Вымогатели не всегда удаляют украденные данные после оплаты выкупа

В 2019 году операторы вымогательского ПО Maze начали использовать новую тактику двойного вымогательства, в рамках которой злоумышленники крадут незашифрованные файлы, а затем угрожают опубликовать их, если не будет уплачен выкуп. Многие группировки стали применять подобную стратегию, но, по словам специалистов из компании Coveware, не все вымогатели сдерживают свои обещания удалить украденные данные после уплаты выкупа.

Некоторые группировки публикуют украденные данные после уплаты выкупа, используют поддельные данные якобы в качестве доказательства или даже повторно вымогают у жертвы выкуп. Например, Sodinokibi повторно требовала у жертв выкуп через несколько недель после оплаты, угрожая опубликовать те же данные, Netwalker и Mespinoza публиковали данные компаний, которые заплатили выкуп, а Conti публиковала поддельные файлы в качестве доказательства выполнения обещаний.

Maze, Sekhmet, и Egregor также упоминались в отчете как группировки, которые не выполняют свои обещания. По словам экспертов, по мере роста Maze ее деятельность стала дезорганизованной, и данные жертв могли быть ошибочно размещены на сайте утечек. Теперь операторы Maze и вовсе сообщили, что работа над данным проектом прекращена.

Conti, в свою очередь, предоставляла жертвам фальшивые ссылки для удаления данных после уплаты выкупа. Ссылки предназначались для обмана жертв, заставив их думать, что их данные были удалены.

Жертва не может точно узнать, удаляет ли вымогатель украденные данные после того, как была произведена оплата. В связи с этим специалисты Coveware рекомендуют не платить выкуп, поскольку нет никаких гарантий безопасности. Компаниям также рекомендуется рассматривать любую кибератаку как хищение данных и в соответствии с требованиями закона информировать всех клиентов, сотрудников и деловых партнеров о том, что их данные были украдены.