Industrial Spy. вымогательское ПО дефейс выкуп сайт SATT Sud-Est
Группировка Industrial Spy изобрела новый способ оказания давления на своих жертв.
Киберпреступная группировка Industrial Spy вывела кибервымогательство на новый уровень - теперь она взламывает корпоративные сайты своих жертв и публикует на них записки с требованием выкупа, чтобы они были видны всем.
Группировка Industrial Spy взламывает корпоративные сети, похищает данные и развертывает вымогательское ПО. Злоумышленники угрожают продать похищенную информацию через торговую площадку в сети Tor, если жертва не заплатит выкуп.
В частности, Industrial Spy начала продавать данные, предположительно украденные у французской компании SATT Sud-Est, за $500 тыс.
Как отметил исследователь безопасности MalwareHunterTeam, эта атака отличается от остальных, поскольку злоумышленники также взломали сайт компании и опубликовали сообщение о похищении 200 ГБ данных, которые скоро будут выставлены на продажу, если не будет уплачен выкуп.
Как правило, атаковав жертву, вымогатели дают им короткий срок на уплату выкупа (обычно несколько недель). За это время они проводят с жертвой переговоры, обещая не сообщать об атаке раньше времени, предоставить ключ для восстановления зашифрованных данных и удалить все похищенные файлы, если компания переведет им нужную сумму.
По истечении отведенного срока вымогатели усиливают давление на жертву, осуществляя DDoS-атаки на ее корпоративные ресурсы, рассылая ее клиентам и партнерам электронные письма с сообщением об утечке данных и даже звоня руководству по телефону. Все это происходит частным образом и не освещается публично, за исключением минимальной информации на сайтах утечек кибервымогателей. Тем не менее, на этот раз кибервымогатели впервые осуществили дефейс сайта, чтобы выставить требование выкупа на всеобщее обозрение.
Хотя эта тактика не является нормой, она также позволяет оказывать дополнительное давление на жертву. Правда, вряд ли она станет распространенной, поскольку web-серверы обычно находятся за пределами корпоративных сетей и принадлежат хостинг-провайдерам. То есть, для того чтобы разместить записку с требованием на корпоративном сайте, хакерам придется найти в нем уязвимости или каким-то образом получить учетные данные администратора.
SECURITYLAB.RU