att följa denna metod.
I meddelandet delade FBI ett direkt citat från en ransomware-grupp som förhandlade med ett offer i mars 2020.
“Vi har också märkt att du har aktier. Om du inte anlitar oss för förhandling kommer vi att läcka dina data till nasdaq och vi kommer att se vad som kommer att hända med dina aktier”, sa gruppen till offret under förhandlingen.
FBI noterade att från mars till juli 2020 attackerades minst tre börsnoterade amerikanska företag av ransomware-grupper när de gick igenom processen med en fusion och ett förvärv.
Två av de tre förhandlade om finansiella affärer privat, vilket indikerar att ransomware-grupperna hade fått tillgång till konfidentiell data.
“En teknisk analys från november 2020 av Pyxie RAT, en trojan för fjärråtkomst som ofta föregår Defray777/RansomEXX ransomware-infektioner, identifierade flera nyckelordssökningar på ett offers nätverk som indikerar ett intresse för offrets nuvarande och nära framtida aktiekurs. Dessa nyckelord inkluderade 10- q, 10-sb, n-csr, nasdaq, marketwired och newswire,” förklarade FBI.
FBI delade ett annat meddelande från Darkside ransomware-aktörer i april som sa: “Nu krypterar vårt team och våra partners många företag som handlar på NASDAQ och andra börser.”
“Om bolaget vägrar att betala är vi redo att lämna information innan publiceringen, så att det skulle vara möjligt att tjäna in sänkningspriset på aktier. Skriv till oss i 'Kontakta oss' så ger vi dig detaljerad information, ” skrev ransomware-gruppen på sin blogg.
Recorded Futures Allan Liska sa till ZDNet att det som FBI beskriver har pågått ett tag.
Han noterade att REvil specifikt diskuterade att använda aktievärdering och fusionsaktivitet som utpressningstekniker under ransomware-attacker och DarkSide ransomware-gruppen gjorde samma sak.
“Men vad FBI rapporterar är en eskalering av dessa taktiker. Vi vet att ransomware-grupper övervakar nyheter noga, det låter som att de nu använder information som samlats in från nyheterna för att rikta in sig på specifika företag under ekonomiskt känsliga tider (som en fusion). eller offentligt erbjudande), säger Liska.
“Utanför ett fåtal branscher är vi inte vana vid att tänka på ransomware-attacker som “riktade”, i traditionell mening. Men om FBI-rapporten är korrekt, går ransomware-grupper efter specifika företag under dessa perioder. Om jag var ett företag som planerar för börsnotering eller en sammanslagning, skulle jag noga övervaka underjordiska forum för stulna referenser och se till att jag är extra försiktig med säkerheten under den perioden.”
En nyligen genomförd studie från Comparitech visade att ransomware-attacker gör ha en viss tillfällig effekt på företagens aktiekurs och finansiella hälsa.
Studien visade att direkt efter en ransomware-attack sjönk ett företags aktiekurser med 22 % i genomsnitt. Men rapporten fann att dippet ofta varar allt från en dag till 10 dagar. Till slut sa rapporten att de flesta ransomware-attacker inte hade någon stor effekt på offerföretag.
“Trots dataförlust, driftstopp och eventuellt betala en lösensumma eller böter eller båda, fortsätter aktiekurserna för attackerade företag. att överträffa marknaden efter en mycket kort nedgång. Även cybersäkerhetsföretag själva verkar isolerade från varje långvarig nedgång i aktiekursen när deras egen cybersäkerhet misslyckas inför en ransomware-attack, säger Paul Bischoff, Comparitechs Paul Bischoff.
“Undantaget är Ryuk ransomware, som hade en mer allvarlig negativ inverkan på aktiekursen än andra typer av ransomware. Dataintrång har en större och längre negativ inverkan på aktiekursen än ransomware, enligt vår andra studie, men bara marginellt. Och kom ihåg att dessa två attacker ofta kombineras.”
Ransomware-experten och Emsisoft-hotanalytiker Brett Callow sa till ZDNet att ransomware-aktörer använder varje hävstång de kan få – oavsett om det är att använda bots för att marknadsföra sina attacker på Twitter, göra presskontakt, kontakta kunder eller, enligt denna varning, använda icke- offentlig information som erhållits under spaningsfasen av attacker för att ytterligare pressa offer.
“Vi har också sett incidenter där aktörer verkade ha försenat krypteringen av komprometterade nätverk tills det närmade sig tidpunkten för en betydande händelse. Inget av detta är förvånande,” sa Callow.
“Gängens taktik har blivit gradvis extrem under de senaste åren och tyvärr kommer det inte att förändras inom kort.”