Дан Милмо
Тази седмица беше добавено ново име към галерията на бандите за ransomware и киберпрестъпниците, след като престъпна група, наречена Rhysida – кръстена на вид стоножка – пое отговорност за атаката срещу Британската библиотека. Библиотеката потвърди, че лични данни, откраднати при кибератака миналия месец, са се появили за продажба онлайн.
Докато името зад атаката може да е сравнително ново, криминалната техника не е. Групите за рансъмуер правят компютрите на дадена организация недостъпни, като ги заразяват със злонамерен софтуер и след това изискват плащане, обикновено в криптовалута, за отключване на файловете.
През последните години обаче, в процес, наречен „двойно изнудване", по-голямата част от бандите крадат данни едновременно и заплашват да ги пуснат онлайн, което се надяват да увеличи силата им в преговорите.
Rhysida се появи като нападател тази седмица, като публикува изображения с ниска разделителна способност, на лична информация, събрана при атаката онлайн, предлагайки откраднатите данни за продажба на своя сайт с начална оферта от 20 биткойна, или около £590 000.
Британската библиотека е известната жертва на Rhysida но групата е отговорна и за атаки срещу държавни институции в Португалия, Чили и Кувейт. През август тя пое отговорност за атака срещу американската болнична група Prospect Medical Holdings.
Американските правителствени агенции публикуваха консултативна бележка относно Rhysida миналата седмица, в която се посочва, че „новият вариант на ransomware е бил разгърнат срещу образователния, производствения, ИТ и държавния сектор от май". Агенциите са видели бандата Rhysida да провежда операция „рансъмуер като услуга" (Raas), където отдава злонамерения софтуер на престъпници и споделя всички приходи от откупа.
Името на Rhysida е ново за обществеността, но според Secureworks е възникнало от престъпна операция, създадена през 2021 г. Secureworks нарича тази група Gold Victor и управлява схема за рансъмуер, наречена Vice Society. Това упражнение за ребрандиране е често срещано сред престъпните банди – те често са кръстени на варианта на ransomware, който използват – ако съществуващата им „марка" стане прекалено известна и привлече твърде много внимание от страна на правоприлагащите органи. Марката често се прикачва в края на криптираните имена на файлове, останали след атака, в действие подобно на оставяне на „визитка".
Точната самоличност на бандата Rhysida не е известна, но Пилинг предполага, че тя следва модела на подобни оперативни лица, които обикновено са от Русия или членове на Общността на независимите държави, чиито съставни части включват Русия, Беларус и Казахстан.
Според американските агенции Rhysida, са използвали виртуалните частни мрежи на организациите – системите, използвани от персонала за отдалечен достъп до системите на техните работодатели – за да влязат в системите или са разположили познатата техника на фишинг атаки, когато жертвите са подмамяни, обикновено чрез имейл, да кликнат върху връзка, която изтегля злонамерен софтуер или да предадат пароли.
Според документа на американските агенции, криптовалутата е обичайна форма на искане на откуп за нападателите на Rhysida, в съответствие с останалата част от братството на криминалните хакери. Дигитален актив като биткойн е популярен сред бандите за рансъмуер, защото е децентрализиран – работи извън конвенционалната банкова система и следователно заобикаля стандартните проверки – и транзакциите могат да бъдат прикрити, което ги прави по-трудни за проследяване.
Плащането на искания за рансъмуер в Обединеното кралство е силно неодобрено, но не е незаконно, освен ако не знаете – или подозирате – че приходите отиват в джобовете на терористи. Според Националния център за киберсигурност: „Правоохранителните органи не насърчават, нито одобряват плащането на искания за откуп."
В САЩ плащането на откупи също се обезсърчава от правителството, но консултативна бележка от Министерството на финансите на САЩ през 2020 г. подчертава, че „това е само обяснително и няма силата на закон".
Плащанията за рансъмуер нарастват, според британската фирма за киберсигурност Sophos. Той съобщи, че средните плащания за ransomware почти са се удвоили до £1,2 милиона през последната година. На този фон ще продължат да се появяват нови „брандове" за рансъмуер.
Източник: Гардиън, превод: Ш.Меламед