През май броят на жертвите на рансъмуер се е увеличил в сравнение с предходния месец, въпреки че при LockBit, водещата група за рансъмуер, броят на наблюдаваните жертви е намалял с 30 % (от 110 на 77) от април до май.
Тежката група за рансъмуер AlphV също отбеляза спад в броя на публикуваните жертви, като през май наблюдаваните жертви са 38 в сравнение с 51 през април.

Това пресъхване беше компенсирано от навлизането на няколко нови маркови групи, което допринесе за общото увеличение на наблюдаваните жертви на рансъмуер, според последния доклад GRIT на GuidePoint Security.

В доклада GRIT за май се подчертава разнообразният набор от активни групи за заплахи, като 28 наблюдавани групи претендират за жертви. Наблюдава се 13,57% увеличение на публично обявените жертви на ransomware от април до май и общо 410 инцидента, водени от жертви в Съединените щати – далеч най-атакуваната държава.

В доклада се отбелязва, че новосъздадената група Akira ransomware е придобила особена популярност от април насам (името е потенциален намек за култовата японска аниме класика от 1988 г., в която мотоциклетист се превръща в буйстващ психопат). Бандата е известна най-вече с уникалния сайт за изтичане на данни, проектиран като интерактивен команден ред с помощта на jQuery.

Образователните организации са непропорционално голям брой мишени на „Акира“ – те представляват осем от 36-те наблюдавани жертви. Групата следва подхода на „двойното изнудване“: краде данни от жертвите и заплашва да ги публикува, ако не бъде платен откуп.

Въпреки че няма достатъчно данни, за да се направи окончателна хипотеза, консултантът по разузнаване на заплахите на GuidePoint Security Ник Фин отбелязва, че е наблюдавал някои от новите групи да намаляват значително първоначалното си искане за откуп.

„Ако тази тенденция се запази, това може да означава, че групите, искащи откуп, се опитват да съкратят времето между виктимизацията и плащането“, казва той.

Като цяло обаче констатациите на GRIT повтарят тези от Доклада на Verizon за разследванията на нарушения на сигурността на данните за 2023 г., в който се отбелязва нарастването на разходите за ransomware.

Възникване на нови групи за рансъмуер

GRIT идентифицира и други нови групи за рансъмуер на сцената, като 8Base, Malas, Rancoz и BlackSuit, всяка от които има свои отличителни характеристики и цели.

8Base, която през изминалата година е взела 67 жертви, се е насочила предимно към банковата и финансовата индустрия и е фокусирана предимно върху САЩ и Бразилия, докато групата за изнудване Malas е наблюдавана да извършва масова експлоатация на бизнес имейл и софтуер за сътрудничество Zimbra.

Малко се знае за Rancoz, която досега е регистрирала само две жертви – една в технологичния сектор и една в производството, докато BlackSuit беше отбелязана заради зрелостта на операциите си въпреки само една наблюдавана жертва.

Тези нововъзникващи групи за заплахи са използвали комбинация от утвърдени и иновативни тактики, като целта им е да се впишат и да извлекат печалба сред пренаселения пейзаж на рансъмуера – обяснява Фин.

Той отбелязва, че един от методите, които се наблюдават напоследък, е преминаването към единично изнудване, съсредоточено върху ексфилтрирани данни – без да е необходимо криптиране.

„Това е много по-устойчиво за групите за рансъмуер, защото включва по-малко проблеми с жертвите, когато декрипторите се провалят“, казва той.

Фин обяснява, че скорошното поведение на групите за откуп предполага, че те следват тактики, които смятат за по-нови и успешни.

„Тенденцията за връщане към единично изнудване чрез заплаха за публикуване на данни може да е резултат от възприет успех от други групи или да е решение, което те вземат въз основа на взаимодействието си с жертвите“, казва той.

Например, ако голяма част от жертвите им молят за намаляване на искания откуп в замяна само на доказателство за изтриване и гаранции, че няма да ги атакуват отново, това може да накара групите, занимаващи се с изнудване, да предположат, че голяма част от жертвите им разполагат с резервни копия, поради което усилията за криптиране на мрежата на жертвата изглеждат излишни.

„Организациите, които следват най-добрите практики за архивиране на данни, трябва да продължат да се грижат усърдно за разработване на детекции и мониторинг на дейността за всякакви потенциални усилия за ексфилтрация на данни, тъй като тази единствена тенденция на изнудване определено ще продължи и вероятно ще се разраства през 2023 г.“, казва Фин.

Образователният сектор в полезрението

Както се вижда от Akira и по-стари групи като Vice Society, групите за изнудване все по-често се насочват към образователни институции – от детски градини до големи университети. Общо през май ransomware групите са регистрирали 35 уникални жертви в образователния сектор.

„Неотдавнашният наплив от уязвимости, засягащи често използван в училищата софтуер, като например уязвимостта PaperCut MF/NG“, се отбелязва в доклада.

„Изглежда, че в образователния сектор се наблюдават тежки атаки, тъй като в получените данни са налични толкова много лични данни (PII) и чувствителни данни за учениците“, казва Фин. „Освен това броят на засегнатите лица е експоненциален спрямо размера на организацията-жертва.“

Например, училищна система със само около хиляда активни ученици може да съхранява записи и данни за още хиляди бивши ученици, както и информация, свързана с родителите на учениците, чиито данни са изложени на риск.

„Друг важен фактор е медийното внимание“, добавя той. „Извършителите на рансъмуер следват тенденциите, които ги отразяват в медиите. Кибератаката срещу училищния окръг на Лос Анджелис привлече голямо медийно внимание, така че е вероятно повече групи да следват тази тенденция, за да повторят отразяването.“

MOVEit и масова експлоатация

Друг фактор за неотдавнашния ръст на успешните атаки с откупи е феноменът, при който групите за откупи масово експлоатират уязвимостите от нулевия ден, се отбелязва в доклада, извършват ексфилтрация и очакват жертвите да се свържат с тях, за да се координират за откупи.

Продължаващите атаки на Cl0p, използващи уязвимостта MOVEit срещу стотици организации, са емблематични за тази тенденция, която се наблюдава и при варианта на рансъмуер DeadBolt и друг, използван наскоро от участник в заплахата за разгръщане на рансъмуер Nokoyawa.

„Изглежда, че Cl0p разполага с екип от високотехнологични хакери, които работят върху масовата експлоатация, особено на софтуер за прехвърляне на файлове“, добавя Фин.

Последните доклади сочат, че групата е започнала работа по експлоатацията на MOVEit още през 2021 г. и дори е забавила масовата експлоатация на уязвимостта, докато не е завършила друга кампания за масова експлоатация срещу услугата GoAnywhere MFT по-рано тази година.

„Това показва значителна способност за стратегическо планиране, дори до решението да се започне експлоатацията на тази уязвимост MOVEit през уикенда на Деня на паметта, когато по-малко персонал е на разположение да реагира веднага“, казва той.

Макар че през последните две години се наблюдава забавяне на активността на рансъмуера през лятото, което, както добавя Фин, може да се случи и тази година, има и „голяма вероятност“ други групи за рансъмуер да се опитат да имитират поведението на групи като Cl0p и да се опитат да извършат масова експлоатация, което може да компенсира спада на активността на други места.