Hackere vil have 50 millioner dollars til ikke at frigive skemaer, de stjal fra Apple-leverandør.

Apple’s ransomware mess is the future of online extortion

Den dag Apple blev sat til at annoncere en masse nye produkter på sin Spring Loaded begivenhed, en lækage dukkede op fra en uventet kvartal. Den berygtede ransomware bande REvil sagde, at de havde stjålet data og skemaer fra Apple leverandør Quanta Computer om uudgivet produkter, og at de ville sælge data til højestbydende, hvis de ikke fik en 50 millioner dollars betaling. Som bevis udgav de en cache med dokumenter om kommende, uudgivne MacBook Pros. De har siden tilføjet iMac-skemaer til bunken.

Forbindelsen til Apple og dramatisk timing genereret brummer om angrebet. Men det afspejler også sammenløbet af en række foruroligende tendenser i ransomware. Efter flere års raffinering af deres massedatakrypteringsteknikker for at låse ofre ude af deres egne systemer fokuserer kriminelle bander i stigende grad på datatyveri og afpresning som kernen i deres angreb – og stiller iøjnefaldende krav i processen.

“Vores team forhandler om salg af store mængder fortrolige tegninger og gigabyte personoplysninger med flere store mærker,” skrev REvil i sit indlæg om de stjålne data. “Vi anbefaler, at Apple tilbagekøber de tilgængelige data inden den 1. maj.”

I årevis involverede ransomware-angreb kryptering af et offers filer og en simpel transaktion: Betal pengene, få dekrypteringsnøglen. Men nogle angribere fuskede også med en anden tilgang – ikke kun krypterede de filerne, men de stjal dem først og truede med at lække dem og tilføjede yderligere gearing for at sikre betaling. Selv hvis ofrene kunne gendanne deres berørte data fra sikkerhedskopier, løb de risikoen for, at angriberne ville dele deres hemmeligheder med hele internettet. Og i de sidste par år har fremtrædende ransomware-bander som Maze etableret tilgangen. I dag indarbejde afpresning er i stigende grad normen. Og grupper har endda taget det et skridt videre, som det er tilfældet med REvil og Quanta, der fokuserer helt på datatyveri og afpresning og ikke generer at kryptere filer overhovedet. De er tyve, ikke fangevogtere.

“Datakryptering bliver helt sikkert mindre en del af ransomware-angreb,” siger Brett Callow, en trusselsanalytiker hos antivirusfirmaet Emsisoft. “Faktisk ‘ransomware angreb’ er nok noget af en misvisende nu. Vi er på et punkt, hvor trusselsaktørerne har indset, at selve dataene kan bruges på et utal af måder.”

I tilfælde af Quanta, angribere sandsynligvis føler, at de ramte en nerve, fordi Apple er notorisk hemmelighedsfuld om intellektuel ejendomsret og nye produkter i sin pipeline. Ved at ramme en leverandør nedstrøms i forsyningskæden giver angribere sig selv flere muligheder om de virksomheder, de kan afpresse. Quanta leverer for eksempel også Til Dell, HP og andre store tech-virksomheder, så ethvert brud på Quantas kundedata vil være potentielt værdifuldt for angribere. Angribere kan også finde blødere mål, når de ser på tredjepartsleverandører, der måske ikke har så mange ressourcer til at tragt ind i cybersikkerhed.

“Quanta Computers informationssikkerhedsteam har arbejdet med eksterne it-eksperter som reaktion på cyberangreb på et lille antal Quanta-servere,” sagde virksomheden i en erklæring. Den tilføjede, at den samarbejder med de retshåndhævende myndigheder og databeskyttelsesmyndighederne om de seneste unormale aktiviteter, der er observeret. Der er ingen væsentlig indvirkning på virksomhedens forretningsmæssige drift.”

Apple afviste at kommentere.

“For et par år siden så vi slet ikke meget ransomware plus afpresning, og nu er der en udvikling hele vejen til afpresningshændelser,” siger Jake Williams, grundlægger af cybersikkerhedsfirmaet Rendition Infosec. “Jeg kan fortælle dig som en hændelse responder, at folk er blevet bedre til at reagere på ransomware begivenheder. Organisationer, jeg arbejder med, er mere tilbøjelige i dag til at være i stand til at komme sig og undgå at betale en løsesum med traditionelle filkrypteringsteknikker.

Efterspørgslen på 50 millioner dollars kan virke ekstraordinær, men den passer også ind i den nylige ransomware-tendens til “big game” jagt. REvil satte angiveligt det samme beløb til Acer i marts, og den gennemsnitlige ransomware-efterspørgsel blev angiveligt fordoblet mellem 2019 og 2020. Store virksomheder er blevet et mere populært mål specifikt, fordi de potentielt har råd til store udbetalinger; det er en mere effektiv ketcher for en kriminel gruppe end cobbling mindre betalinger sammen fra flere ofre. Og angribere har allerede eksperimenteret med strategier for at lægge pres på afpresningsofre, som at kontakte enkeltpersoner eller virksomheder, hvis data kan blive påvirket af et brud og fortælle dem at tilskynde til et mål om at betale. Bare i denne uge truede en ransomware-gruppe med at fodre oplysninger til korte sælgere af børsnoterede virksomheder.

En virksomhed som Apple ville formentlig tage truslen om at lække intellektuel ejendomsret alvorligt. Men andre organisationer, især dem, der har regulerede personlige data fra kunder, har endnu mere incitament til at betale, hvis de tror, det vil hjælpe med at dække over en hændelse. En syvcifret løsesum kan virke tiltalende, hvis afsløring af et brud kan resultere i $ 2 millioner af regulatoriske bøder i henhold til love som Europas GDPR eller Californiens Consumer Privacy Act.

“Selv hvis Apple specifikt ville betale eller tvinge betaling gennem Quanta nu, gør det det ikke nødvendigvis til en pålidelig, repeterbar model for angribere,” siger Williams. “Men der er et meget stort antal organisationer, der har reguleret data, og omkostningerne ved deres potentielle bøder er temmelig forudsigelig, så det kan være mere pålidelige, og de ting forsvarere bør bekymre sig om.”

Potentialet for afpresning angreb mod forsyningskæden leverandører forstørrer alle virksomheders risici. Og i betragtning af at organisationer historisk ofte har betalt løsepenge i hemmelighed, vil en kraft, der kan skubbe endnu flere transaktioner i den retning, kun øge udfordringen med at få styr på ransomware-bander. Justitsministeriet sagde onsdag, at det lancerer en national taskforce med henblik på at løse den stadigt stigende trussel om ransomware.

I betragtning af hvor aggressivt ransomware har udviklet sig – og på internationalt plan – vil de have deres hænder mere end fulde.

Leave a Reply

Your email address will not be published. Required fields are marked *