Търсене
Close this search box.

Рансъмуерът достига нови висини

През 2023 г. рансъмуерът ще направи жертви повече организации, докато нападателите бързо увеличават атаките си, за да нанесат мащабни щети, преди защитниците дори да успеят да открият инфекцията.

Според доклад, публикуван на 23 август от NCC Group, консултантска компания в областта на сигурността, през юли в сайтове за изтичане на информация са публикувани данни от 502 компромата, което е с над 150% повече в сравнение със същия месец преди година. Ръстът продължава тенденцията на нарастване през 2023 г., като броят на нарушенията, оповестени в сайтовете – сега това е обичайна тактика за групите за двойно изнудване – нараства със 79% до момента в сравнение със същия период през 2022 г.

Съвкупност от фактори – като например неотдавнашните лесни за експлоатиране уязвимости в услугите за управляемо прехвърляне на файлове, като MOVEit, и нарастващият брой услуги, предлагащи първоначален достъп – са довели до увеличението, казва Мат Хъл, глобален ръководител на отдела за разузнаване на заплахи в NCC Group.

„Престъпните групи … са опортюнистични по природа – те искат да печелят пари и търсят най-лесния начин да ги направят“, казва той. „Така че, ако в някакъв момент тази година има още един MOVEit или нещо подобно, не се съмнявам, че ще видите групи, които ще се качат на тази вълна и ще видим огромно увеличение на активността.“

Други данни показват, че престъпниците, които използват рансъмуер, се придвижват по-бързо, за да компрометират компаниите, след като са получили първоначален достъп, като средното време на престой при инциденти с откуп се е свило до пет дни от девет дни през 2022 г., според анализ на 80 случая на реагиране на инциденти, извършен от Sophos, компания за киберсигурност. Другите видове атаки се движат по-бавно, като нападателите, които не са свързани с рансъмуер, отделят повече време – 13 дни в сравнение с 11 дни през 2022 г., посочва Sophos в своя  анализ на полугодието  „Active Adversary Report“.

Нападателите стават все по-добри в това, което правят, усъвършенствайки процеса на кражба и криптиране на данни, казва Честър Вишневски, главен технически директор за приложни изследвания в Sophos.

„Когато погледнете средното време на престой от пет дни, това е логично [защото] е необходимо толкова време, за да се извърши пълномащабна, модерна атака с ransomware“, казва той. „Трябва да намерите начин да влезете, трябва да пробиете Active Directory и да се издигнете до администратор, трябва често да деактивирате резервните копия. … В действителност няма да успеете да съкратите времето за престой до по-малко  от четири или пет дни, когато трябва да свършите всички тези задачи.“

Изтриване и освобождаване

Заключенията от два отделни доклада – и двата публикувани тази седмица – подчертават продължаващата заплаха, която крипторансъмуерът представлява, въпреки факта, че някои групи за атаки, като например групата Cl0p, преминават от криптиране на данни към по-проста схема за кражба и изнудване. Повечето групи продължават да прилагат стратегията, известна като двойно изнудване, която разчита на кражба и криптиране на данни, за да убеди компанията да плати откупа.

През юли индустриалният сектор продължава да доминира в списъка на жертвите, чиито данни са били публикувани в сайтове за изтичане на информация, според „Cyber Threat Intelligence Report“ на NCC Group. Потребителските циклични отрасли и технологичната индустрия са съответно на далечно второ и трето място, като броят на докладваните пробиви е само наполовина по-малък.

„Това, което видяхме в индустриалния сектор… знаем, че там има по-малко регулации, знаем, че през последните години има по-малко разходи за бюджети за киберсигурност“, казва Хъл от NCC Group. „Когато сравним това с финансовите услуги например, които бяха основна цел за откупващия софтуер и престъпните групи преди пет до десет години – те почти изчезнаха от лицето на земята.“

Атакуващите също така са склонни бързо да се придвижват странично – често наричано „пробив“ – особено за да компрометират сървърите на Active Directory, което може да им даде достъп до повечето други ресурси във вътрешната мрежа. Средното време за компрометиране на сървър на Active Directory е около 16 часа, според обобщаващия доклад за инциденти на Sophos.

„Установяването на опорна точка на сървър Active Directory значително увеличава възможностите на нападателя“, се посочва в доклада. „AD сървърът обикновено е най-мощният и привилегирован актив в мрежата, който е в състояние да контролира идентичността и политиките в цялата организация. Атакуващите могат да изтеглят силно привилегировани акаунти, да създават нови или да деактивират легитимни такива.“

И накрая, нападателите използват часовите разлики в своя полза, като повечето атаки се извършват в средата на седмицата, но извън работното време, казват от Sophos.

Факторът Cl0p

Една конкретна група е причина за голяма част от ръста: групата Cl0p. Тя бързо се е насочила към използване на уязвимости в две платформи за управляван трансфер на файлове – атакува MOVEit в края на май и GoAnywhere MFT в началото на януари – което е довело до вълна от успешни компрометирания. Сега обаче групата Cl0p ransomware разчита направо на кражба и изнудване, като краде данни и след това заплашва да ги разкрие, ако жертвата не плати – казва Хъл от NCC.

„Знаем, че някои от тези групи не използват това, което традиционно се нарича откуп – няма криптиране на данни“, казва той. „И със сигурност се наблюдава – от някои групи – общо, ако не и пълно, изместване от криптиране на данни към фокусиране върху ексфилтрация на данни.“

Според данните на NCC Group групата Cl0p е публикувала три пъти повече изтичания на данни на своите сайтове за изтичане на данни, отколкото втората най-успешна група – Lockbit 3.0. Успехът на групата е довел до рязко увеличаване на публикациите в сайтовете за изтичане на данни, което е повишило проследяването на рансъмуера на NCC Group.

Но дори и без да се проследяват усилията на групата Cl0p, активността на рансъмуера е нараснала, казва Хъл. Ако се игнорира дейността на Cl0p, публикациите в сайтове за изтичане на данни все пак са нараснали с 57% на годишна база, което е по-малко от общия ръст от 79%, включително при групата за изнудване, но все пак е значително увеличение.

Освен това летният спад в активността на ransomware през 2022 г. не се материализира тази година, вероятно поради това, че повече киберпрестъпници се опитват да свържат двата края по време на глобалния спад, казва Хъл.

„При спада на икономиката през миналата година трябва да има начин тези престъпни групи да печелят пари“, казва той. „Те трябва … да възстановят печалбите си, така че явно има някакъв стремеж към това.“

 

 

Източник: DARKReading

Подобни публикации

21 април 2024

Как OpenAI и Microsoft събудиха заспал софтуере...

Само преди десетилетие най-големият технологичен звяр в света беше ...
20 април 2024

Готви се нова методика за удостоверяване на съо...

Актуализирането на методиката за удостоверяване на съответствието н...
20 април 2024

Критична уязвимост на Forminator за WordPress и...

Плъгинът Forminator за WordPress, използван в над 500 000 сайта, е ...
20 април 2024

Бандата "Медуза" нанася нов удар

Въпреки че общинската агенция уверява обществеността, че малцина са...
19 април 2024

Пробиха MITRE чрез нулевите дни на Ivanti

Корпорацията MITRE твърди, че подкрепяна от държавата хакерска груп...
19 април 2024

Замбия арестува 77 души в операция за киберпрес...

Компанията за фалшиви телефонни центрове извършва онлайн  и други и...
18 април 2024

Платформата за фишинг LabHost е закрита от прав...

LabHost, голяма платформа за фишинг като услуга, е била затворена к...
18 април 2024

Компания за управление на киберриска набра 21 м...

В сряда компанията за риск мениджмънт CyberSaint обяви, че е набрал...
Бъдете социални
Още по темата
20/04/2024

Бандата "Медуза" нанася нов...

Въпреки че общинската агенция уверява обществеността,...
18/04/2024

Болница в Кан с 869 легла и...

Болница „Симон Вейл“ в Кан (CHC-SV)...
18/04/2024

Akira ransomware е събрала ...

Според съвместна препоръка на ФБР, CISA,...
Последно добавени
21/04/2024

Как OpenAI и Microsoft събу...

Само преди десетилетие най-големият технологичен звяр...
20/04/2024

Готви се нова методика за у...

Актуализирането на методиката за удостоверяване на...
20/04/2024

Критична уязвимост на Formi...

Плъгинът Forminator за WordPress, използван в...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!