Търсене
Close this search box.

През 2023 г. рансъмуерът ще направи жертви повече организации, докато нападателите бързо увеличават атаките си, за да нанесат мащабни щети, преди защитниците дори да успеят да открият инфекцията.

Според доклад, публикуван на 23 август от NCC Group, консултантска компания в областта на сигурността, през юли в сайтове за изтичане на информация са публикувани данни от 502 компромата, което е с над 150% повече в сравнение със същия месец преди година. Ръстът продължава тенденцията на нарастване през 2023 г., като броят на нарушенията, оповестени в сайтовете – сега това е обичайна тактика за групите за двойно изнудване – нараства със 79% до момента в сравнение със същия период през 2022 г.

Съвкупност от фактори – като например неотдавнашните лесни за експлоатиране уязвимости в услугите за управляемо прехвърляне на файлове, като MOVEit, и нарастващият брой услуги, предлагащи първоначален достъп – са довели до увеличението, казва Мат Хъл, глобален ръководител на отдела за разузнаване на заплахи в NCC Group.

„Престъпните групи … са опортюнистични по природа – те искат да печелят пари и търсят най-лесния начин да ги направят“, казва той. „Така че, ако в някакъв момент тази година има още един MOVEit или нещо подобно, не се съмнявам, че ще видите групи, които ще се качат на тази вълна и ще видим огромно увеличение на активността.“

Други данни показват, че престъпниците, които използват рансъмуер, се придвижват по-бързо, за да компрометират компаниите, след като са получили първоначален достъп, като средното време на престой при инциденти с откуп се е свило до пет дни от девет дни през 2022 г., според анализ на 80 случая на реагиране на инциденти, извършен от Sophos, компания за киберсигурност. Другите видове атаки се движат по-бавно, като нападателите, които не са свързани с рансъмуер, отделят повече време – 13 дни в сравнение с 11 дни през 2022 г., посочва Sophos в своя  анализ на полугодието  „Active Adversary Report“.

Нападателите стават все по-добри в това, което правят, усъвършенствайки процеса на кражба и криптиране на данни, казва Честър Вишневски, главен технически директор за приложни изследвания в Sophos.

„Когато погледнете средното време на престой от пет дни, това е логично [защото] е необходимо толкова време, за да се извърши пълномащабна, модерна атака с ransomware“, казва той. „Трябва да намерите начин да влезете, трябва да пробиете Active Directory и да се издигнете до администратор, трябва често да деактивирате резервните копия. … В действителност няма да успеете да съкратите времето за престой до по-малко  от четири или пет дни, когато трябва да свършите всички тези задачи.“

Изтриване и освобождаване

Заключенията от два отделни доклада – и двата публикувани тази седмица – подчертават продължаващата заплаха, която крипторансъмуерът представлява, въпреки факта, че някои групи за атаки, като например групата Cl0p, преминават от криптиране на данни към по-проста схема за кражба и изнудване. Повечето групи продължават да прилагат стратегията, известна като двойно изнудване, която разчита на кражба и криптиране на данни, за да убеди компанията да плати откупа.

През юли индустриалният сектор продължава да доминира в списъка на жертвите, чиито данни са били публикувани в сайтове за изтичане на информация, според „Cyber Threat Intelligence Report“ на NCC Group. Потребителските циклични отрасли и технологичната индустрия са съответно на далечно второ и трето място, като броят на докладваните пробиви е само наполовина по-малък.

„Това, което видяхме в индустриалния сектор… знаем, че там има по-малко регулации, знаем, че през последните години има по-малко разходи за бюджети за киберсигурност“, казва Хъл от NCC Group. „Когато сравним това с финансовите услуги например, които бяха основна цел за откупващия софтуер и престъпните групи преди пет до десет години – те почти изчезнаха от лицето на земята.“

Атакуващите също така са склонни бързо да се придвижват странично – често наричано „пробив“ – особено за да компрометират сървърите на Active Directory, което може да им даде достъп до повечето други ресурси във вътрешната мрежа. Средното време за компрометиране на сървър на Active Directory е около 16 часа, според обобщаващия доклад за инциденти на Sophos.

