Сценарий: вы заплатили выкуп, получили инструмент дешифрования от злоумышленника и использовали его для восстановления ваших файлов ... только для того, чтобы обнаружить, что некоторые или все из них все еще зашифрованы. Именно в такой ситуации оказались некоторые компании.
Недавно мы наблюдали новую тенденцию, когда злоумышленники используют несколько разновидностей программ-вымогателей для двойного шифрования данных, чтобы еще больше усложнить процесс восстановления и повысить свои шансы на выплату.
В этом сообщении блога мы обсуждаем, как работает двойное шифрование, возможные мотивы, лежащие в основе этой тактики, и лучший способ пострадавшим организациям восстановиться после атаки с двойным шифрованием.
Метод двойного вымогательства, о котором идет речь в этой статье, возникает, когда один злоумышленник решает развернуть несколько штаммов программ-вымогателей в одной сети. Важно отметить, что это не тот тип атак с несколькими программами-вымогателями, который мы видели в прошлом, когда одна сеть взламывается несколькими злоумышленниками, что приводит к развертыванию нескольких вариантов программ-вымогателей в одной и той же сети в отдельных атаках.
[QUOTE] Как это работает
Больше не довольствуясь двойным вымогательством, некоторые аффилированные лица теперь предпочитают двойное шифрование данных: другими словами, развертывают более одного типа программ-вымогателей в одной сети. Например, мы видели случаи, когда аффилированные лица шифруют данные с помощью REvil и Netwalker, а также другие случаи, когда MedusaLocker и GlobeImposter использовались в тандеме. В некоторых случаях, чтобы доказать, что файлы с двойным шифрованием могут быть восстановлены при оплате спроса, филиалы предоставляют образцы расшифрованных файлов через веб-портал одной группы, когда зашифрованные файлы были отправлены им через веб-портал другой группы. Очевидно, что в этих случаях аффилированные лица поддерживали рабочие отношения с обеими группами - что не является редкостью.
Мы видели, как стратегия двойного шифрования применяется двумя способами:
Многоуровневое шифрование: данные шифруются с помощью программы-вымогателя A, а затем зашифрованные данные повторно шифруются с помощью программы-вымогателя B.
Параллельное шифрование: некоторые системы зашифрованы с помощью программы-вымогателя A, а другие - с помощью программы-вымогателя B. В некоторых случаях обе системы добавляют зашифрованные файлы с одним и тем же расширением, что может еще больше усложнить восстановление.
[/QUOTE]
Почему злоумышленники используют двойное шифрование
Хотя мы не умеем читать мысли и поэтому не можем сказать наверняка, почему злоумышленники используют двойное шифрование, есть несколько очевидных объяснений:
Помешать усилиям по восстановлению
Восстановление после регулярной атаки программ-вымогателей - дорогостоящее, трудоемкое и трудоемкое занятие. Злоумышленники могут полагать, что добавление еще одного уровня шифрования к и без того сложному процессу восстановления может быть дополнительным рычагом, необходимым для того, чтобы убедить жертв платить за расшифровку, а не восстанавливать свои системы самостоятельно.
Повышенная выплата
Двойное шифрование потенциально означает двойную выплату. Злоумышленники, скорее всего, полагаются на жертв, которые не осознают, что их данные были зашифрованы дважды. В этом сценарии жертвы будут платить за удаление первого уровня шифрования только для того, чтобы обнаружить, что их файлы заблокированы вторым уровнем шифрования, который может быть удален только с дополнительным выкупом.
Более высокий шанс успешного развертывания
Злоумышленники могут использовать несколько разновидностей программ-вымогателей, чтобы повысить свои шансы на успешное развертывание. В случае, если один вариант вымогателя не работает должным образом или блокируется инструментами безопасности цели, другой вымогатель все еще может запуститься.
A / B тестирование
Также возможно, что злоумышленники используют двойное шифрование как форму A / B-тестирования, чтобы увидеть, какой вариант программы-вымогателя приводит к увеличению выплат выкупа. Результаты таких тестов могут определить, какие варианты атак отдают предпочтение в будущих атаках.
Двойное шифрование делает восстановление намного сложнее
Двойное шифрование значительно усложняет восстановление
Выплата выкупа не выводит компании из леса. Даже при использовании инструментов злоумышленников восстановление всегда затруднено, а двойное шифрование делает его еще более сложным. На самом деле, намного сложнее.
В случае однократного шифрования существует высокий риск повреждения данных либо из-за программы-вымогателя, либо из-за дешифратора злоумышленника. В случае двойного шифрования этот риск увеличивается вдвое. Кроме того, расшифровка - это трудоемкий процесс. Инструменты злоумышленников обычно не позволяют указывать папку для папок для дешифрования и вместо этого медленно сканируют всю систему. Следовательно, когда инструменты выходят из строя, что случается часто, или когда обнаруживается второй уровень шифрования, процесс дешифрования должен начинаться заново. Точно так же инструменты часто требуют ручного вмешательства, требуя присутствия каждой рабочей станции во время дешифрования и ввода команд по мере необходимости. Короче говоря, специалисты по реагированию на инциденты вынуждены переключаться между одним плохо запрограммированным инструментом и другим. А случаи двойного шифрования удваивают проблемы.
Делаем восстановление проще и быстрее
Как отмечалось выше, двойное шифрование делает восстановление еще более сложным и без соответствующих инструментов, вероятно, приведет к тому, что организации будут испытывать значительно большее время простоя.
Чтобы помочь жертвам программ-вымогателей с двойным шифрованием быстрее выздороветь, Emsisoft предлагает универсальный дешифратор, специально разработанный для обработки инцидентов, связанных с программами-вымогателями, в которых задействовано несколько вариантов. Универсальный дешифратор может отслаивать несколько уровней шифрования без необходимости использования нескольких дешифраторов, предоставляемых злоумышленником, которые часто реализованы несовершенно и иногда могут безвозвратно повредить данные в процессе дешифрования.
Универсальный дешифратор был создан для решения этих и других проблем: он безопаснее, чем инструменты, предоставляемые злоумышленником, поддерживает скрипты, поддерживает полную отчетность, избавляет от необходимости создавать резервные копии зашифрованных файлов и может сократить время восстановления на 70%.
https://blog.emsisoft.com/en/38554/psa-threat-actors-now-double-encrypting-data-with-multiple-ransomware-strains/
