Hotaktörer som genomför utpressningsattacker motiveras av ingenting annat än pengar. Och detta “intresse” för pengar är vägledande på många sätt, särskilt för oss som försvarare. Vi kan förvänta oss att hotaktörer utifrån denna drivkraft kommer att agera någorlunda rationellt. Vi kan förvänta oss att de kommer försöka göra saker som ökar ett företags incitament att betala en begärd lösensumma. Vi kan samtidigt förvänta oss att de inte kommer göra saker som gör processen dyrare, om det finns billigare alternativ.
En onekligen intressant, och kanske för många, oroväckande utveckling är hur Snatch har börjat experimentera med att detaljera sina intrång. Och det är inte första gången som Snatch bedriver en slags innovation. Sophos beskrev i en artikel1 redan 2019 hur Snatch hade börjat automatisera sina intrångsförsök genom att utnyttja en “automated attack model, in which they seek to penetrate enterprise networks via automated brute-force attacks against vulnerable exposed services […]”.
Innovation verkar onekligen ligga Snatch nära hjärtat så det kanske är föga förvånande att det är just Snatch som testar nya utpressningsmetoder.
Snatch Team skriver på Telegram:
Today we start publish such information on almost all companies mentioned in our blog. The era of making money on insurance is OVER. Insurance agents, in case their clients are published in our blog, can contact us and get a full network dump with evidence that this case is not insured!
Jag har länge undrat och funderat på vilka utpressningsmetoder angriparna ska använda härnäst. Det började med enkel kryptering av filer. Därefter började de även kopiera (exfiltrera) informationen och hota om publicering. Därefter kom DDoS-angreppen som en ytterligare utpressningsmetod för att påskynda betalning av lösensumma.
Vi har sett vissa indikationer på att aktörer börjat gräva mer i de data som kopierats från ett offer. Försök från aktören att hitta mumsig information som kan användas för att sätta ytterligare press på offret. Någon aktör har t.o.m. experimenterat med att göra information sökbart, så att vem som helst kan leta runt i kopierade data.
Denna senare metod föreställde jag mig skulle bli vanligare, fast då med den tvist att hotaktören kommer investera mer tid i sina verktyg för att hitta känsliga data och information. De skulle kunna gräva fram lösenord till leverantörer, fakturaunderlag osv. Det finns ju egentligen massor av information att gräva i.
Men, kanske blir detta istället nästa utpressningsmetod, den som nu Snatch Team experimenterar med. De vill helt enkelt se till så att ett företag inte kan begära hjälp/stöd från sitt försäkringsbolag. Istället förväntar de sig, antar jag, att företag istället ska vilja betala lösensumman och genom det låsa upp de krypterade filerna, och genom detta återfå sin verksamhet.
Det återstår att se om denna nya utpressningsmetod kommer att landa.