Postižené organizace obdržely tři různé výzvy k zaplacení výkupného za trojitě zašifrované soubory.
Společnost Sophos ve studii „Vícenásobné útoky: Zřejmé a aktuální nebezpečí“ od týmu Sophos X-Ops Active Adversary uvádí, že Hive, LockBit a BlackCat, tři významné ransomwarové gangy, postupně napadly stejnou síť. První dva útoky proběhly během dvou hodin a třetí útok se uskutečnil o dva týdny později. Každý z ransomwarových gangů zanechal vlastní požadavek na výkupné a některé soubory byly trojnásobně zašifrované.
„Už jeden požadavek na výkupné představuje velký problém, natož tři,“ uvádí John Shier, hlavní bezpečnostní poradce společnosti Sophos. „Vícenásobné útoky představují zcela novou úroveň komplikací při obnově dat, zejména pokud jsou soubory v síti zašifrovány třikrát. Kybernetická bezpečnost, která zahrnuje prevenci, detekci a reakci, je proto zásadní pro organizace jakékoli velikosti a typu – protože žádná firma není imunní.“
Spolupráce útočníků
Studie dále popisuje další případy překrývajících se kybernetických útoků, včetně kryptominerů, trojských koní pro vzdálený přístup (remote access trojans, RAT) a botů. Pokud se v minulosti více útočníků zaměřilo na stejný systém, útoky obvykle probíhaly v horizontu mnoha měsíců nebo několika let. Útoky popsané v uvedeném dokumentu společnosti Sophos se naproti tomu odehrály v rozmezí několika dnů nebo týdnů – a v jednom případě dokonce současně – přičemž různí útočníci často přistupovali do sítě svého cíle přes stejný zranitelný vstupní bod.
Zločinecké skupiny obvykle o zdroje soupeří, což znesnadňuje souběžnou činnost více útočníků. Kryptominery obvykle likvidují své konkurenty ve stejném systému a aktéři současných RAT virů na zločineckých fórech často vyzdvihují likvidaci botů jako jednu ze svých funkcí. Při útoku zahrnujícím tři ransomwarové skupiny však například BlackCat, poslední ransomwarová skupina v systému, nejen že odstranila stopy po své vlastní činnosti, ale zahladila i činnost skupin LockBit a Hive, které do systému pronikly před ní. V jiném případě byl systém infikován ransomwarem LockBit. Zhruba o tři měsíce později pak členové skupiny Karakurt Team, která má údajně vazby na Conti, dokázali využít zadní vrátka vytvořená ransomwarem LockBit ke krádeži dat, za která pak bylo požadováno výkupné.
„Celkově se zdá, že ransomwarové skupiny nejsou vůči sobě otevřeně nepřátelské. Ve skutečnosti LockBit svým členům výslovně nezakazuje spolupracovat s konkurencí,“ řekl Shier. „Nemáme důkazy o spolupráci, ale je možné, že je to způsobeno tím, že si útočníci uvědomují, že na stále konkurenčnějším trhu je omezený počet ‚zdrojů‘. Nebo se možná domnívají, že čím větší tlak bude na cíl vyvíjen – tedy prostřednictvím více útoků – tím pravděpodobnější bude, že oběti zaplatí. Možná také vedou jednání na vysoké úrovni a uzavírají vzájemně výhodné dohody, kdy například jedna skupina data zašifruje a druhá exfiltruje. V určitém okamžiku se tyto skupiny budou muset rozhodnout, jak se ke spolupráci postaví – zda ji budou rozvíjet, nebo se stanou více konkurenčními. Prozatím je však hrací pole pro vícenásobné útoky různých skupin otevřené.“
Bod průniku
Většina počátečních infekcí pro útoky popisované ve studii proběhla buď prostřednictvím neopravené zranitelnosti, přičemž mezi nejvýznamnější z nich patří Log4Shell, ProxyLogon a ProxyShell, nebo prostřednictvím špatně nakonfigurovaných, nezabezpečených serverů, které využívaly Remote Desktop Protocol (RDP). Ve většině případů, které zahrnovaly více útočníků, se obětem nepodařilo účinně ošetřit síť po počátečním útoku, což ponechalo otevřené dveře pro budoucí aktivity kyberzločinců. V těchto případech se stejná chybná konfigurace protokolu RDP, stejně jako aplikace jako RDWeb nebo AnyDesk, staly snadno zneužitelnou cestou pro následné útoky. Nezabezpečené servery RDP a VPN patří k nejoblíbenějším nabídkám prodávaným na dark webu.