Útoky pomocí ransomwaru už dávno nejsou tím, co bývaly, neboť jejich cílem nebývají jako dříve běžní lidé, po nichž se žádalo výkupné v kryptoměnách s hodnotou stovek dolarů. Nyní už jde o firmy či instituce a miliony dolarů. A právě ransomware od DarkSide se rovněž zaměřil na několik velkých organizací, od nichž se daly očekávat bohaté platby.
Ransomware mimochodem prodělal ještě jednu změnu, neboť dříve šlo v podstatě výlučně jen o šifrování dat na napadených počítačích, k nimž jsme pak od útočníků měli po zaplacení výkupného dostat dešifrovací klíč. Aktuálně se data už skutečně dostávají do role rukojmí, neboť útočníci si dokáží stáhnout celé databáze či jiná důležitá a citlivá data a poté hrozí jejich zveřejněním či prodejem. To je bezesporu účinnější taktika, neboť při pouhém zašifrování dat má správce počítačových systémů možnost využít nedotčenou zálohu, samozřejmě pokud je k dispozici. S krádeží dat ale nelze udělat nic jiného, než zaplatit a doufat, že se ta pak skutečně nedostanou na veřejnost, nebo nezaplatit a smířit se s následky.
Nyní tak FBI, NSA a také CISA (Cybersecurity and Infrastructure Security Agency) varují před "black hat" skupinou BlackMatter, která prý byla založena na základech někdejší DarkSide. Americké agentury tak nyní vřele doporučují firmám posílit svou kyberochranu, a to zvláště s ohledem na hesla a obecně přihlašování uživatelů do systému a nejlépe s využitím vícefázového ověření (MFA). A nejde přitom o budoucí hrozbu ze strany BlackMatter, ale o akutní varování před útoky, které již probíhají a zaměřily se už například na japonskou společnost Olympus.
Dle dostupných informací se skupina BlackMatter také už na americké potravinářské a zemědělské firmy a zpravidla si pak žádá v rámci výkupného platbu v Bitcoinu nebo Moneru ve výši 80 tisíc až 15 milionů dolarů. Cílem přitom nejsou jen systémy využívající OS Windows, ale také Linux nebo dokonce virtuální stroje založené na ESXi od VMware.
Dále se dozvídáme, že skupina BlackMatter si cizí počítačové prostředí dokáže detailně zmapovat, identifikovat zálohy a ty rovnou smazat či zformátovat jejich úložiště. Právě to by útočníkům správci neměli usnadňovat, čili by měli omezit výběr nástrojů pro mapování interních sítí. Doporučeno je také segmentovat vnitřní sítě a nevyužívat jednu centralizovanou a využívat nástroje pro jejich detailní monitorování, aby byla šance identifikovat případný šířící se ransomware. K tomu také agentury daly k dispozici potřebné Snort signatury, které pomohou brzy odhalit průnik ransomwaru od BlackMatter do sítě.
