Исследователи IBM обнаружили набирающий популярность тренд: киберзлоумышленники проникают в сеть предприятия, требуют выкуп за скомпрометированные данные и подают это как «услугу» информирования компании о наличии уязвимостей. Этот вид мошенничества получил название «баг-браконьерство» (bug poaching).

Как сообщает подразделение IBM X-Force, новая тактика является неким вариантом ransomware-атаки. В случае «браконьерства» хакеры требуют от компании-жертвы до $30 тыс. в обмен на информацию об уязвимости, через которую проникли в инфраструктуру. Более привычные ransomware­-атаки, которые также участились в последние месяцы, предполагают шифрование файлов на зараженном компьютере и оплату ключа-дешифратора.

Исследователи уточняют: после похищения данных мошенники не угрожают повторным проникновением или публикацией украденной информации в открытом доступе. Они просто связываются с представителями компании и требуют выкуп за данные об уязвимости и соответственный патч — так объясняет технику Джон Кюн (John Kuhn), старший исследователь угроз в подразделении Managed Security Services в IBM.

«Мошенники пытаются действовать как «хорошие парни», когда дело касается обнаружения уязвимостей, — говорит эксперт, — но не сомневайтесь: это чистой воды вымогательство».

По данным IBM, за последний год произошло 30 инцидентов, связанных с «баг-браконьерами». Кюн утверждает, что до этого о подобных случаях известно не было, однако он уверен, что этот тренд станет более привычным и компаниям стоит приготовиться к новому типу атак.

Как рассказывают в IBM, типичный инцидент подобного рода происходит следующим образом. Преступники проникают в сеть и похищают как можно больше ценных данных, затем дамп размещается на одном из сторонних облачных сервисов хранения, а в адрес компании отправляется email-сообщение со ссылкой на архив с утекшими данными и требованием выкупа за сведения о бреши, через которую осуществлено проникновение.

Во время атаки жертвам не угрожают публикацией данных в открытом доступе; вместо этого хакеры приводят следующий аргумент: «Не волнуйтесь, данные в безопасности. Ссылка на архив предоставлена исключительно в качестве доказательства. Если честно, я занимаюсь этим [поиском уязвимостей] ради заработка, а не ради развлечения».

Кюн утверждает, что уплата выкупа не гарантирует, что вымогатели удалят похищенные данные окончательно.

«Эти хакеры ищут любые компании, чья инфраструктура содержит даже простую уязвимость в коде веб-сайта, чтобы, например, провести атаку на брешь, используя SQL-инжект», — поясняет исследователь. Иногда для этого применяется обычный инструмент для пентестинга.

«Уязвимости нулевого дня пока ни разу не использовались, и всем тактикам, используемым злоумышленниками, можно легко противостоять», — пишет Кюн в блоге.

Однако эксперт предполагает, что со временем подобные атаки станут более изощренными, а большой успех подстегнет других хакеров, которые в итоге нацелятся на крупные компании.

«Хотя на первый взгляд эти кибермошенники выглядят более невинно, чем остальные, они все равно представляют серьезную опасность для предприятий», — резюмирует Кюн.

Категории: Уязвимости, Хакеры