Lunavaraohvrite arv kasvab, kuna ähvardusnäitlejad pöörduvad nullpäeva rünnakute poole

Lunavararünnakute ohvriks langenud organisatsioonide arv kasvas 143. aasta esimese kvartali ja selle aasta esimese kvartali vahel 2022%, kuna ründajad kasutasid sihtvõrkudesse tungimiseks järjest enam nullpäeva turvaauke ja ühepäevaseid vigu.

Paljude nende rünnakute puhul ei vaevunud ohus osalejad niivõrd krüpteerima ohvriorganisatsioonidele kuuluvaid andmeid. Selle asemel keskendusid nad ainult oma tundlike andmete varastamisele ja ohvrite väljapressimisele, ähvardades neid andmeid teistele müüa või lekitada. Taktika jättis nurka isegi need, kellel oli muidu jõuline varundus- ja taastamisprotsess.

Ohvrite tõus

Akamai teadlased avastanud trendid kui nad hiljuti analüüsisid 90 lunavararühma kuuluvatelt lekkesaitidelt kogutud andmeid. Lekkekohad on kohad, kus lunavararühmad avaldavad tavaliselt üksikasju oma rünnakute, ohvrite ja mis tahes andmete kohta, mille nad võivad olla krüpteerinud või välja filtreerinud.

Akamai analüüs näitas, et mitmed populaarsed arusaamad lunavararünnakute kohta ei vasta enam täielikult tõele. Üks olulisemaid ettevõtte sõnul on üleminek andmepüügilt kui esialgselt juurdepääsuvektorilt haavatavuse ärakasutamisele. Akamai leidis, et mitmed suuremad lunavaraoperaatorid on keskendunud nullpäeva turvaaukude hankimisele – kas ettevõttesisese uurimistöö või hallist turu allikatest hankides, et neid oma rünnakutes kasutada.

Üks tähelepanuväärne näide on Cl0P lunavaragrupp, mis kuritarvitas Fortra GoAnywhere tarkvara nullpäevase SQL-i süstimise haavatavust (CVE-2023-0669) selle aasta alguses, et murda paljudesse kõrgetasemelistesse ettevõtetesse. Mais kuritarvitas sama ohutegija veel üht nullpäeva viga, mille ta avastas – seekord Progress Software'i failiedastusrakenduses MOVEIT (CVE-2023-34362) — imbuda kümnetesse suurematesse organisatsioonidesse kogu maailmas. Akamai leidis, et Cl0p ohvrite arv kasvas 2022. aasta esimese kvartali ja selle aasta esimese kvartali vahel üheksa korda pärast seda, kui ta hakkas kasutama nullpäeva vigu.

Kuigi nullpäeva haavatavuste võimendamine pole eriti uus, on lunavarategijate seas tekkiv suundumus neid suuremahulistes rünnakutes kasutada, ütles Akamai.

"Eriti murettekitav on nullpäeva haavatavuste majasisene arendamine," ütleb Eliad Kimhy, Akamai turbeuuringute CORE meeskonna juht. "Me näeme seda Cl0p puhul nende kahe hiljutise suurema rünnakuga ja eeldame, et teised rühmad järgivad eeskuju ja kasutavad oma ressursse seda tüüpi haavatavuste ostmiseks ja hankimiseks."

Muudel juhtudel põhjustasid suured lunavarakomplektid, nagu LockBit ja ALPHV (teise nimega BlackCat), kaost, hüpates äsja avalikustatud haavatavustele enne, kui organisatsioonid said võimaluse rakendada nende jaoks müüja parandust. Selliste "esimese päeva" haavatavuste näidete hulka kuuluvad PaperCuti 2023. aasta aprilli haavatavused (CVE-2023-27350 ja CVE-2023-27351) ja VMware ESXi serverite haavatavused, mida ESXiArgs kampaania operaator ära kasutas.

Pöördumine krüptimiselt eksfiltreerimisele

Akamai leidis ka, et mõned lunavaraoperaatorid – näiteks BianLiani kampaania taga – on täielikult andmete krüptimisest lähtunud. väljapressimine andmete varguse kaudu. Põhjus, miks ümberlülitumine on oluline, seisneb selles, et andmete krüptimisega oli organisatsioonidel võimalus oma lukustatud andmed hankida, kui neil oli piisavalt jõuline andmete varundamise ja taastamise protsess. Andmete varguse korral ei ole organisatsioonidel seda võimalust ja selle asemel peavad nad kas maksma või riskima sellega, et ohus osalejad oma andmeid avalikult lekitavad või mis veelgi hullem, müüvad need teistele.

Väljapressimistehnikate mitmekesistamine on märkimisväärne, ütleb Kimhy. "Andmete väljafiltreerimine sai alguse täiendavast hoovast, mis oli mõnes mõttes teisejärguline failide krüptimisel," märgib Kimhy. "Tänapäeval näeme, et seda kasutatakse väljapressimisel peamise vahendina, mis tähendab, et näiteks failide varundamine ei pruugi olla piisav."

Enamik Akamai andmekogus olevaid ohvreid – umbes 65% neist – olid väikesed kuni keskmise suurusega ettevõtted, mille tulud ulatusid kuni 50 miljoni dollarini. Suuremad organisatsioonid, mida sageli peetakse suurimateks lunavara sihtmärkideks, moodustasid tegelikult vaid 12% ohvritest. Tootmisettevõtted kogesid ebaproportsionaalselt suurt osa rünnakutest, järgnesid tervishoiuüksused ja finantsteenuste ettevõtted. Märkimisväärne on see, et Akamai leidis, et organisatsioonidel, kes kogevad lunavararünnakut, oli väga suur tõenäosus kogeda teist rünnakut kolme kuu jooksul pärast esimest rünnakut.

Oluline on rõhutada, et andmepüügi vastu on endiselt väga oluline kaitsta, ütleb Kimhy. Samal ajal peavad organisatsioonid seadma esikohale äsja avalikustatud turvaaukude lappimise. Ta lisab: "Samad soovitused, mida oleme andnud, kehtivad endiselt, näiteks vastase mõistmine, ohupinnad, kasutatavad, eelistatud ja arendatud tehnikad ning eelkõige see, milliseid tooteid, protsesse ja inimesi peate selleks, et peatada kaasaegne lunavararünnak.

• SEO-põhise sisu ja PR-levi. Võimenduge juba täna.
• PlatoData.Network Vertikaalne generatiivne Ai. Jõustage ennast. Juurdepääs siia.
• PlatoAiStream. Web3 luure. Täiustatud teadmised. Juurdepääs siia.
• PlatoESG. Autod/elektrisõidukid, Süsinik, CleanTech, Energia, Keskkond päikeseenergia, Jäätmekäitluse. Juurdepääs siia.
• BlockOffsets. Keskkonnakompensatsiooni omandi ajakohastamine. Juurdepääs siia.
• Allikas: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits