Forskare på Check Point har identifierat en ny trend inom utpressningsprogramvara, som de kallar ”double extortion”, där cyberkriminella lägger till ytterligare ett steg i en ransomware-attack.
Innan hackarna krypterar den attackerades databas drar de ut stora mängder känslig information, som exempelvis kunddata, finansiella uppgifter, personlig information om anställda eller patientjournaler, och hotar att publicera den om inte lösensumman betalas.
Detta gör att offren pressas hårdare. Det finns också exempel på att angriparna publicerar en mindre mängd av den information de lagt beslag på för att visa att de menar allvar.
– Double Extortion är en tydlig och starkt växande attacktrend inom ransomware, som vi sett flera exempel på under första kvartalet i år, säger Mats Ekdahl, säkerhetsexpert på Check Point. Det finns anledning att vara särskilt oroliga över att sjukhus och sjukvård utsetts för denna typ av attacker just nu, när de är i en särskilt ansträngd situation.
Det första kända fallet av dubbel utpressning skedde i november 2019 och drabbade Allied Universal, ett stort amerikanskt säkerhetsbemanningsföretag. När de utsatta vägrade att betala lösensumman på 300 Bitcoins (cirka 2,3 miljoner USD) hotade angriparna att använda känslig information som de kommit över från Allied Universals system. Med hjälp av stulna e-post- och domännamncertifikat planerade de att iscensätta en skräppostkampanj som såg ut att komma från Allied Universal. För att bevisa att de menade allvar publicerade angriparna valda delar av de stulna filerna, där bland annat avtal, medicinska journaler och krypteringscerifikat ingick. I ett senare inlägg på ett ryskt hackerforum inkluderade angriparna en länk till vad de påstod vara 10 procent av den stulna informationen tillsammans med ett nytt krav på en lösensumma som var 50 procent högre än den första.
För att skydda verksamheter mot dessa typer av attacker är det viktigt att:
1. Säkerhetskopiera data och filer
2. Utbilda anställda så att de känner igen potentiella hot
3. Begränsa tillgången till system och data, så att bara de som ska ha tillgång får det
4. Hålla signaturbaserade skydd uppdaterade
5. Implementera flera skyddslager, inklusive avancerade skydd som även kan stoppa okända hot