Хакерська атака на лондонську лікарню призвела до розкриття сотень мільйонів медичних записів і змусила лікарів перенести важливе лікування раку. У Північній Америці банда продає на аукціоні дані про клієнтів LendingTree Inc. після того, як знайшла облікові дані під час іншого злому. А під час нещодавнього зламу постачальника програмного забезпечення для автосалону CDK Global хакери використали нахабний підхід, атакуючи не один раз, а двічі.
Ці нещодавні резонансні інциденти показують, як групи кіберзлочинців все частіше вдаються до більш зловісних методів, щоб спробувати вимагати від жертв дедалі більші викупи.
«Вони стають агресивнішими у способах, якими вони намагаються заробити гроші», — сказав Кевін Мандіа, співзасновник Ballistic Ventures і колишній виконавчий директор компанії Mandiant, що займається розвідкою загроз від Google. «Це намагається створити більше болю, щоб вони отримували більше грошей, або вони викликають більше зривів».
Підхід «один-два удари», використаний в інциденті CDK, справді завдав удару по клієнтам: автосалони по всій території США були сповільнені на кілька днів. Якщо жертва програм-вимагачів не поспішає платити комісію за здирництво, за логікою, другий удар може бути достатньо руйнівним, щоб шантажувати її змусити заплатити.
Такі тактики, як витік конфіденційних записів і подвійне зламування, не зовсім нові, але стали більш поширеними та представляють еволюцію традиційних атак програм-вимагачів, коли шахраї просто шифрували дані, вимагали платіж, а потім переходили до наступної жертви.
У наші дні, коли хакери просять гроші, вони іноді відмовляються виконувати свої вимоги щодо викупу, навіть якщо просять все більші суми, за словами одного експерта, який не має права говорити на цю тему. Російськомовні хакери під час атаки на лондонську лікарню вимагали 50 мільйонів доларів . UnitedHealth Group Inc. виплатила 22 мільйони доларів угрупованню кіберзлочинців після лютого злому дочірньої компанії страхового гіганта Change Healthcare.
Такі вимоги вказують на те, що хакери чинять значно більший тиск на жертв. За даними компанії Coveware, яка займається реагуванням на інциденти, у першому кварталі цього року середня сума викупу становила 381 980 доларів .
Ще одна причина, чому хакери стають більш вимогливими: вони стають розумнішими у виборі своїх цілей, частіше наводячись на жертв, чиї системи мають вирішальне значення для всього ланцюжка поставок. Так звана модель програми-вимагача як послуга спростила цю стратегію. Основна хакерська група розроблятиме та позичатиме своє шкідливе програмне забезпечення іншим шахраям, відомим як афілійовані особи, в обмін на частину доходів від викупу.
Це улюблена техніка групи, відомої як BlackCat, згідно з аналітичною компанією Chainalysis Inc. Це одна з причин, чому відомі виплати програм-вимагачів перевищили 1 мільярд доларів у 2023 році, що є новим рекордом, визначеним Chainalysis.
Переслідування дослідників
Хакери також почали переслідувати дослідників, які їх досліджують.
Одна особливо жорстока група створює підроблені фотографії оголених людей за допомогою штучного інтелекту, сказав Остін Ларсен, старший аналітик загроз у Mandiant, підрозділі Google Cloud. Подібні групи сповіщали поліцію про неправдиві надзвичайні ситуації за адресами дослідників і публікували приватну інформацію про них в Інтернеті, додав він.
Нещодавно Ларсен сказав, що його колеги зробили безпрецедентний для них крок, видаливши свої імена з дослідницьких звітів, які вони написали про деякі з найзлобніших банд.
Деякі вимагачі дзвонять керівникам, які працюють в жертвах організацій, щоб спробувати вмовити їх сплатити гонорар. В інших випадках зловмисники дзвонили керівникам, підробляючи номери їхніх дітей, сказав Чарльз Кармакал, головний технічний директор компанії Google Mandiant.
«Оскільки ця тактика стає все більшою та агресивнішою, вона все більше руйнуватиме звичайне життя людей», — сказав Аллан Ліска, аналітик компанії Recorded Future Inc., який порівняв методи вимагання з насильством у реальному світі, подібним до фільми про мафію.
«Якщо ви пошлете комусь палець, він, швидше за все, заплатить викуп», — сказав він. «Це еквівалент цього».
Атаки на сектор охорони здоров’я
Атаки в секторі охорони здоров’я показують, що деяка збільшена зухвалість хакерів очевидна в типах цілей, які вони ставлять у свій приціл.
Лікарні в Лондоні тижнями намагалися подолати злом, який змусив лікарів відмовляти пацієнтам. Прагнучи ще більше збільшити свій вплив, банда, яка стоїть за зломом, погрожувала опублікувати дані, викрадені під час інциденту, зрештою виконавши цю обіцянку .
Під час злому Change Healthcare злодії з кіберзлочинної групи BlackCat викликали збої та затримки платежів в аптеках і організаціях охорони здоров’я на кілька тижнів. Навіть після того, як UnitedHealth здійснила платіж компанії BlackCat, вона мало зрозуміла, чи безпечні дані пацієнтів.
Атака 2022 року на Medibank , одну з найбільших медичних страхових компаній в Австралії, стала переломним моментом у тактиці цифрових злочинів, сказав Кармакал з Mandiant. У цьому випадку шахраї вимагали приблизно 15 мільйонів доларів США в обмін на те, щоб не оприлюднити найбільш конфіденційні медичні записи пацієнтів. Коли Medibank відмовився платити, здирники злили інформацію про австралійців, які пройшли процедуру аборту, а хакери дзвонили пацієнтам у лікарні в скоординованій кампанії переслідувань.
Кампанії боротьби з кіберзлочинністю тривають, незважаючи на додаткові дії міжнародних правоохоронних органів. Проблема в тому, що хакери часто працюють з країн, які захищають їх від екстрадиції на Захід, сказав Ліска. «Вони не бояться помсти», — сказав він.
Президент США Джо Байден пообіцяв боротися з програмами-вимагачами , а Міністерство юстиції створило власну оперативну групу для боротьби з такими агресивними зловмисниками. Ці зусилля призвели до нових арештів, сказала Ліска, але недостатньо, щоб встигати за розповсюдженням нових груп.
Частково тому, що проводити такі кампанії стало легше. За словами Ліски, хакери можуть знайти готові набори програм-вимагачів в Інтернеті, заплативши лише 10 000 доларів за атаку на американські компанії.
«Іди косити газон на літо, і ти заробиш достатньо грошей, щоб розпочати свою першу атаку», — сказала Ліска.