FBI har gitt ut en ny rapport som sier at løsepengevaregrupper i økende grad bruker “betydelige økonomiske hendelser” som innflytelse under sine angrep.
Ifølge FBI bruker løsepengevaregrupper hendelser som fusjoner og oppkjøp for å målrette bedrifter og tvinge dem til å betale løsepenger.
“Før et angrep undersøker løsepengevareaktører offentlig tilgjengelig informasjon, for eksempel verdivurderingen av et offer, samt vesentlig ikke-offentlig informasjon. Hvis ofrene ikke betaler løsepenger raskt, vil løsepengevareaktører true med å avsløre denne informasjonen offentlig, og forårsake potensiell tilbakeslag fra investorer. “, skrev FBI.
“Ransomware-aktører retter seg mot selskaper involvert i betydelige, tidssensitive økonomiske hendelser for å oppmuntre til løsepengerbetaling fra disse ofrene. Ransomware er ofte en to-trinns prosess som begynner med en innledende inntrengning gjennom en trojansk malware, som lar en tilgangsmegler utføre rekognosering og bestemme hvordan du best kan tjene penger på tilgangen.”
FBI bemerket at selv om løsepengevaregrupper distribuerer skadevare tilfeldig, velger de ofte nøye ut ofrene sine basert på informasjonen de får fra innledende inntrengninger.
Gjengene søker etter ikke-offentlig informasjon og truer deretter selskaper ved å si at de vil frigi dokumentene i forkant av viktige økonomiske hendelser, i håp om at presset vil få ofrene til å betale løsepenger.
Gruppene ser etter data eller informasjon som de vet vil påvirke et selskaps aksjekurs og “justerer tidslinjen for utpressing,” fant FBI.
Rettshåndhevelsesbyrået fremhevet flere tilfeller der løsepengevareaktører selv oppfordret andre til å bruke NASDAQ-børsen som en slags klokke for utpressingsprosessen. FBI sa at de fant et innlegg fra en kjent ransomware-aktør ved navn «Unknown» i Exploit – et populært russisk hackingforum – som oppfordrer andre løsepengevaregrupper til å følge denne metoden.
I varselet delte FBI et direkte sitat fra en løsepengevaregruppe som forhandlet med et offer i mars 2020.
“Vi har også lagt merke til at du har aksjer. Hvis du ikke vil engasjere oss for forhandlinger, vil vi lekke dataene dine til nasdaq, og vi vil se hva som kommer til å skje med aksjene dine,” sa gruppen til offeret under forhandlingene.
FBI bemerket at fra mars til juli i 2020 ble minst tre børsnoterte amerikanske selskaper angrepet av løsepengevaregrupper mens de gikk gjennom prosessen med en fusjon og oppkjøp.
To av de tre forhandlet om finansielle avtaler privat, noe som indikerer at løsepengevaregruppene hadde fått tilgang til konfidensielle data.
“En teknisk analyse fra november 2020 av Pyxie RAT, en fjerntilgangstrojaner som ofte går foran Defray777/RansomEXX løsepenge-infeksjoner, identifiserte flere nøkkelordsøk på et offers nettverk som indikerer en interesse for offerets nåværende og nære fremtidige aksjekurs. Disse nøkkelordene inkluderte 10- q, 10-sb, n-csr, nasdaq, marketwired og newswire,” forklarte FBI.
FBI delte en annen melding fra Darkside ransomware-aktører i april som sa: “Nå krypterer teamet vårt og partnerne mange selskaper som handler på NASDAQ og andre børser.”
“Hvis selskapet nekter å betale, er vi klare til å gi informasjon før publisering, slik at det ville være mulig å tjene inn reduksjonsprisen på aksjer. Skriv til oss i 'Kontakt oss' så gir vi deg detaljert informasjon, ” skrev løsepenge-gruppen på bloggen sin.
Recorded Futures Allan Liska fortalte ZDNet at det FBI beskriver har pågått en stund.
Han bemerket at REvil spesifikt diskuterte bruk av aksjevurdering og fusjonsaktivitet som utpressingsteknikker under løsepenge-angrep, og DarkSide-ransomware-gruppen gjorde det samme.
“Det FBI rapporterer er imidlertid en eskalering av disse taktikkene. Vi vet at løsepengevaregrupper overvåker nyhetshistorier nøye, det høres ut som de nå bruker informasjon samlet inn fra nyhetene for å målrette mot bestemte selskaper i økonomisk sensitive tider (som en fusjon). eller offentlig tilbud),» sa Liska.
“Utenfor noen få bransjer er vi ikke vant til å tenke på løsepengevareangrep som “målrettede” i tradisjonell forstand. Men hvis FBI-rapporten er nøyaktig, går løsepengevaregrupper etter bestemte selskaper i denne perioden. Hvis jeg var et selskap som planlegger for børsnotering eller en fusjon, vil jeg overvåke underjordiske fora nøye for stjålet legitimasjon og sørge for at jeg er ekstra forsiktig med sikkerhet i denne perioden.”
En fersk studie fra Comparitech viste at løsepengevareangrep gjør det. ha en midlertidig effekt på aksjekursen og den økonomiske helsen til selskaper.
Studien viste at rett etter et løsepenge-angrep falt aksjekursene til et selskap med 22 % i gjennomsnitt. Men rapporten fant at dip ofte varer alt fra én dag til 10 dager. Til slutt sa rapporten at de fleste løsepenge-angrep ikke hadde noen stor effekt på ofrebedrifter.
“Til tross for tap av data, nedetid og muligens betaling av løsepenger eller bot eller begge deler, fortsetter aksjekursene for angrepne selskaper. å utkonkurrere markedet etter et veldig kort fall. Selv cybersikkerhetsfirmaer selv virker isolert fra ethvert langvarig fall i aksjekursen når deres egen cybersikkerhet svikter i møte med et løsepenge-angrep,” sa Comparitechs Paul Bischoff.
“Unntaket er Ryuk løsepengeprogramvare, som hadde en mer alvorlig negativ innvirkning på aksjekursen enn andre typer løsepengeprogramvare. Datainnbrudd har en større og lengre negativ innvirkning på aksjekursen enn løsepengevare, ifølge vår andre studie, men bare marginalt. Og husk at disse to angrepene ofte kombineres.”
Ransomware-ekspert og Emsisoft-trusselsanalytiker Brett Callow sa til ZDNet at løsepengevareaktører bruker hver eneste innflytelse de kan få – enten det er å bruke roboter for å promotere sine angrep på Twitter, gjøre presseoppsøk, kontakte kunder eller, i henhold til dette varselet, bruke ikke- offentlig informasjon innhentet under rekognoseringsfasen av angrep for å ytterligere presse ofre.
“Vi har også sett hendelser der aktører så ut til å ha forsinket kryptering av kompromitterte nettverk til det var nærmere tidspunktet for en betydelig hendelse. Ingenting av dette er overraskende,” sa Callow.
“Gengenes taktikk har blitt gradvis ekstrem i løpet av de siste par årene, og det er dessverre ikke sannsynlig at det endres med det første.”