ADATA -  700GB lopott adatot publikált a zsarolóvírus-csoport

Május végén a tajvani memória és chipgyártó  Ragnar Locker zsarolóvírus támadást szenvedett el és kénytelen volt leállítani a kompromittált rendszereket. A Ragnar Locker ransomware után az ADATA helyreállította a rendszereit, most azonban az elkövető csoport 700 GB lopott adatot tett közzé. 

Egyre inkább trenddé válik a zsarolóvírusok titkosítása mellett a támadás alatti adatlopás és publikálás.

A támadók korábban is alkalmazták már a nyomás fokozására a lopott adatok nyilvánosságra hozatalával történő fenyegetőzést, mostanában azonban egyre inkább úgy tűnik, hogy az elkövetők igyekeznek bebiztosítani magukat. A titkosítás a legtöbb esetben nem hozza a várva várt sikert: a szervezetek sokszor nem engednek a zsarolásnak és nem fizetik ki a váltságdíjat.

A támadók ezért kombinált módszert alkalmaznak, a sikeres behatolás után adatokat lopnak, majd az eredeti titkosítása után a zsarolólevélben arról tájékoztatják az áldozatot, hogy ha fizet, nem csak az adatait kapja vissza, de nem is hozzák nyilvánosságra az ellopott adatokat. 

Így történt ez most is az ADATA esetében, a memória és chipgyártó nem fizetett, ezért a csoport 700GB lopott adatot hozott nyilvánosságra. A támadók az adatokat előbb a MEGA adatmegosztón tették elérhetővé, de a szolgáltató később letiltotta a fiókot. 

A nyilvánosságra hozott lopott adatok

A támadók jelezték, hogy összesen 1.5TB adatot sikerült megszerezniük. Az elkövetők közölték a vállalattal, hogy ha fizetnek, nem csak az adatok helyreállításához szükséges kulcsot kapják meg, de nem hozzák nyilvánosságra az ellopott adatokat és "segítenek" kijavítani a sebezhetőséget, amelyen keresztül sikerült behatolniuk az ADATA rendszereibe. 

So then, as usual, we did offer to cooperate to fix the vulnerabilities and to restore their system and of course, avoid any publication regarding this issue, however, they didn’t value much their own private information, as well as partners/clients/employees/customers information.

Egyértelműnek tűnik, hogy az ADATA nem állt kötélnek, mivel a támadók elkezdték a lopott adatok publikálását. 

Nem mindenki veszi ennyire komolyan a "nem tárgyalunk, nem fizetünk" elvet. A JBS Foods nemrégiben szenvedett el ransomware támadást és a világ egyik legnagyobb húsfeldolgozója 11 millió dollár váltságdíjat fizetett. A 9 ezer kilométeres vezetékhálózatán benzint, gázolajat, repülőgép-üzemanyagot és egyéb finomított kőolaj-származékokat szállító  Colonial Pipeline   is kénytelen volt 4.5 millió dollár váltságdíjat fizetni, mert nem voltak biztosak benne, hogy újra tudják indítani a rendszereiket.

A zsarolóvírus-támadásokkal kapcsolatban sok esetben hangzik el, hogy a rendszeres és biztonságba helyezett mentés, illetve az üzletmenet-folytonosság biztosítása (BCP/DRP, helyreállási gyakorlatok, stb.) csökkentik a kárt, mivel az érintett szervezet viszonylag gyorsan, nagyobb kiesés elszenvedése nélkül helyre tudja állítani a működését. 

Ez valóban így is van.

A mentés ilyenkor életet - de legalábbis üzletmenetet - ment, azonban egyre inkább tapasztalható, hogy a támadók már biztosra mennek, és nem csak a rendelkezésre állás, hanem a bizalmasság is veszélybe kerül az ilyen támadásokban.