Święta, święta i po świętach - większość z nas już otrząsnęła się z świątecznego okresu i przeszła do szarej, smutnej rzeczywistości. W lodówkach jeszcze zalegają niektóre grudniowe potrawy, ale i na nie w końcu przyjdzie czas. Zaskoczyli mnie cyberprzestępcy, którzy najwyraźniej też poczuli "ducha Świąt" i postanowili zorganizować promocje dla osób, które stały się ich ofiarami.
Cyberprzestępcy wykorzystujący ransomware - programy blokujące dostęp do danych znajdujących się na maszynie żądając okupu, w ostatnim czasie atakują głównie biznesy, gdzie chęć odzyskania kontroli nad urządzeniem oraz przywrócenia danych może być naprawdę spora. Co za tym idzie - "klienci biznesowi" mogą być bardziej skłonni do zapłacenia okupu. W przypadku Sodinokibi, jednego z przedstawicieli takich niebezpiecznych programów można znaleźć wiadomość "Merry Christmas and Happy Holidays". Ale to jeden z mniej jaskrawych przykładów - niektórzy operatorzy kampanii posunęli się o kilka kroków dalej.
Czytaj również: Ransomware jeszcze bardziej niebezpieczne
Wróćmy jeszcze do Sodinokibi (REvil): notka od cyberprzestępców zawiera w sobie ponadto informację, że zamiast martwić się w okresie świątecznym, ofiary powinny zapłacić okup - po to, by dobrze wejść w nowy rok, pozostawiając za sobą wszystko to, co jest złe. Cyberprzestępcy zapraszają ofiary do tego, aby wysłały do nich wiadomość i dogadały się w kwestii okupu. Chwyt psychologiczny? Coś w tym stylu. Nie sądzę jednak, aby była to wiadomość szczególnie skuteczna.
Operatorzy ransomware Maze skontaktowali się z serwisem Bleeping Computer i zaznaczyli, że w trakcie świąt będzie obowiązywać zniżka na okupy dla wszystkich ofiar. Od 25 grudnia do 31 grudnia "rabat" wynosił 25 procent. Co więcej, po ataku na miasto Pensacola, okup spada do 500 000 dolarów i zobowiązują się, że nie przekażą dalej wykradzionych z urządzeń dokumentów. Nie zostało doprecyzowane, czy warunkiem jest opłacenie okupu, ale z informacji cyberprzestępców wynika, że na szczęście nie. Nie rozpatrywałbym tego w kategoriach "gestu" osób stojących za Maze - najprawdopodobniej wykradzione informacje nie są szczególnie istotne.
Dlaczego cyberprzestępcy wpadają na takie pomysły jak "promocje" dla ofiar ransomware? Cóż, nie jest to dziwne, jeżeli odrobinę zagłębimy się w temat organizowanych przez nich kampanii. W niemal każdym przypadku, przestępcy akceptują znacznie niższe okupy, jeżeli się z nimi negocjuje (i jeżeli ci rzeczywiście mają intencję odblokowania dostępu do danych). Cyberprzestępcy w ostatnim czasie starają się dbać o kontakt z ofiarami oraz o "wizerunek rzetelnego przestępcy" - takiego, który po otrzymaniu okupu zachowa się fair i przekaże narzędzie deszyfrujące. To biznes, a w nim najważniejsze jest to, aby zarobić. W sytuacji, gdy nie ma nadziei na odzyskanie utraconych informacji, mało kto zdecyduje się zapłacić okup.
Promocje natomiast mają za zadanie skłonić dotychczas niezdecydowanych do zapłacenia okupu - mechanizm jest dokładnie taki sam, jak w przypadku promocji widywanych w sklepach. W przypadku REvil można mówić o specyficznym poczuciu humoru operatorów ransomware. Mimo tych aktywności przestępców, eksperci twierdzą, że nie warto płacić okupów ani negocjować. Najbezpieczniej jest natomiast tworzyć backupy i polegać na nich w sytuacjach kryzysowych. Nie bez znaczenia są także zabezpieczenia maszyn oraz zdrowy rozsądek - wiele infekcji związanych z ransomware wynika przede wszystkim z błędu ludzkiego.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
