През 2023 г. рансъмуерът ще направи жертви повече организации, докато нападателите бързо увеличават атаките си, за да нанесат мащабни щети, преди защитниците дори да успеят да открият инфекцията.
Според доклад, публикуван на 23 август от NCC Group, консултантска компания в областта на сигурността, през юли в сайтове за изтичане на информация са публикувани данни от 502 компромата, което е с над 150% повече в сравнение със същия месец преди година. Ръстът продължава тенденцията на нарастване през 2023 г., като броят на нарушенията, оповестени в сайтовете – сега това е обичайна тактика за групите за двойно изнудване – нараства със 79% до момента в сравнение със същия период през 2022 г.
Съвкупност от фактори – като например неотдавнашните лесни за експлоатиране уязвимости в услугите за управляемо прехвърляне на файлове, като MOVEit, и нарастващият брой услуги, предлагащи първоначален достъп – са довели до увеличението, казва Мат Хъл, глобален ръководител на отдела за разузнаване на заплахи в NCC Group.
„Престъпните групи … са опортюнистични по природа – те искат да печелят пари и търсят най-лесния начин да ги направят“, казва той. „Така че, ако в някакъв момент тази година има още един MOVEit или нещо подобно, не се съмнявам, че ще видите групи, които ще се качат на тази вълна и ще видим огромно увеличение на активността.“
Други данни показват, че престъпниците, които използват рансъмуер, се придвижват по-бързо, за да компрометират компаниите, след като са получили първоначален достъп, като средното време на престой при инциденти с откуп се е свило до пет дни от девет дни през 2022 г., според анализ на 80 случая на реагиране на инциденти, извършен от Sophos, компания за киберсигурност. Другите видове атаки се движат по-бавно, като нападателите, които не са свързани с рансъмуер, отделят повече време – 13 дни в сравнение с 11 дни през 2022 г., посочва Sophos в своя анализ на полугодието „Active Adversary Report“.
Нападателите стават все по-добри в това, което правят, усъвършенствайки процеса на кражба и криптиране на данни, казва Честър Вишневски, главен технически директор за приложни изследвания в Sophos.
„Когато погледнете средното време на престой от пет дни, това е логично [защото] е необходимо толкова време, за да се извърши пълномащабна, модерна атака с ransomware“, казва той. „Трябва да намерите начин да влезете, трябва да пробиете Active Directory и да се издигнете до администратор, трябва често да деактивирате резервните копия. … В действителност няма да успеете да съкратите времето за престой до по-малко от четири или пет дни, когато трябва да свършите всички тези задачи.“
Заключенията от два отделни доклада – и двата публикувани тази седмица – подчертават продължаващата заплаха, която крипторансъмуерът представлява, въпреки факта, че някои групи за атаки, като например групата Cl0p, преминават от криптиране на данни към по-проста схема за кражба и изнудване. Повечето групи продължават да прилагат стратегията, известна като двойно изнудване, която разчита на кражба и криптиране на данни, за да убеди компанията да плати откупа.
През юли индустриалният сектор продължава да доминира в списъка на жертвите, чиито данни са били публикувани в сайтове за изтичане на информация, според „Cyber Threat Intelligence Report“ на NCC Group. Потребителските циклични отрасли и технологичната индустрия са съответно на далечно второ и трето място, като броят на докладваните пробиви е само наполовина по-малък.
„Това, което видяхме в индустриалния сектор… знаем, че там има по-малко регулации, знаем, че през последните години има по-малко разходи за бюджети за киберсигурност“, казва Хъл от NCC Group. „Когато сравним това с финансовите услуги например, които бяха основна цел за откупващия софтуер и престъпните групи преди пет до десет години – те почти изчезнаха от лицето на земята.“
Атакуващите също така са склонни бързо да се придвижват странично – често наричано „пробив“ – особено за да компрометират сървърите на Active Directory, което може да им даде достъп до повечето други ресурси във вътрешната мрежа. Средното време за компрометиране на сървър на Active Directory е около 16 часа, според обобщаващия доклад за инциденти на Sophos.
„Установяването на опорна точка на сървър Active Directory значително увеличава възможностите на нападателя“, се посочва в доклада. „AD сървърът обикновено е най-мощният и привилегирован актив в мрежата, който е в състояние да контролира идентичността и политиките в цялата организация. Атакуващите могат да изтеглят силно привилегировани акаунти, да създават нови или да деактивират легитимни такива.“
И накрая, нападателите използват часовите разлики в своя полза, като повечето атаки се извършват в средата на седмицата, но извън работното време, казват от Sophos.
Една конкретна група е причина за голяма част от ръста: групата Cl0p. Тя бързо се е насочила към използване на уязвимости в две платформи за управляван трансфер на файлове – атакува MOVEit в края на май и GoAnywhere MFT в началото на януари – което е довело до вълна от успешни компрометирания. Сега обаче групата Cl0p ransomware разчита направо на кражба и изнудване, като краде данни и след това заплашва да ги разкрие, ако жертвата не плати – казва Хъл от NCC.
„Знаем, че някои от тези групи не използват това, което традиционно се нарича откуп – няма криптиране на данни“, казва той. „И със сигурност се наблюдава – от някои групи – общо, ако не и пълно, изместване от криптиране на данни към фокусиране върху ексфилтрация на данни.“
Според данните на NCC Group групата Cl0p е публикувала три пъти повече изтичания на данни на своите сайтове за изтичане на данни, отколкото втората най-успешна група – Lockbit 3.0. Успехът на групата е довел до рязко увеличаване на публикациите в сайтовете за изтичане на данни, което е повишило проследяването на рансъмуера на NCC Group.
Но дори и без да се проследяват усилията на групата Cl0p, активността на рансъмуера е нараснала, казва Хъл. Ако се игнорира дейността на Cl0p, публикациите в сайтове за изтичане на данни все пак са нараснали с 57% на годишна база, което е по-малко от общия ръст от 79%, включително при групата за изнудване, но все пак е значително увеличение.
Освен това летният спад в активността на ransomware през 2022 г. не се материализира тази година, вероятно поради това, че повече киберпрестъпници се опитват да свържат двата края по време на глобалния спад, казва Хъл.
„При спада на икономиката през миналата година трябва да има начин тези престъпни групи да печелят пари“, казва той. „Те трябва … да възстановят печалбите си, така че явно има някакъв стремеж към това.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.