Anul trecut, atacurile ransomware au fost unul dintre cele mai frecvente atacuri cibernetice în mediul de afaceri. Cu toate acestea, atacurile ransomware nu reprezintă o preocupare doar pentru organizații precum cele guvernamentale, companii sau furnizori de servicii medicale; ele afectează, de asemenea, angajații și clienții, întrucât datele acestora reprezintă adesea pagubele colaterale ale unor astfel de atacuri!
Atacurile de tip ransomware folosesc, pur și simplu, programe malware pentru a codifica informațiile și arhivele unei companii. Acestea variază de la campaniile de șantaj, care folosesc DDoS (Distributed Denial of Service), la copleșirea victimelor lor cu trafic, cu promisiunea de a opri atacul în schimbul plății unei răscumpărări.
În acest caz, unele organizații aleg să plătească prețul cerut pentru răscumpărare; cu toate acestea, în general, nu este recomandat, deoarece nu există nicio garanție că hackerii vor restabili accesul la sistemul infectat. În plus, prin plata răscumpărării, îi motivați pe atacatori să continue aceste tipuri de infracțiuni cibernetice. Studiile au arătat că aproximativ 58% dintre victimele ransomware au plătit în 2020, față de doar 39% în 2017.
Care au fost cele mai mari atacuri ransomware din 2020?
1. Atacul ransomware împotriva Travelex

Autorii amenințărilor au început anul 2020 cu un atac împotriva unei companii de operațiuni valutare numită Travelex. Atacatorii au forțat compania să oprească toate sistemele informatice și să se bazeze doar pe hârtie și pix. În consecință, compania a fost nevoită să își închidă site-urile web din 30 de țări.
În spatele atacului s-a aflat faimosul grup de hackeri cunoscut sub numele de REvil, care a cerut 6 milioane de dolari de la Travelex. Banda a susținut că ar fi accesat rețeaua de calculatoare a companiei cu șase luni înainte, ceea ce i-ar fi permis să descarce 5GB de informații confidențiale despre clienți (cum ar fi datele de naștere și numerele de carduri de credit). Grupul a anunțat că, dacă răscumpărarea este plătită, va șterge datele, dar, în caz contrar, va dubla suma la fiecare două zile. După 1 săptămână, gașca REvil a declarat că va vinde datele altor infractori cibernetici.
2. Grubman Shire Meiselas & Sacks
În luna mai, Grubman Shire Meiselas & Sacks, o firmă de avocatură cu sediul în New York, care are printre clienți o serie de celebrități, cum ar fi Madonna, Robert DeNiro sau Elton John, a fost, de asemenea, o altă victimă a ransomware-ului REvil.
Atacatorii au susținut că au folosit ransomware-ul REvil pentru a fura informații personale, incluzând:
- contracte cu clienții
- adrese de e-mail
- numere de telefon
- corespondență personală
- acorduri de confidențialitate
Ca în orice atac tipic de dublu șantaj, operatorii de ransomware au furat toate datele pe care le considerau valoroase înainte de a le cripta. Având o mărime totală de 756 GB, datele compromise au inclus informații personale confidențiale despre Lady Gaga, Madonna, Elton John, Bruce Springsteen, Mariah Carey, Barbara Streisand și mulți alții. În plus, atacatorii au pretins, de asemenea, că au obținut date confidențiale referitoare la Donald Trump, deși acesta nu a fost niciodată client al firmei de avocatură.
Infractorii cibernetici au amenințat că vor dezvălui datele în nouă tranșe dacă firma nu plătește răscumpărarea în valoare totală de 21 de milioane de dolari. De asemenea, au publicat online 2,4GB de date referitoare la Lady Gaga pentru a arăta că sunt serioși. Întrucât firma de avocatură a refuzat să plătească, atacatorii au dublat suma cerută, ajungând la 42 de milioane de dolari. Apoi, grupul a folosit o nouă abordare; prin urmare, datele furate au fost scoase la licitație, iar informațiile despre Madonna au fost vândute cu un preț de pornire de 1 milion de dolari. Atacul a provocat daune semnificative la adresa reputației companiei.
3. Universitatea California, San Francisco
Universitatea California, din San Francisco (UCSF), cea mai bună universitate de cercetare medicală din lume, a fost infectată cu ransomware-ul NetWalker în luna iunie. Intruziunea a pornit de la serverele Școlii de Medicină. Multe dintre bazele de date stocate în serverele afectate au fost criptate de atacator, deși universitatea a reușit să împiedice răspândirea infecției prin separarea restului rețelei.
Finalmente, atacul nu a afectat spitalele universitare și laboratoarele de cercetare COVID-19 ale UCSF. Cu toate acestea, deoarece bazele de date compromise includeau unele lucrări de cercetare academică valoroase, universitatea a decis, în cele din urmă, să plătească atacatorilor o răscumpărare de 1,14 milioane de dolari în schimbul unui instrument de decriptare pentru a recupera datele. Acest atac a arătat cât de vulnerabile pot fi instituțiile academice în fața atacurilor ransomware și a condus la o serie de atacuri asupra universităților care au continuat mai departe, în 2020.
4. Communications & Power Industries
În martie, unele surse au dezvăluit că un important producător de electronice, Communications & Power Industries (CPI), a fost lovit de un atac ransomware localizat în California.
Putem vedea că și profesioniștii IT pot face greșeli, având în vedere că un administrator de domeniu cu privilegii de nivel înalt în cadrul companiei a accesat un link malițios la mijlocul lunii ianuarie, în timp ce era conectat la sistem. După aceea, malware-ul cu fișiere criptate a început să se răspândească pe sute și mii de computere din rețeaua companiei.
În urma atacului, au fost afectate mai multe locații și copiile de securitate de pe site. Hackerii au cerut o răscumpărare de 500.000 de dolari în schimbul unei chei de decriptare. Presa a declarat ulterior că hackerii au obținut acces la date militare confidențiale și la fișiere legate de Aegis, un sistem de armament naval. Prin urmare, compania a cedat rapid în fața cererilor hackerilor și a recuperat datele.
5. Cognizant
Atacul ransomware împotriva companiei Cognizant a fost cel mai mare atac din 2020. Cognizant este o companie care oferă servicii IT pentru companii din diverse industrii. Acesta a anunțat în aprilie 2020 că ransomware-ul Maze a infectat rețeaua companiei. În acest fel, i s-au blocat funcțiile de lucru de acasă și i s-au criptat serverele.
Totuși, atacul a fost limitat la rețeaua internă și nu a avut impact asupra sistemelor clienților. În plus, angajații nu au putut să își acceseze e-mailurile și să comunice între ei. Compania a reușit să își revină și să își restabilească serviciile peste numai trei săptămâni. Cu toate acestea, atacul a costat compania între 50 și 70 de milioane de dolari în pierderi de venituri, pe lângă eforturile de recuperare și atenuare a efectelor!
6. LG Electronics și Xerox

Pe 4 august, 50 GB de date furate de la LG Electronics și 26 GB de date furate de la Xerox au fost publicate pe site-ul de scurgeri de informație al ransomware-ului Maze. Acest lucru s-a întâmplat exact la două luni de când ransomware-ul Maze a atacat ambele companii, în iunie. Acestea au refuzat, de asemenea, să plătească răscumpărarea cerută inițial și au suferit a doua fază a dublului atac de șantaj.
Datele publicate de la LG Electronics au inclus codul sursă al produselor sale. După ce au dezvăluit date confidențiale, atacatorii au declarat că nu au executat ransomware-ul pentru că nu au dorit să întrerupă operațiunile LG, deoarece mulți dintre clienții săi sunt importanți participanți sociali. În cazul Xerox, datele sustrase par să fie legate de serviciul de relații cu clienții, incluzând datele personale ale angajaților și ale potențialilor clienți.
Considerații finale
Putem observa că cele mai recente atacuri ransomware devin mai selective în ceea ce privește ținta și suma pe care o cer. Cu toate acestea, în ciuda pagubelor, atacurile ransomware pot fi atenuate în mod eficient cu ajutorul unor măsuri adecvate. Așadar, este întotdeauna important să se dispună de măsuri puternice de securitate cibernetică pentru vulnerabilitățile din aplicații, sisteme și rețele!
Atribuiri
Fotografie de Michael Geiger pe Unsplash