Рансъмуер бандити използват невиждана досега тактика в бележките си за рансъмуер: публикуват реклами, за да поискат вътрешна информация.
Изследователи от екипа за разузнаване на заплахи GroupSense споделиха своите открития с Dark Reading, включително скрийншоти на стратегиите, които тези банди използват. Групите, включително Sarcoma и друг синдикат, за който се смята, че се представя за рансъмуер LockBit, известен като DoNex, са възприели тази стратегия, отбеляза фирмата.
Част от една бележка с рансъмуер включва обичайните подробности, в които се посочва, че компанията е в критично състояние, резервните ѝ копия са унищожени, а базите данни са изнесени. По-нататък в съобщението обаче групата заявява: „Ако ни помогнете да открием мръсното бельо на тази компания, ще бъдете възнаградени. Можете да кажете на приятелите си за нас. Ако вие или ваш приятел мразите шефа си, пишете ни и ние ще го разплачем, а истинският герой ще получи награда от нас.“
Бележка за откуп от групата Sarcoma. източник: GroupSense
В друга бележка за откуп престъпниците пишат: „Искате ли да спечелите милиони долари $$$? Нашата компания придобива достъп до мрежите на различни компании, както и до вътрешна информация, която може да ви помогне да откраднете най-ценните данни на всяка компания. Можете да ни предоставите данни за достъп до всяка компания, например потребителско име и парола за RDP, VP, корпоративна електронна поща и др. “
![Lockbitdupe-advertisement[18].jpg](https://eu-images.contentstack.com/v3/assets/blt6d90778a997de1cd/bltfbaf1e2b9d6c3a53/67a146281a192e0df7556f03/Lockbitdupe-advertisement[18].jpg?width=700&auto=webp&quality=80&disable=upscale)
Бележка за откуп от група за заплахи, представяща се за LockBit. Източник: GroupSense
След това престъпниците подробно описват как заинтересованите могат да отворят писмото и да стартират вирус на работния си компютър. Комуникацията се осъществява чрез Tox messenger, така че неприкосновеността на личния живот на потребителите е „гарантирана“.
Къртис Миндър, главен изпълнителен директор и основател на GroupSense, отбелязва, че компанията вижда различни бележки с искане за откуп в хода на реагирането на инциденти, но едва през изминалата седмица нейните изследователи са забелязали „псевдорекламите“ в долната част на тези бележки.
„Питах екипа си и разсъждавах защо това би било добро място за поставяне на реклама“, казва Миндер. „Не знам правилния отговор, но очевидно тези бележки се предават“. Той отбелязва, че тези извършители на рансъмуер атаки може да поддържат отношение „защо не“ към включването на такива реклами в бележките за откуп. А когато един от участниците в изнудваческия софтуер започне нова тактика, останалите бързо го следват.
Но за всички лица, които се интересуват от приемането на такова предложение от киберпрестъпниците, е по-добре да се предпазят, отколкото да съжаляват.
„Тези хора нямат никаква отговорност, така че няма гаранция, че ще ви бъде платено нещо“, добавя Миндер. „Опитът ви да се възползвате от това е доста рискован от гледна точка на резултата“.
GroupSense продължава да преглежда предишни бележки за откуп, за да открие някакви по-ранни индикации за тази тенденция, и Миндер казва, че очаква да открие още реклами в допълнение към вече откритите.
Новината идва в момент, когато активността на рансъмуера продължава да нараства, а кибератаките носят големи печалби въпреки поредицата от действия на правоприлагащите органи през изминалата година.
