Ettevõtte turvameeskonnad saavad pidevalt kasvavasse lunavaraohtude loendisse, mida nad peavad jälgima, lisada veel kolm lunavara varianti.
Kolm varianti – Vohuk, ScareCrow ja AESRT – nagu enamik lunavaratööriistu, sihivad Windowsi süsteeme ja näivad vohavat suhteliselt kiiresti süsteemides, mis kuuluvad mitme riigi kasutajatele. Fortinet'i FortiGuard Labsi turvateadlased, kes sel nädalal ohte jälgivad, kirjeldasid, et lunavaranäidised on ettevõtte lunavaraandmebaasis haarde kogumas.
Fortineti analüüs kolmest ohust näitas, et need on standardsed lunavaratööriistad, mis on siiski olnud väga tõhusad ohustatud süsteemide andmete krüptimisel. Fortineti hoiatus ei tuvastanud, kuidas uute lunavaranäidiste operaatorid oma pahavara levitavad, kuid märkis, et andmepüügimeilid on tavaliselt olnud lunavaranakkuste levinuim levitaja.
Kasvav variantide arv
"Kui lunavara kasv 2022. aastal näitab, mida tulevik toob, peaksid turvameeskonnad kõikjal eeldama, et see ründevektor muutub 2023. aastal veelgi populaarsemaks," ütleb Fortinet's FortiGuard Labsi vanemturbeinsener Fred Gutierrez.
Vaid 2022. aasta esimesel poolel kasvas FortiGuard Labsi tuvastatud uute lunavaravariantide arv eelmise kuuekuulise perioodiga võrreldes peaaegu 100%, ütleb ta. FortiGuard Labsi meeskond dokumenteeris 10,666. aasta esimesel poolel 2022 5,400 uut lunavara varianti, 2021. aasta teisel poolel oli neid vaid XNUMX.
"Uute lunavaravariantide kasv tuleneb peamiselt sellest, et rohkem ründajaid kasutab pimedas veebis lunavara-teenusena (RaaS) ära," ütleb ta.
Ta lisab: "Lisaks on võib-olla kõige häirivam aspekt see, et me näeme hävitavamate lunavararünnakute arvu suurenemist nii ulatuslikult kui ka peaaegu kõigi sektoritüüpide lõikes, mis jätkub ka 2023. aastal."
Standardsed, kuid tõhusad lunavara tüved
Vohuki lunavaravariant, mida Fortineti teadlased analüüsisid, näis olevat oma kolmandas iteratsioonis, mis näitab, et selle autorid arendavad seda aktiivselt.
Pahavara viskab ohustatud süsteemidele lunaraha "README.txt", mis palub ohvritel võtta ründajaga unikaalse ID-ga meili teel ühendust, ütles Fortinet. Märkus teavitab ohvrit, et ründaja ei ole poliitiliselt motiveeritud, vaid on huvitatud ainult rahalisest kasust – arvatavasti veenmaks ohvreid, et nad saaksid nõutud lunaraha maksmisel oma andmed tagasi.
Vahepeal on "ScareCrow veel üks tüüpiline lunavara, mis krüpteerib ohvrite masinates olevaid faile," ütles Fortinet. "Selle lunarahateade, mis kannab ka pealkirja "readme.txt", sisaldab kolme Telegrami kanalit, mida ohvrid saavad kasutada ründajaga rääkimiseks."
Kuigi lunarahakiri ei sisalda konkreetseid rahalisi nõudeid, võib eeldada, et ohvrid peavad krüptitud failide taastamiseks lunaraha maksma, ütles Fortinet.
Turvamüüja uuringud näitasid ka mõningast kattumist ScareCrow ja kurikuulsa vahel Conti lunavara variant, üks viljakamaid lunavaratööriistu üldse. Mõlemad kasutavad näiteks failide krüptimiseks sama algoritmi ja nagu Conti, kustutab ScareCrow varikoopiad WMI käsurea utiliidi (wmic) abil, et muuta andmed nakatunud süsteemides taastamatuks.
VirusTotalile esitatud esildised viitavad sellele, et ScareCrow on nakatanud süsteeme USA-s, Saksamaal, Itaalias, Indias, Filipiinidel ja Venemaal.
Ja lõpuks, AESRT, kolmas uus lunavaraperekond, mille Fortinet hiljuti looduses märkas, on funktsionaalsusega, mis sarnaneb kahe ülejäänud ohuga. Peamine erinevus seisneb selles, et selle asemel, et jätta lunaraha, edastab pahavara hüpikakna ründaja meiliaadressiga ja välja, mis kuvab krüpteeritud failide dekrüpteerimise võtit, kui ohver on nõutud lunaraha tasunud.
Kas krüptokokkuvarisemine aeglustab lunavaraohtu?
Värsked variandid täiendavad pikka ja pidevalt kasvavat lunavaraohtude loendit, millega organisatsioonid peavad nüüd igapäevaselt tegelema, kuna lunavaraoperaatorid jätkavad ettevõtete organisatsioone lakkamatult.
Andmed lunavararünnakute kohta, mida LookingGlass selle aasta alguses analüüsis, näitasid, et neid oli 1,133 kinnitatud lunavararünnakut ainuüksi 2022. aasta esimesel poolel – millest enam kui pooled (52%) puudutasid USA ettevõtteid. LookingGlass leidis, et kõige aktiivsem lunavaragrupp oli LockBiti variandi taga, millele järgnesid Conti, Black Basta ja Alphy lunavara taga olevad rühmad.
Kuid aktiivsuse määr ei ole ühtlane. Mõned turbemüüjad teatasid, et täheldasid lunavara aktiivsuse mõningast aeglustumist teatud aastaaegadel.
Näiteks SecureWorks ütles keskaasta aruandes, et tema intsidentidele reageerimine mais ja juunis viitab sellele, et edukate uute lunavararünnakute toimumise kiirus on veidi aeglustunud.
SecureWorks tuvastas, et suundumus on tõenäoliselt vähemalt osaliselt tingitud Conti RaaS-i töö katkemisest sel aastal ja muudest teguritest, nagu Ukraina sõja häiriv mõju lunavaragruppide kohta.
Teine aruanne identiteedivarguse ressursikeskusest (ITRC) teatas lunavararünnakute 20% vähenemisest mille tulemuseks oli rikkumine 2022. aasta teises kvartalis võrreldes aasta esimese kvartaliga. ITRC, nagu ka SecureWorks, tuvastas, et langus oli seotud Ukraina sõjaga ja oluliselt krüptovaluutade kokkuvarisemisega, mida lunavaraoperaatorid maksete tegemiseks eelistavad.
LookingGlassi tegevjuht Bryan Ware ütleb, et ta usub, et krüptokokkuvarisemine võib 2023. aastal lunavaraoperaatoreid takistada.
"Hiljutine FTX-skandaal on tekitanud krüptovaluutasid ja see mõjutab lunavara monetiseerimist ja muudab selle sisuliselt ettearvamatuks," ütleb ta. "See ei tõota lunavaraoperaatoritele head, kuna nad peavad pikas perspektiivis kaaluma muid raha teenimise vorme."
Ware ütleb suundumused krüptovaluutade ümber on mõned lunavararühmad, kes kaaluvad oma krüptovaluutade kasutamist: "Me pole kindlad, et see teoks saab, kuid üldiselt on lunavararühmad mures selle pärast, kuidas nad tulevikus raha teenivad ja mingil määral anonüümsust säilitavad."
