Kami memantau perubahan dalam taktik berbagai kelompok penjahat cyber. Baru -baru ini, para ahli dari tim penelitian dan analisis global Kaspersky (hebat) mencatat bahwa, setelah serangan dengan ransomware kabut, Malefactors menerbitkan tidak hanya data korban, tetapi juga alamat IP komputer yang diserang. Kami belum pernah melihat taktik ini digunakan oleh grup ransomware sebelumnya. Dalam posting ini, kami menjelaskan mengapa ini penting dan apa tujuan taktik ini.
Siapa grup ransomware kabut, dan apa yang dikenalnya?
Sejak bisnis ransomware dimulai untuk berubah menjadi industri penuhpenjahat cyber yang terlibat telah membagi diri mereka menjadi berbagai spesialisasi. Saat ini, pencipta ransomware dan orang -orang tepat di belakang serangan paling sering tidak terhubung dengan cara apa pun – yang pertama mengembangkan malware bersama dengan platform untuk serangan dan pemerasan berikutnya, sementara yang terakhir hanya membeli akses ke kode dan infrastruktur di bawah di bawah model ransomware-as-a-service (RAAS).
Fog Ransomware adalah salah satu platform tersebut – pertama kali diperhatikan pada awal 2024. Malware digunakan untuk menyerang komputer yang menjalankan Windows atau Linux. Seperti kebiasaan di antara operator ransomware dalam beberapa tahun terakhir, data yang terpengaruh tidak hanya dienkripsi, tetapi juga diunggah ke server penyerang, dan kemudian, jika korban menolak untuk membayar, diterbitkan di situs TOR.
Serangan menggunakan kabut dilakukan terhadap perusahaan yang bekerja di bidang pendidikan, keuangan, dan rekreasi. Seringkali, penjahat yang digunakan sebelumnya bocor vpn akses kredensial untuk menembus infrastruktur korban.
Mengapa mereka menerbitkan alamat IP?
Pakar kami percaya bahwa tujuan utama penerbitan alamat IP adalah untuk meningkatkan tekanan psikologis pada para korban. Pertama, ini meningkatkan keterlacakan dan visibilitas suatu insiden. Efek menerbitkan nama perusahaan korban kurang mengesankan, sementara alamat IP dapat dengan cepat memberi tahu tidak hanya siapa korban – tetapi juga apa yang sebenarnya diserang (apakah itu server atau komputer di infrastruktur). Dan semakin terlihat insiden itu, semakin besar kemungkinan untuk menghadapi tuntutan hukum atas kebocoran data dan denda dari regulator. Karena itu, lebih mungkin bahwa korban akan membuat kesepakatan dan membayar tebusan.
Selain itu, menerbitkan alamat IP mengirimkan sinyal ke kelompok kriminal lain, yang dapat menggunakan data yang bocor. Mereka menjadi sadar akan alamat mesin yang rentan, dan memiliki akses ke informasi yang diunduh darinya, yang dapat dipelajari dan digunakan untuk serangan lebih lanjut pada infrastruktur perusahaan yang sama. Ini, pada gilirannya, membuat konsekuensi dari publikasi bahkan lebih tidak menyenangkan, dan karenanya menjadi pencegah tambahan untuk mengabaikan tuntutan pemeras.
Bagaimana tetap aman
Karena sebagian besar serangan ransomware masih dimulai dengan kesalahan karyawan, pertama-tama kami merekomendasikan secara berkala meningkatkan kesadaran staf tentang cyberthreats zaman modern (misalnya, menggunakan platform pelatihan online.)
Agar tidak kehilangan akses ke data penting, kami, seperti biasa, merekomendasikan membuat cadangan dan menjaga mereka tetap terisolasi dari jaringan utama. Untuk mencegah ransomware berjalan di komputer perusahaan, perlu setiap perangkat perusahaan dengan akses ke jaringan dilengkapi dengan solusi keamanan yang efektif. Kami juga merekomendasikan agar perusahaan besar memantau aktivitas dalam infrastruktur menggunakan solusi kelas XDR, dan, jika perlu, melibatkan para ahli pihak ketiga dalam kegiatan deteksi dan respons.