Den ryskbaserade hackergruppen Grief publicerade konfidentiella filer som tillhör National Rifle Association på den mörka webben förra veckan. Den kriminella organisationen har hotat att lämna ut ytterligare stulna dokument om dess ekonomiska krav inte uppfylls.
Regeringens påtvingade sanktioner relaterade till att betala lösensummor för hackergrupper har i praktiken satt National Rifle Association i en fångst 22 – om det löser sig med några pengar kan det få allvarliga straff från det amerikanska finansministeriet.
NRA är den senaste i en lång rad amerikanska organisationer som upplevt en ransomware-attack sedan början av Covid-19-pandemin, ett tecken på att det nu är viktigare än någonsin för företag att investera i programvara för cybersäkerhet och andra dataskyddsprodukter.
NRA:s Ransomware Hack: Vad vi vet
Ransomware-attacken ska ha lanserats av en hackergrupp som heter Grief. Baserat i Ryssland lade medlemmar av gruppen ut 13 filer online som den hävdade innehöll stulna, konfidentiella NRA-data.
Rapporter tyder på att filerna inkluderar protokoll från ett nyligen genomfört NRA-möte, skrivelser om stöd från politiska personer och information om anslagsansökningar.
Även om National Rifle Association själv inte direkt har bekräftat att attacken ägde rum, sa The Gun-right Advocacy Groups Managing Director of Public Affairs till Twitter förra veckan:
“NRA diskuterar inte frågor som rör dess fysiska eller elektroniska säkerhet. NRA vidtar dock extraordinära åtgärder för att skydda information om sina medlemmar, givare och verksamhet – och är vaksam på att göra det” – Andrew Arulanandam, VD för Public Affairs.
Sorgen i sig har ingen historia av att “falska” attacker eller ta ansvar för ransomware-kampanjer som den inte orkestrerade. NRA:s e-postsystem låg nere under en betydande tid förra veckan också, något som ofta händer företag som utsätts för ransomware-attacker.
Inlägget på den mörka webben som påstås innehålla filerna som stulits från NRA har sedan tagits bort. Detta kan dock betyda hur många saker som helst – det kan vara som en signal om att lösensumman har betalats, men det kan också betyda att förhandlingarna bara har börjat.
A Grief History Of Evil Corp.
Cybersäkerhetsexperter har varit snabba med att påpeka kopplingen mellan Grief, de skyldiga bakom denna attack mot NRA, och Evil Corp., en hackergrupp som ansvarar för flera högprofilerade ransomware-attacker de senaste åren.
Colonial Pipeline – det största rörledningssystemet för oljeraffinerade produkter i USA – var tvingas betala 5 miljoner dollar till Evil Corp. förra året. Teknikföretaget Garmin tvingades också betala efter att det drabbats av en Evil Corp. ransomware-attack 2020.
Vissa tror att de två enheterna är identiska – samma skådespelare under ett annat namn – medan andra har föreslagit att Grief kan vara en spinoff- eller splittergrupp som har starka band med Evil Corp. Den uppfattade kopplingen har uppstått från det faktum att Grief använder Dridex malware att stjäla information, som skulle kunna beskrivas som Evil Corps visitkort. Gruppens beteende har också gjort jämförelser med DoppelPaymer, en annan hackare som är kopplad till Evil Corp.
Väntar sanktioner på NRA?
Om Grief verkligen är samma enhet som bara verkar under ett annat namn, kan gruppens omprofilering vara en reaktion på sanktionerna infördes av den amerikanska regeringen 2019, som säger att amerikanska personer är “generellt förbjudna att delta i transaktioner med dem”.
“Vad vi har sett är att Evil Corp cyklar genom olika märken för att antingen lura företag att betala, utan att inse att de har att göra med en sanktionerad enhet, eller kanske för att förse dem med rimlig förnekelse” Brett Callow, en cybersäkerhetsanalytiker på Emsisoft, berättade för Wired.
Sanktionerna kan visa sig vara ett problem för NRA, som kanske måste bli kreativ om den vill undvika böter från finansministeriet för att ha försökt förmedla ett ekonomiskt avtal med Grief. När Garmin hölls för lösen av Evil Corp., till exempel, tvingades det använda en mellanhand för att betala sin lösen.
Uppkomsten av ransomware och skydda ditt företag
Europeiska unionens byrå för cybersäkerhet släppte nyligen en rapport täcker hotlandskapet som företag står inför online.
Med hjälp av data från april 2020 till juli 2021 identifierade byrån ransomware som det “primära hotet” mot företag idag, med hänvisning till en 150% ökning av attacker av detta slag under forskningsperioden.
Eftersom de flesta ransomware-attacker är beroende av skadlig programvara för att infektera en användares dator, om du är en företagsägare, är det avgörande att investera i pålitligt antivirusprogram för att skydda dina tillgångar. Att skapa ett system för att säkerhetskopiera data och företagsarbete regelbundet är också nu viktigt, eftersom detta kan rädda din hud om du hotas med möjligheten att radera dokument.
Men en överraskande mängd ransomware-attacker under 2021 är fortfarande beroende av brute-force-tekniker – en trial-and-error process för att gissa användaruppgifter – vilket innebär lösenordshanterare har nu en förnyad betydelse för företag.
Det är osannolikt att det här kommer att vara sista gången vi hör talas om Grief/Evil Corp. – men om NRA ställer sig bakom gruppens krav, särskilt mot bakgrund av befintliga sanktioner, kan sätta tonen för företag som svarar på ransomware-attacker under överskådlig framtid.
