Издание ZDNet сообщает, что начиная с августа 2020 года компании, пострадавшие от вымогательских атак, но решившие не платить выкуп злоумышленникам, нерекодко получают телефонные угрозы от хакеров. По данным экспертов Emsisoft и Arete Incident Response, подобными «обзвоном» занимаются операторы малвари Sekhmet (более неактивна), Maze (более неактивна), Conti и Ryuk.
Хакеры звонят своим жертвам в том случае, если подозревают, что компания не намеревается платить и восстанавливает пострадавшие данные из резервных копий.
«Мы полагаем, что на все [хак-группы] на аутсорсе работает один и тот же колл-центр, поскольку шаблоны и сценарии звонков практически всегда одинаковы», — рассказывает глава ИБ-компании Coveware. Аналогичные сходства шаблонов заметили и специалисты компаний Emsisoft и Arete Incident Response.
Согласно записи одного такого звонка, сделанного от имени операторов Maze, у звонившего был сильный акцент, и он явно не был носителями английского языка. ZDNet приводит отредактированную стенограмму этого звонка, предоставленного журналистам одной из ИБ-компаний:
«Мы знаем, что в вашей сети работает сторонняя ИТ-компания. Мы продолжаем наблюдать и знаем, что вы устанавливаете антивирус SentinelOne на все свои компьютеры. Но вы должны знать, что это не поможет. Если хотите перестать тратить время попусту и хотите восстановить свои данные на этой неделе, рекомендуем вам обсудить эту ситуацию с нами в чате, иначе проблемы с вашей сетью никогда не закончатся».
Судя по всему, телефонные звонки — это еще лишь один способ оказать давление на жертв, чтобы заставить их заплатить выкуп после шифрования данных. С этой же целью хакеры удваивают сумму выкупа, если жертвы не платят вовремя; угрожают уведомить СМИ об атаке; угрожают опубликовать в открытом доступе конфиденциальные данные, украденные у компании перед шифрованием данных.