Η Αμερικάνικη εταιρεία οινοπνευματωδών Brown-Forman, είναι το τελευταίο θύμα υψηλού προφίλ των εγκληματιών που χρησιμοποιούν ransomware.
Αν το όνομα της εταιρείας δεν σας φαίνεται γνωστό ορισμένα από τα προϊόντα της είναι πολύ γνωστά παγκοσμίως: Η Brown-Forman είναι μια επιχείρηση πολλών δισεκατομμυρίων δολαρίων που διαθέτει το ουίσκι Jack Daniels, τη βότκα Finlandia και άλλες παγκόσμιες μάρκες.
Είναι μια επιχείρηση πολλών δισεκατομμυρίων δολαρίων, με έδρα στο Louisville του Kentucky – μια πολιτεία των ΗΠΑ που είναι διάσημη για το αμερικανικό ουίσκι bourbon. Φυσικά τα πολλά εκατομμύρια προσελκύουν απατεώνες.
Σύμφωνα με την Bloomberg, που ισχυρίζεται ότι έχει πληροφορηθεί από τους ίδιους απατεώνες που πραγματοποίησαν την επίθεση, η συμμορία ονομάζεται REvil ή Sodinokibi.
Τα μέλη της REVil ανήκουν στο “νέο κύμα” διαχειριστών ransomware που πραγματοποιούν επιθέσεις τριών σταδίων και καταλήγουν σε εκβιασμό:
1. Εισέρχονται στο δίκτυο ενός θύματος για μια αναγνώριση. Κατά τη διάρκεια αυτής της αναγνώρισης, οι απατεώνες έχουν πρόσβαση σε επίπεδο sysadmin. Χαρτογραφούν όλα τα clients και τους servers που υπάρχουν στο δίκτυο. Μετά αναζητούν πού φυλάσσονται τα ηλεκτρονικά αντίγραφα ασφαλείας, εντοπίζουν ή εισάγουν ισχυρά εργαλεία διαχείρισης συστήματος που μπορούν να χρησιμοποιήσουν αργότερα για να βοηθήσουν στην επίθεση. Μερικές φορές, ξεκινούν ακόμη και μίνι επιθέσεις με δοκιμαστικά δείγματα κακόβουλου λογισμικού σαν ένα τρόπο διερεύνησης της άμυνας του θύματος και για να δουν ποιες τεχνικές επίθεσης είναι πιο πιθανότερο να πετύχουν.
2. Κλοπή. Αποκτούν όσα περισσότερα εταιρικά δεδομένα μπορούν να πάρουν τα χέρια τους. Στην επίθεση της Brown-Forman, οι επιτιθέμενοι ισχυρίζονται ότι έχουν 1 terabyte δεδομένων και το Bloomberg αναφέρει ότι παρέλαβε αποδείξεις της παραβίασης των δεδομένων, παραθέτοντας δείγματα αρχείων που πηγαίνουν πίσω πάνω από 10 χρόνια.
3. Μετά κρυπτογραφούν όσο το δυνατόν περισσότερα αρχεία στο δίκτυο, χρησιμοποιώντας έναν αλγόριθμο από τον οποίο μόνο αυτοί έχουν κλειδί. Οι απατεώνες αντιγράφουν συνήθως το malware σε όλο το δίκτυο πρώτα, έτσι ώστε όταν ξεκινήσουν τη διαδικασία κρυπτογράφησης, να πραγματοποιηθεί παράλληλα σε όλες τις συσκευές σας, σε ελάχιστο χρόνο.