Virksomhedssikkerhedsteams kan tilføje yderligere tre ransomware-varianter til den konstant voksende liste over ransomware-trusler, som de skal overvåge.
De tre varianter - Vohuk, ScareCrow og AESRT - som de fleste ransomware-værktøjer er målrettet mod Windows-systemer og ser ud til at sprede sig relativt hurtigt på systemer, der tilhører brugere i flere lande. Sikkerhedsforskere ved Fortinets FortiGuard Labs, der sporer truslerne i denne uge, beskrev ransomware-prøverne som at vinde indpas i virksomhedens ransomware-database.
Fortinets analyse af de tre trusler viste, at de var standard ransomware-værktøjer af den slags, der ikke desto mindre har været meget effektive til at kryptere data på kompromitterede systemer. Fortinets alarm identificerede ikke, hvordan operatørerne af de nye ransomware-prøver distribuerer deres malware, men den bemærkede, at phishing-e-mail typisk har været den mest almindelige vektor for ransomware-infektioner.
Et voksende antal varianter
"Hvis væksten af ransomware i 2022 indikerer, hvad fremtiden bringer, bør sikkerhedsteams overalt forvente at se denne angrebsvektor blive endnu mere populær i 2023," siger Fred Gutierrez, senior sikkerhedsingeniør hos Fortinets FortiGuard Labs.
I blot første halvdel af 2022 steg antallet af nye ransomware-varianter, som FortiGuard Labs identificerede, med næsten 100 % sammenlignet med den foregående seks-måneders periode, siger han. FortiGuard Labs-teamet dokumenterede 10,666 nye ransomware-varianter i første halvdel af 2022 sammenlignet med kun 5,400 i anden halvdel af 2021.
"Denne vækst i nye ransomware-varianter er primært takket være, at flere angribere udnytter ransomware-as-a-service (RaaS) på Dark Web," siger han.
Han tilføjer: "Derudover er det måske mest foruroligende aspekt, at vi ser en stigning i mere destruktive ransomware-angreb i stor skala og på tværs af stort set alle sektortyper, som vi forventer vil fortsætte ind i 2023."
Standard, men effektive Ransomware-stammer
Vohuk ransomware-varianten, som Fortinet-forskere analyserede, så ud til at være i sin tredje iteration, hvilket indikerer, at dens forfattere aktivt udvikler den.
Malwaren afgiver en løsesum note, "README.txt," på kompromitterede systemer, der beder ofre om at kontakte angriberen via e-mail med et unikt ID, sagde Fortinet. Notatet informerer offeret om, at angriberen ikke er politisk motiveret, men kun er interesseret i økonomisk vinding - formentlig for at forsikre ofrene om, at de ville få deres data tilbage, hvis de betalte den krævede løsesum.
I mellemtiden, "ScareCrow er en anden typisk ransomware, der krypterer filer på ofrenes maskiner," sagde Fortinet. "Dens løsesumseddel, også kaldet 'readme.txt', indeholder tre Telegram-kanaler, som ofrene kan bruge til at tale med angriberen."
Selvom løsesumsedlen ikke indeholder nogle specifikke økonomiske krav, er det sikkert at antage, at ofrene bliver nødt til at betale en løsesum for at gendanne filer, der var krypteret, sagde Fortinet.
Sikkerhedsleverandørens forskning viste også en vis overlapning mellem ScareCrow og den berygtede Conti ransomware variant, et af de mest produktive ransomware-værktøjer nogensinde. Begge bruger for eksempel den samme algoritme til at kryptere filer, og ligesom Conti sletter ScareCrow skyggekopier ved hjælp af WMI-kommandolinjeværktøjet (wmic) for at gøre data uoprettelige på inficerede systemer.
Indsendelser til VirusTotal tyder på, at ScareCrow har inficeret systemer i USA, Tyskland, Italien, Indien, Filippinerne og Rusland.
Og endelig har AESRT, den tredje nye ransomware-familie, som Fortinet for nylig opdagede i naturen, en funktionalitet, der ligner de to andre trusler. Den største forskel er, at i stedet for at efterlade en løsesumseddel, leverer malwaren et popup-vindue med angriberens e-mailadresse og et felt, der viser en nøgle til dekryptering af krypterede filer, når offeret har betalt den krævede løsesum.
Vil Crypto-kollaps bremse ransomware-truslen?
De friske varianter tilføjer til den lange - og konstant voksende - liste over ransomware-trusler, som organisationer nu skal håndtere på daglig basis, da ransomware-operatører ubønhørligt hamrer løs på virksomhedsorganisationer.
Data om ransomware-angreb, som LookingGlass analyserede tidligere i år, viste, at der var nogle 1,133 bekræftede ransomware-angreb alene i første halvdel af 2022 - mere end halvdelen (52%) af dem påvirkede amerikanske virksomheder. LookingGlass fandt, at den mest aktive ransomware-gruppe var bag LockBit-varianten, efterfulgt af grupper bag Conti, Black Basta og Alphy ransomware.
Aktivitetshastigheden er dog ikke stabil. Nogle sikkerhedsleverandører rapporterede, at de observerede en lille opbremsning i ransomware-aktivitet i visse dele af året.
I en halvårsrapport sagde SecureWorks for eksempel, at deres hændelsesrespons-engagementer i maj og juni antydede, at den hastighed, hvormed vellykkede nye ransomware-angreb fandt sted, var blevet lidt langsommere.
SecureWorks identificerede tendensen som sandsynlig, i det mindste delvist, at have at gøre med afbrydelsen af Conti RaaS-driften i år og andre faktorer som f.eks. forstyrrende virkning af krigen i Ukraine på ransomware-bander.
En anden rapport fra Identity Theft Resource Center (ITRC), rapporterede et 20% fald i ransomware-angreb hvilket resulterede i et brud i andet kvartal af 2022 sammenlignet med årets første kvartal. ITRC identificerede ligesom SecureWorks faldet som at have at gøre med krigen i Ukraine og, væsentligt, med kollapset af kryptovalutaer, som ransomware-operatører foretrækker til betalinger.
Bryan Ware, CEO for LookingGlass, siger, at han tror på, at kryptokollapset kan hindre ransomware-operatører i 2023.
"Den nylige FTX-skandale har rykket kryptovalutaer, og dette påvirker indtægtsgenereringen af ransomware og gør det i det væsentlige uforudsigeligt," siger han. "Dette lover ikke godt for ransomware-operatører, da de bliver nødt til at overveje andre former for indtægtsgenerering på lang sigt."
Ware siger trends omkring kryptovalutaer har nogle ransomware-grupper, der overvejer at bruge deres egne kryptovalutaer: "Vi er usikre på, at dette vil blive til virkelighed, men overordnet set er ransomware-grupper bekymrede for, hvordan de vil tjene penge og bevare et vist niveau af anonymitet fremadrettet."
