Ransomware-ofre stiger, efterhånden som trusselsaktører drejer til Zero-Day-udnyttelse

Antallet af organisationer, der blev ofre for ransomware-angreb steg med 143 % mellem første kvartal af 2022 og første kvartal af dette år, da angribere i stigende grad udnyttede nul-dages sårbarheder og en-dags fejl til at bryde ind i målnetværk.

I mange af disse angreb brød trusselsaktører sig ikke så meget som om at kryptere data tilhørende offerorganisationer. I stedet fokuserede de udelukkende på at stjæle deres følsomme data og afpresse ofre ved at true med at sælge eller lække dataene til andre. Taktikken lod selv dem med ellers robuste backup- og gendannelsesprocesser bakke op i et hjørne.

En stigning i ofre

Forskere ved Akamai opdagede tendenserne da de for nylig analyserede data indsamlet fra lækagesider tilhørende 90 ransomware-grupper. Lækagesider er steder, hvor ransomware-grupper typisk frigiver detaljer om deres angreb, ofre og alle data, som de måtte have krypteret eller eksfiltreret.

Akamais analyse viste, at flere populære forestillinger om ransomware-angreb ikke længere er helt sande. En af de mest betydningsfulde, ifølge virksomheden, er et skift fra phishing som en indledende adgangsvektor til sårbarhedsudnyttelse. Akamai fandt ud af, at flere store ransomware-operatører er fokuserede på at erhverve sig nul-dages sårbarheder - enten gennem intern forskning eller ved at skaffe det fra gråmarkedskilder - til brug i deres angreb.

Et bemærkelsesværdigt eksempel er Cl0P ransomware-gruppen, som misbrugte en nul-dages SQL-injektion sårbarhed i Fortras GoAnywhere-software (CVE-2023-0669) tidligere i år for at bryde ind i adskillige højprofilerede virksomheder. I maj misbrugte den samme trusselsaktør endnu en nul-dages fejl, den opdagede - denne gang i Progress Softwares MOVEIt filoverførselsapplikation (CVE-2023-34362) — at infiltrere snesevis af større organisationer globalt. Akamai fandt, at Cl0ps ofretal steg nidoblet mellem første kvartal af 2022 og første kvartal af dette år, efter at det begyndte at udnytte nul-dages fejl.

Selvom udnyttelse af nul-dages sårbarheder ikke er særlig nyt, er den nye tendens blandt ransomware-aktører til at bruge dem i storstilede angreb betydelig, sagde Akamai.

"Særligt bekymrende er den interne udvikling af nul-dages sårbarheder," siger Eliad Kimhy, leder af Akamais sikkerhedsforsknings CORE-team. "Vi ser dette med Cl0p med deres to seneste store angreb, og vi forventer, at andre grupper følger trop og udnytter deres ressourcer til at købe og hente disse typer sårbarheder."

I andre tilfælde forårsagede store ransomware-udstyr såsom LockBit og ALPHV (aka BlackCat) kaos ved at hoppe på nyligt afslørede sårbarheder, før organisationer havde en chance for at anvende leverandørens rettelse for dem. Eksempler på sådanne "dag-XNUMX"-sårbarheder omfatter PaperCut sårbarheder i april 2023 (CVE-2023-27350 og CVE-2023-27351) og sårbarheder i VMwares ESXi-servere, som operatøren af ​​ESXiArgs-kampagnen udnyttede.

Pivotering fra kryptering til eksfiltrering

Akamai fandt også ud af, at nogle ransomware-operatører - såsom dem bag BianLian-kampagnen - udelukkende har pivoteret fra datakryptering til afpresning via datatyveri. Grunden til, at skiftet er vigtigt, er, at med datakryptering havde organisationer en chance for at hente deres låste data, hvis de havde en robust nok datasikkerhedskopiering og -gendannelsesproces. Med datatyveri har organisationer ikke den mulighed og skal i stedet enten betale for eller risikere at få trusselsaktørerne til at lække deres data offentligt - eller endnu værre, sælge dem til andre.

Diversificeringen af ​​afpresningsteknikker er bemærkelsesværdig, siger Kimhy. "Eksfiltrationen af ​​data var startet som en yderligere løftestang, der på nogle måder var sekundær i forhold til kryptering af filer," bemærker Kimhy. "I dag ser vi, at det bliver brugt som en primær løftestang til afpresning, hvilket betyder, at sikkerhedskopiering af filer for eksempel ikke er tilstrækkelig."

De fleste af ofrene i Akamais datasæt - faktisk omkring 65 % af dem - var små til mellemstore virksomheder med rapporterede indtægter på op til $50 millioner. Større organisationer, der ofte opfattes som de største ransomware-mål, udgjorde faktisk kun 12 % af ofrene. Produktionsvirksomheder oplevede en uforholdsmæssig stor procentdel af angrebene, efterfulgt af sundhedsenheder og finansielle servicevirksomheder. Det er væsentligt, at Akamai fandt ud af, at organisationer, der oplever et ransomware-angreb, havde en meget høj sandsynlighed for at opleve et andet angreb inden for tre måneder efter det første angreb.

Det er vigtigt at understrege, at phishing stadig er meget vigtigt at forsvare sig imod, siger Kimhy. Samtidig er organisationer nødt til at prioritere patching af nyligt afslørede sårbarheder. Han tilføjer: "[D]e samme anbefalinger, som vi har fremsat, gælder stadig, såsom at forstå modstanderen, trusselsflader, teknikker, der anvendes, favoriseres og udvikles, og især hvilke produkter, processer og mennesker, du skal udvikle for at stoppe et moderne ransomware-angreb."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Automotive/elbiler, Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• BlockOffsets. Modernisering af miljømæssig offset-ejerskab. Adgang her.
• Kilde: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits