Οι επιθέσεις Ransomware έχουν εισέλθει σε μια νέα φάση

Τον Φεβρουάριο, επιτιθέμενοι από την ομάδα λύτρων BlackCat με έδρα τη Ρωσία χτύπησαν ένα ιατρείο στην κομητεία Lackawanna της Πενσυλβάνια, το οποίο ανήκει στο Lehigh Valley Health Network (LVHN). Τότε, το LVHN δήλωσε ότι η επίθεση "αφορούσε" ένα σύστημα φωτογραφιών ασθενών που σχετιζόταν με την ακτινοθεραπεία ογκολογίας. Ο όμιλος υγειονομικής περίθαλψης δήλωσε ότι η BlackCat είχε εκδώσει αίτημα για λύτρα, "αλλά το LVHN αρνήθηκε να πληρώσει αυτή την εγκληματική επιχείρηση".

Μετά από μερικές εβδομάδες, η BlackCat απείλησε να δημοσιεύσει τα δεδομένα που είχαν κλαπεί από το σύστημα. "Το ιστολόγιό μας παρακολουθείται από πολλά μέσα ενημέρωσης παγκοσμίως, η υπόθεση θα δημοσιοποιηθεί ευρέως και θα προκαλέσει σημαντική ζημιά στην επιχείρησή σας", έγραψε η BlackCat στον ιστότοπο εκβιασμού στο σκοτεινό διαδίκτυο. "Ο χρόνος σας τελειώνει. Είμαστε έτοιμοι να εξαπολύσουμε όλη μας τη δύναμη εναντίον σας!" Στη συνέχεια, οι επιτιθέμενοι δημοσίευσαν τρία στιγμιότυπα οθόνης με καρκινοπαθείς που έλαβαν ακτινοθεραπεία και επτά έγγραφα που περιείχαν πληροφορίες ασθενών.

Οι ιατρικές φωτογραφίες είναι γραφικές και προσωπικές, απεικονίζοντας γυμνά στήθη ασθενών σε διάφορες γωνίες και θέσεις. Και ενώ τα νοσοκομεία και οι εγκαταστάσεις υγειονομικής περίθαλψης αποτελούν εδώ και καιρό αγαπημένο στόχο των συμμοριών ransomware, οι ερευνητές λένε ότι η κατάσταση στο LVHN μπορεί να υποδηλώνει μια αλλαγή στην απελπισία των επιτιθέμενων και την προθυμία τους να φτάσουν σε ακρότητες χωρίς το παραμικρό έλεος, καθώς οι στόχοι ransomware αρνούνται όλο και περισσότερο να πληρώσουν.
"Καθώς όλο και λιγότερα θύματα πληρώνουν τα λύτρα, οι δράστες ransomware γίνονται πιο επιθετικοί στις τεχνικές εκβιασμού τους", λέει ο Allan Liska, αναλυτής της εταιρείας ασφαλείας Recorded Future που ειδικεύεται στο ransomware. "Νομίζω ότι θα δούμε περισσότερα τέτοια φαινόμενα. Ακολουθεί στενά τα πρότυπα σε περιπτώσεις απαγωγών, όπου όταν οι οικογένειες των θυμάτων αρνούνταν να πληρώσουν, οι απαγωγείς μπορεί να έστελναν ένα αυτί ή άλλο μέρος του σώματος του θύματος".

Οι ερευνητές λένε ότι ένα άλλο παράδειγμα αυτών των βίαιων κλιμακώσεων ήρθε την Τρίτη, όταν η αναδυόμενη συμμορία ransomware Medusa δημοσίευσε δείγματα δεδομένων που κλάπηκαν από τα δημόσια σχολεία της Μινεάπολης σε μια επίθεση του Φεβρουαρίου, η οποία συνοδεύτηκε από απαίτηση λύτρων ύψους 1 εκατομμυρίου δολαρίων. Τα στιγμιότυπα οθόνης που διέρρευσαν περιλαμβάνουν σαρώσεις χειρόγραφων σημειώσεων που περιγράφουν ισχυρισμούς για σεξουαλική επίθεση και τα ονόματα ενός μαθητή και δύο μαθητριών που εμπλέκονται στο περιστατικό.

"Σημειώστε ότι η MPS δεν κατέβαλε λύτρα", ανέφερε η σχολική περιφέρεια της Μινεσότα σε ανακοίνωσή της στις αρχές Μαρτίου. Η σχολική περιφέρεια εγγράφει περισσότερους από 36.000 μαθητές, αλλά τα δεδομένα προφανώς περιέχουν αρχεία που αφορούν μαθητές, προσωπικό και γονείς που χρονολογούνται από το 1995. Την περασμένη εβδομάδα, η Medusa δημοσίευσε ένα βίντεο διάρκειας 50 λεπτών, στο οποίο οι επιτιθέμενοι εμφανίζονταν να ξεφυλλίζουν και να εξετάζουν όλα τα δεδομένα που έκλεψαν από το σχολείο, μια ασυνήθιστη τεχνική για να διαφημίσουν ποιες ακριβώς πληροφορίες κατέχουν αυτή τη στιγμή. Η Medusa προσφέρει τρία κουμπιά στον ιστότοπό της στο dark-web, ένα για να πληρώσει κάποιος 1 εκατομμύριο δολάρια για να αγοράσει τα κλεμμένα δεδομένα του MPS, ένα για να πληρώσει η ίδια η σχολική περιφέρεια τα λύτρα και να διαγραφούν τα κλεμμένα δεδομένα και ένα για να πληρώσει 50.000 δολάρια για να παρατείνει την προθεσμία των λύτρων κατά μία ημέρα.

"Αυτό που είναι αξιοσημείωτο εδώ, νομίζω, είναι ότι στο παρελθόν οι συμμορίες έπρεπε πάντα να βρίσκουν μια ισορροπία μεταξύ του να πιέζουν τα θύματά τους να πληρώσουν και να μην κάνουν τόσο αποτρόπαια, τρομερά, κακά πράγματα που τα θύματα να μην θέλουν να ασχοληθούν μαζί τους", λέει ο Brett Callow, αναλυτής απειλών στην εταιρεία antivirus Emsisoft. "Αλλά επειδή οι στόχοι δεν πληρώνουν τόσο συχνά, οι συμμορίες πιέζουν τώρα περισσότερο. Είναι κακή δημοσιότητα να έχεις μια επίθεση ransomware, αλλά όχι τόσο τρομερή όσο ήταν κάποτε - και είναι πραγματικά κακή δημοσιότητα να σε βλέπουν να πληρώνεις έναν οργανισμό που κάνει τρομερά, αποτρόπαια πράγματα".

Η δημόσια πίεση αυξάνεται σίγουρα. Σε απάντηση στις φωτογραφίες ασθενών που διέρρευσαν αυτή την εβδομάδα, για παράδειγμα, το LVHN ανέφερε σε δήλωσή του: "Αυτή η ασυνείδητη εγκληματική πράξη εκμεταλλεύεται τους ασθενείς που λαμβάνουν θεραπεία για τον καρκίνο και το LVHN καταδικάζει αυτή την κατάπτυστη συμπεριφορά".

Το Internet Crime Complaint Center (IC3) του FBI,  ανέφερε στην ετήσια έκθεσή του για το έγκλημα στο Διαδίκτυο, ότι έλαβε 2.385 αναφορές για επιθέσεις ransomware το 2022, συνολικής αξίας 34,3 εκατομμυρίων δολαρίων σε απώλειες. Οι αριθμοί ήταν μειωμένοι από 3.729 καταγγελίες ransomware και 49 εκατομμύρια δολάρια σε συνολικές απώλειες το 2021. "Ήταν πρόκληση για το FBI να εξακριβώσει τον πραγματικό αριθμό των θυμάτων ransomware, καθώς πολλές μολύνσεις δεν δηλώνονται στην επιβολή του νόμου", σημειώνεται στην έκθεση.

Αλλά η έκθεση κάνει ειδική αναφορά στην εξελισσόμενη και πιο επιθετική συμπεριφορά εκβιασμού. "Το 2022, το IC3 είδε αύξηση σε μια πρόσθετη τακτική εκβιασμού που χρησιμοποιείται για τη διευκόλυνση του ransomware", γράφει το FBI. "Οι φορείς απειλών πιέζουν τα θύματα να πληρώσουν απειλώντας να δημοσιεύσουν τα κλεμμένα δεδομένα εάν δεν πληρώσουν τα λύτρα".

Κατά κάποιο τρόπο, η αλλαγή είναι ένα θετικό σημάδι ότι οι προσπάθειες για την καταπολέμηση του ransomware αποδίδουν. Εάν αρκετοί οργανισμοί διαθέτουν τους πόρους και τα εργαλεία για να αντισταθούν στην καταβολή λύτρων, οι επιτιθέμενοι μπορεί τελικά να μην είναι σε θέση να δημιουργήσουν τα έσοδα που επιθυμούν και, ιδανικά, θα εγκαταλείψουν εντελώς το ransomware. Αυτό όμως καθιστά αυτή τη στροφή προς πιο επιθετικές τακτικές μια επισφαλή στιγμή.

"Πραγματικά δεν έχουμε ξαναδεί τέτοια πράγματα. Ομάδες έχουν κάνει δυσάρεστα πράγματα, αλλά ήταν ενήλικες που είχαν ως στόχο, δεν ήταν ασθενείς με καρκίνο ή μαθητές", λέει ο Callow της Emsisoft. "Ελπίζω ότι αυτές οι τακτικές θα τους γυρίσουν μπούμερανγκ και ότι οι εταιρείες θα πουν όχι, δεν μπορούμε να φανούμε ότι χρηματοδοτούμε μια οργάνωση που κάνει αυτά τα αποτρόπαια πράγματα. Αυτή είναι η δική μου ελπίδα τουλάχιστον. Το αν θα αντιδράσουν με αυτόν τον τρόπο μένει να το δούμε".