Мошенники начали выдавать себя за специалистов по информационной безопасности, чтобы провести повторные кибератаки против организаций, которые ранее уже пострадали от атак программ-вымогателей, предупреждают эксперты «Информзащиты».
Представляясь специалистами информационной безопасности, злоумышленники втираются в доверие сотрудников компаний, обещая помочь им справиться с последствиями предыдущей атаки. В итоге хакеры получают доступ к конфиденциальной информации и повышают успешность своей атаки. А жертвы программ-вымогателей во второй раз подвергаются вымогательству.
Известно, что в нескольких случаях мошенники, выдавая себя за экспертов по информационной безопасности, предлагали взломать серверы первоначальной группы вымогателей и удалить оттуда взломанные данные. За свою работу хакеры, как правило, предлагали низкий выкуп. Переписку они вели в основном через интернет-мессенджер Tox, а для подтверждения доступа жертвы к данным использовали онлайн-файлообменник file.io.
По данным уже реальных экспертов по информационной безопасности, организации, которые пострадали от атаки программ-вымогателей, практически в шесть раз чаще подвергаются повторным атакам в течение следующих трех месяцев. В 2023 году около 75% компаний имели опыт борьбы с повторяющимися атаками, такие данные приводят в «Информзащите». В 2022 году, по данным экспертов, 67% организаций подверглись повторным атакам в течение одного года, в 2021 году таких компаний было 80%. Более 60% атак программ—вымогателей до сих пор начинаются с вредоносного электронного письма.
Именно те организации, которые еще не оправились от репутационного и материального ущерба и неразберихи от кибератаки, как правило, являются основными мишенями для последующих атак — либо со стороны тех же злоумышленников, либо со стороны уже другой группы вымогателей. То есть пока компания пытается смягчить удар со стороны одной группы мошенников, скорее всего, против нее уже готовится следующая кибератака.
«В то время как компания-жертва отвлекается на устранение первоначальной атаки, другие группы программ-вымогателей, которые, вероятно, сканируют потенциальные цели и следят за деятельностью своих конкурентов, также могут использовать это окно возможностей и атаковать ту же компанию», — пояснили эксперты.
В связи с этим пострадавшей организации рекомендуется иметь команду, которая ищет следующую атаку.
Как показывает и российский, и зарубежный опыт, действенным способом защиты от атак является многофакторная аутентификация. Чтобы снизить риск повторения атак, компании должны поставить во главу угла управление уязвимостями. Надлежащее управление уязвимостями не позволит киберпреступникам использовать одну и ту же уязвимость несколько раз. Кроме того, нужно обращать особое внимание на постоянное обучение сотрудников кибербезопасности. Также, возможно, в организации следует пересмотреть систему безопасности и внедрить модель Zero Trust.