„Установяването на опорна точка на сървър Active Directory значително увеличава възможностите на нападателя“, се посочва в доклада. „AD сървърът обикновено е най-мощният и привилегирован актив в мрежата, който е в състояние да контролира идентичността и политиките в цялата организация. Атакуващите могат да изтеглят силно привилегировани акаунти, да създават нови или да деактивират легитимни такива.“

И накрая, нападателите използват часовите разлики в своя полза, като повечето атаки се извършват в средата на седмицата, но извън работното време, казват от Sophos.

Факторът Cl0p

Една конкретна група е причина за голяма част от ръста: групата Cl0p. Тя бързо се е насочила към използване на уязвимости в две платформи за управляван трансфер на файлове – атакува MOVEit в края на май и GoAnywhere MFT в началото на януари – което е довело до вълна от успешни компрометирания. Сега обаче групата Cl0p ransomware разчита направо на кражба и изнудване, като краде данни и след това заплашва да ги разкрие, ако жертвата не плати – казва Хъл от NCC.

„Знаем, че някои от тези групи не използват това, което традиционно се нарича откуп – няма криптиране на данни“, казва той. „И със сигурност се наблюдава – от някои групи – общо, ако не и пълно, изместване от криптиране на данни към фокусиране върху ексфилтрация на данни.“

Според данните на NCC Group групата Cl0p е публикувала три пъти повече изтичания на данни на своите сайтове за изтичане на данни, отколкото втората най-успешна група – Lockbit 3.0. Успехът на групата е довел до рязко увеличаване на публикациите в сайтовете за изтичане на данни, което е повишило проследяването на рансъмуера на NCC Group.

Но дори и без да се проследяват усилията на групата Cl0p, активността на рансъмуера е нараснала, казва Хъл. Ако се игнорира дейността на Cl0p, публикациите в сайтове за изтичане на данни все пак са нараснали с 57% на годишна база, което е по-малко от общия ръст от 79%, включително при групата за изнудване, но все пак е значително увеличение.

Освен това летният спад в активността на ransomware през 2022 г. не се материализира тази година, вероятно поради това, че повече киберпрестъпници се опитват да свържат двата края по време на глобалния спад, казва Хъл.

„При спада на икономиката през миналата година трябва да има начин тези престъпни групи да печелят пари“, казва той. „Те трябва … да възстановят печалбите си, така че явно има някакъв стремеж към това.“

 

 

Източник: DARKReading

Подобни публикации

10 декември 2024

Ubisoft отстрани конфликти с Windows 11 24H2

Microsoft вече частично отмени блокирането на съвместимостта на акт...
10 декември 2024

Deloitte опроверга рансъмуер банда

Deloitte направи изявление в отговор на твърденията на група за ран...
9 декември 2024

QNAP поправя уязвимостите, експлоатирани в Pwn2Own

През уикенда тайванската компания QNAP Systems обяви кръпки за множ...
9 декември 2024

Производител на медицински изделия претърпя ата...

В понеделник компанията за медицинска апаратура Artivion оповести а...
9 декември 2024

ЕС отправя спешно запитване към TikTok

Европейският съюз съобщи в петък, че е изпратил на TikTok спешно ис...
9 декември 2024

QR кодовете заобикалят изолацията на браузъра

Mandiant е идентифицирала нов метод за заобикаляне на технологията ...
9 декември 2024

SonicWall поправя 6 уязвимости в Secure Access ...

В края на миналата седмица SonicWall обяви пачове за множество уязв...
8 декември 2024

Тексаски тийнейджър е арестуван за хакове на те...

Преследването на членовете на Scattered Spider, киберпрестъпната гр...
Бъдете социални
Още по темата
10/12/2024

Deloitte опроверга рансъмуе...

Deloitte направи изявление в отговор на...
09/12/2024

Производител на медицински ...

В понеделник компанията за медицинска апаратура...
04/12/2024

Производителят на водки Sto...

Компаниите на Stoli Group в САЩ...
Последно добавени
10/12/2024

Ubisoft отстрани конфликти ...

Microsoft вече частично отмени блокирането на...
10/12/2024

Deloitte опроверга рансъмуе...

Deloitte направи изявление в отговор на...
09/12/2024

QNAP поправя уязвимостите, ...

През уикенда тайванската компания QNAP Systems...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!