Хакер #305. Многошаговые SQL-инъекции
Представители облачного провайдера BlackBaud, который в основном работает с некоммерческими организациями, фондами, образовательными учреждениями и компаниями их сферы здравоохранения, рассказали об инциденте, произошедшем в мае 2020 года. Сообщается, что случившееся затронуло данные небольшого числа клиентов компании, которых уже уведомили об утечке.
Весной текущего года на компанию была совершена атака, но специалисты BlackBaud, совместно с независимыми экспертами-криминалистами и правоохранительными органами, сумели остановить распространение шифровальщика в своей сети. Впрочем, заплатить злоумышленникам выкуп все равно пришлось (точная сумма не раскрывается). Дело в том, что во время атаки хакеры успели похитить информацию из self-hosted среды компании, где клиенты хранят свои данные, и угрожали опубликовать их в открытом доступе.
«Поскольку защита данных наших клиентов является нашим основным приоритетом, мы заплатили сумму, которую требовали киберпреступники, и получили подтверждение того, что украденная ими копия [информации] была уничтожена, — гласит заявление компании. — Исходя из характера инцидента, нашего собственного исследования и расследования, проведенного третьими сторонами (включая правоохранительные органы), у нас нет оснований полагать, что какие-либо из этих данных покинули руки киберпреступников, были или будут использованы не по назначению, распространены или опубликованы в открытом доступе».
Хотя неизвестно, с какой именно хак-группой столкнулись специалисты BlackBaud, подобное поведение в последнее время демонстрируют операторы множества шифровальщиков. Если раньше злоумышленники атаковали сети компаний, шифровали все данные, до которых могли добраться, а затем требовали выкуп за их расшифровку, то сейчас злоумышленники действуют иначе. Перед началом шифрования малварь похищает данные компаний-жертв, и хакеры иногда требуют у пострадавших сразу два выкупа: один за расшифровку пострадавших данных, а второй, чтобы не публиковать украденную информацию в открытом доступе.
Начало этому тренду положили операторы шифровальщика Maze, которые в конце 2019 года стали публиковать файлы, похищенные ими у атакованных компаний, если жертвы открывались платить. Хакеры завели для таких «сливов» специальный сайт, и уже скоро их примеру последовали другие группировки, включая Sodinokibi, DopplePaymer, Clop, Sekhmet, Nephilim, Mespinoza, Ako, Netwalker и так далее. Другие хакеры, которые не имеют собственных сайтов для таких целей, нередко заливают украденные данные в файлоообменники и распространяют эти ссылки на форумах, в социальных сетях или делятся ими с информационными агентствами.