Банда программ-вымогателей угрожает стереть ключ дешифрования, если будет нанят переговорщик

13
Второй фермерский кооператив закрылся на этой неделе из-за вирусов-вымогателей

Банда программ-вымогателей Grief угрожает удалить ключи дешифрования жертвы, если она наймет переговорную фирму, что сделает невозможным восстановление зашифрованных файлов.

На прошлой неделе BleepingComputer впервые сообщила, что банда вымогателей Ragnar Locker пригрозила автоматически опубликовать украденные данные жертвы, если они обратятся в правоохранительные органы или переговорные фирмы.

Банды программ-вымогателей не любят, когда в атаках участвуют профессиональные переговорщики, поскольку это может привести к снижению прибыли и задержке времени, пока жертва реагирует на инцидент.

Рагнар Локер утверждает, что фирмы, занимающиеся переговорами о программах-вымогателях, существуют только для того, чтобы зарабатывать деньги и не в интересах жертвы.

“Компания по восстановлению будет взимать с вас плату, может быть, даже поможет вам вернуть часть данных, если наша работа не была идеальной, они попытаются снизить цену, и в результате данные их клиентов будут просто общедоступными. , потому что мы опубликуем это », – написал Ragnar Locker на своем сайте утечки данных.

С тех пор, как они сделали это предупреждение, Ragnar Locker уже заявил, что опубликовал все украденные данные жертвы после того, как они наняли переговорщика по программе-вымогателю.

Grief gang делает еще один шаг вперед

В понедельник банда Grief (также известная как «Pay or Grief») пошла еще дальше по этим угрозам, заявив, что удалит ключ дешифрования жертвы, если она наймет посредника в отношении программ-вымогателей.

«Мы хотим сыграть в игру. Если мы увидим профессионального переговорщика из Recovery Company ™ – мы просто уничтожим данные.

Recovery Company ™, как мы упоминали выше, получит оплату в любом случае. Стратегия Recovery Company ™ не заключается в том, чтобы платить запрошенную сумму или чтобы раскрыть дело, но затормозить. Так что нам нечего терять в этом случае. Просто экономия времени для всех вовлеченных сторон.

Что будет зарабатывать компании Recovery Companies ™, если сумма выкупа не установлена, а данные просто уничтожаются с нулевыми шансами на восстановление? Мы думаем – миллионы долларов. Клиенты даром деньги принесут. Как обычно.»- Горе банда вымогателей.

Они говорят, что если жертва Grief наймет посредника, банда вымогателей удалит ключ дешифрования жертвы, что сделает невозможным восстановление файлов.

Несмотря на то, что Гриф представляет эту угрозу, чтобы оказать дальнейшее давление на жертв, она, вероятно, сделана и по другой причине – для уклонения от санкций США.

Считается, что программа-вымогатель Grief связана с российской хакерской группой, известной как Evil Corp, в отношении которой были введены санкции правительства США.

Запрещая фирмы, занимающиеся переговорами о программах-вымогателях, они надеются, что жертвы не будут предупреждены о рисках санкций и, следовательно, не будут платить.

Уклонение от санкций США

Evil Corp – это киберпреступная группа, наиболее известная благодаря созданию и распространению банковского трояна Dridex и различных семейств программ-вымогателей.

Когда группа только начинала свою деятельность, она использовала трояна Dridex для кражи учетных данных онлайн-банкинга и перевода средств на банковские счета, находящиеся под их контролем.

В 2017 году банда начала использовать программу-вымогатель BitPaymer для атак на предприятие.

В 2019 году появилась новая операция по вымогательству под названием DoppelPaymer, которая во многом использует тот же код, что и BitPaymer. Однако неясно, управляется ли DoppelPaymer Evil Corp (также известная как INDRIK SPIDER) или другой группой.

«И BitPaymer, и DoppelPaymer продолжают работать параллельно, и в июне и июле 2019 года были выявлены новые жертвы обоих семейств программ-вымогателей. Параллельные операции в сочетании со значительным перекрытием кода между BitPaymer и DoppelPaymer указывают не только на форк BitPaymer. кодовая база, но это совершенно отдельная операция », – пояснил тогда CrowdStrike в своем отчете.

«Это может означать, что злоумышленник, который управляет DoppelPaymer, отделился от INDRIK SPIDER и теперь использует разветвленный код для запуска собственных операций вымогателя Big Game Hunting».

После того, как США обвинили членов Evil Corp в хищении более 100 миллионов долларов, они также добавили банду киберпреступников в санкционный список Управления по контролю за иностранными активами (OFAC).

Позже Минфин США предупредил, что участники переговоров о программах- вымогателях могут столкнуться с гражданскими штрафами за содействие выплатам программ-вымогателей бандам-вымогателям, включенным в санкционный список.

Evil Corp начала развертывать новые варианты программ-вымогателей под разными именами, чтобы избежать санкций США, таких как WastedLocker , Hades , Phoenix CryptoLocker и PayLoadBin.

В то время как Evil Corp использовала эти разные варианты, операция DoppelPaymer одновременно продолжалась до мая 2021 года, когда они перестали перечислять новых жертв на своем сайте утечки данных.

Месяц спустя появилась новая банда вымогателей Grief, которая, как полагают, является ребрендингом DoppelPaymer, поскольку использует большую часть того же кода.

Поскольку организации считают, что между DoppelPaymer / Grief и Evil Corp существует достаточно сильная связь, они, вероятно, изменили свой бренд, чтобы избежать санкций США.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here