Koniec roku to dla firm związanych z cyberbezpieczeństwem okazja do dzielenia się zgromadzonymi w ciągu ostatnich miesięcy statystykami dotyczącymi zagrożeń, ale też do zarysowywania prognoz na rok kolejny. Ich skuteczność jest zazwyczaj umiarkowana, ale zdarzają się w nich bardzo wartościowe diagnozy. Do tych należy zaliczyć spostrzeżenia Briana Krebsa, który na swoim blogu opisuje nową tendencję związaną z ransomware.
Dość powszechne jest przekonanie, że ransomware to zagrożenie relatywnie nowe. Do pierwszego ataku wykorzystującego scenariusz szyfrowania danych dla okupu doszło jednak – jeszcze za pośrednictwem programów dystrybuowanych na nośnikach fizycznych – już w 1989 roku. Ransomware jest więc z nami już od 30 lat, choć oczywiście przez ten czas bardzo wyraźnie ewoluowało. Dobitnym tego przykładem jest największa dotąd kampania WannaCry.
Co ciekawe, nie brakuje opinii, że być może już nigdy nie będziemy mieli do czynienia z globalną katastrofą ransomware na miarę WannaCry. Dla atakujących znacznie skuteczniejszym, niż wymuszenia okupów, narzędziem pozyskiwania pieniędzy okazują się bowiem działające w ukryciu koparki. To właśnie tego typu dyskretne oprogramowanie dystrybuowane jest w ostatnim czasie na porcie 3389 (podatność BlueKeep), a nie szyfrujące dyski ransomware.
Według Briana Krebsa nie oznacza to jednak, że instalowane potajemnie koparki wyparły ransomware. Wręcz przeciwnie – to drugie znów zdaje się ewoluować i to w dość ciekawym kierunku. Krebs odnotowuje, że w ostatnim czasie kilka grup stojących za kampaniami ransomware obrało nową taktykę – w celu wymuszenia okupu nie tylko szyfrują dane, ale też, jeśli ofiara wstrzymuje się z zapłatą, grożą ich publikacją. Oczywiście w niezaszyfrowanej postaci.
Dla wielu przedsiębiorstw publikacja wewnętrznych danych może być przecież po stokroć groźniejsza niż tylko bezpowrotna utrata do nich dostępu w wyniku działania ransomware. Na szali może tu być nie przecież nie tylko wewnętrzna korespondencja, niejawne dawne, ale też bezcenne know-how, których ujawnienie i przejęcie przez konkurencję może oznaczać dla danej organizacji katastrofę. Utrata danych z reguły oznaczała jedynie trudności operacyjne i duże straty.
Według Lawrance’a Abramsa z Bleeping Computer, który także dostrzega tę tendencję, na naszych oczach dochodzi do swoistego mariażu dwóch dotąd niezależnych zagrożeń – ransomware i wycieku danych. Według niego coraz częściej będziemy świadkami realizowania scenariuszy łączonych – pierwsza faza będzie przebiegać w sposób charakterystyczny dla ransomware, a gdy okup nie zostanie dostarczony, to dane będą trafiały do Sieci.
Szlaki zostały już zresztą przetarte. Po tym, jak osiem przedsiębiorstw odmówiło płacenia okupu, grupa Maze założyła specjalną stronę internetową, na której zapowiedziała publikację skradzionych informacji. Jak dotąd do ich upublicznienia nie doszło, ale wyraźnie działa tu dodatkowa dźwignia, która może okazać się skuteczna – po pierowtnej decyzji, by nie współpracować z atakującymi, kierownictwo wspomnianych firm musi przeanalizować swoją sytuację na nowo.
