Na naszych oczach wejście zagrożeń typu ransomware w kolejny etap swojej ewolucji stało się faktem. Raptem przed kilkoma dniami na łamach naszego bloga opisywaliśmy bowiem nowy typ ataku łączonego, czyli mariaż klasycznego ransomware z wyciekiem danych. Dziś możemy już obserwować pierwszy tego typu incydent w akcji, wszystko to za sprawą grupy odpowiedzialnej za rozpowszechnianie ransomware Maze.
Zobacz też: Nowy trend w ransomware: jeśli nie zapłacisz okupu, twoje dane trafią do Sieci
Po kampanii WannaCry z 2017 roku nie mieliśmy już do czynienia z równie wielkim atakiem z wykorzystaniem ransomware. Nie należy się temu szczególnie dziwić – wymuszanie okupu może być skuteczne lub nie, natomiast wydobywanie kryptowalut za pomocą działających w dyskrecji i bez wiedzy ofiary koparek przynosi wymiernie korzyści niezależnie od woli współpracy zaatakowanego z atakującym.
Sukces kampanii ransomware jest więc uzależniony od czynników niezależnych od atakującego. Ofiary często odmawiają uiszczenia okupu, co także swoje dobre uzasadnienie. Najczęściej po jakimś czasie od ataku opracowywane i za darmo publikowane są narzędzia deszyfrujące, zaś według wielu ekspertów współpraca z atakującymi zwyczajnie zachęca ich do kontynuowania nieuczciwej działalności i psuje w ten sposób branżę.
Odpowiedzią na tę niedoskonałą skuteczność ransomware jest właśnie połączenie ransomware i wycieku danych. Przed zaszyfrowaniem plików atakujący tworzy ich kopię, która nie zostaje zaszyfrowana. Gdy ofiara odmawia współpracy, tj. uiszczenia okupu za odszyfrowanie plików, wówczas można jej zagrozić opublikowaniem przejętych danych. To może być dla ofiary znacznie groźniejsze niż sama ich utrata.
Jednym z nielicznych przykładów tego rodzaju ataku była kampania realizowana przez grupę odpowiedzialną za Maze, choć po przejęciu plików mieliśmy na razie do czynienia jedynie z groźbami ich upublicznienia, Niestety, właśnie zostały one spełnione. Na razie udostępniono paczkę danych o wielkości 2 GB skradzionych miastu Pensacola. Stanowić ma to zaledwie 10% wszystkich przejętych przez Maze plików.
Potwierdzono już, że miasto faktycznie została zaatakowana. Za odszyfrowanie atakujący zażądali 1 mln dolarów, ale żądania nie zostały spełnione. W rezultacie do Sieci trafiły 2-gigabajtowe archiwum. Atakujący opublikowali też oświadczenie: „To wina mass mediów, które piszą, że nie pozyskaliśmy więcej niż kilku plików. Nie chcieliśmy naciskać na miasto, nadal tego nie chcemy. Pokazaliśmy tylko, że nasze intencje są prawdziwe”.
Dotąd rozważaliśmy tylko wariant ataku składający się z dwóch etapów: szyfrowania dla okupu i wywierania presji groźbą publikacji. Doświadczenie z Maze pokazuje jednak, że nowy typ ataku łączący ransomware i wyciek danych może być wieloetapowy i długotrwały, wręcz ciągnąc się miesiącami, a nawet latami. Publikacja kolejnych części przejętych plików każdorazowo może powodować niepowetowane straty dla ofiary.
