Ransomware Victims lisääntyy, kun uhkatoimijat siirtyvät nollapäivän hyväksikäyttöön

Kiristysohjelmahyökkäysten uhreiksi joutuneiden organisaatioiden määrä kasvoi 143 % vuoden 2022 ensimmäisen neljänneksen ja tämän vuoden ensimmäisen neljänneksen välillä, kun hyökkääjät hyödynsivät yhä enemmän nollapäivän haavoittuvuuksia ja yhden päivän virheitä murtautuakseen kohdeverkkoihin.

Monissa näistä hyökkäyksistä uhkatoimijat eivät niinkään vaivautuneet salaamaan uhriorganisaatioille kuuluvia tietoja. Sen sijaan he keskittyivät vain arkaluonteisten tietojensa varastamiseen ja uhrien kiristämiseen uhkaamalla myydä tai vuotaa tiedot muille. Taktiikka jätti jopa ne, joilla oli muutoin vahvat varmuuskopiointi- ja palautusprosessit, perääntymään nurkkaan.

Uhrien nousu

Akamain tutkijat löysi trendejä kun he äskettäin analysoivat tietoja, jotka on kerätty 90 lunnasohjelmaryhmään kuuluvilta vuotosivustoilta. Vuotosivustot ovat paikkoja, joissa kiristysohjelmaryhmät yleensä julkaisevat tietoja hyökkäyksistään, uhreistaan ​​ja kaikista tiedoista, jotka ne ovat saaneet salata tai suodattaa.

Akamain analyysi osoitti, että useat suositut käsitykset kiristysohjelmahyökkäyksistä eivät enää pidä täysin paikkaansa. Yrityksen mukaan yksi merkittävimmistä on siirtyminen tietojenkalasteluista haavoittuvuuden hyväksikäyttöön. Akamai havaitsi, että useat suuret ransomware-operaattorit ovat keskittyneet hankkimaan nollapäivän haavoittuvuuksia – joko oman tutkimuksen kautta tai hankkimalla ne harmailta markkinoilta – käytettäväksi hyökkäyksissään.

Yksi merkittävä esimerkki on Cl0P-lunnasohjelmaryhmä, joka käytti väärin Fortran GoAnywhere-ohjelmiston nollapäivän SQL-injektion haavoittuvuutta (CVE-2023-0669) aiemmin tänä vuonna murtautua lukuisiin korkean profiilin yrityksiin. Toukokuussa sama uhkatoimija käytti väärin toista nollapäivän virhettä, jonka se löysi – tällä kertaa Progress Softwaren MOVEIT-tiedostonsiirtosovelluksessa (CVE-2023-34362) — soluttautua kymmeniin suuriin organisaatioihin maailmanlaajuisesti. Akamai havaitsi, että Cl0p:n uhrien määrä yhdeksänkertaistui vuoden 2022 ensimmäisen neljänneksen ja tämän vuoden ensimmäisen neljänneksen välillä sen jälkeen, kun se alkoi hyödyntää nollapäivän vikoja.

Vaikka nollapäivän haavoittuvuuksien hyödyntäminen ei ole erityisen uutta, kiristysohjelmien toimijoiden nouseva suuntaus käyttää niitä laajamittaisissa hyökkäyksissä on merkittävä, Akamai sanoi.

"Erityisen huolestuttavaa on nollapäivän haavoittuvuuksien oma kehittäminen", sanoo Eliad Kimhy, Akamain tietoturvatutkimuksen CORE-tiimin johtaja. "Näemme tämän Cl0p:n kanssa heidän kahdessa viimeaikaisessa suuressa hyökkäyksessä, ja odotamme muiden ryhmien seuraavan perässä ja hyödyntävän resurssejaan ostaakseen ja hankkiakseen tällaisia ​​haavoittuvuuksia."

Toisissa tapauksissa suuret kiristysohjelmat, kuten LockBit ja ALPHV (alias BlackCat), aiheuttivat tuhoa hyppäämällä äskettäin paljastettuihin haavoittuvuuksiin ennen kuin organisaatiot ehtivät soveltaa toimittajan korjausta niihin. Esimerkkejä tällaisista "ykköspäivän" haavoittuvuuksista ovat mm PaperCut-haavoittuvuudet huhtikuussa 2023 (CVE-2023-27350 ja CVE-2023-27351) ja haavoittuvuuksia VMwaren ESXi-palvelimissa, joita ESXiArgs-kampanjan operaattori käytti hyväkseen.

Siirtyminen salauksesta suodattamiseen

Akamai havaitsi myös, että jotkin ransomware-operaattorit – kuten BianLian-kampanjan takana olevat – ovat siirtyneet kokonaan tietojen salauksesta. kiristykseen tietovarkauksilla. Syy vaihtoon on merkittävä, koska tietojen salauksella organisaatioilla oli mahdollisuus noutaa lukitut tietonsa, jos niillä oli riittävän vankka tietojen varmuuskopiointi- ja palautusprosessi. Tietovarkauksien yhteydessä organisaatioilla ei ole tätä mahdollisuutta, ja sen sijaan niiden on joko maksettava tai uhkaava, että uhkatekijät vuotavat tietojaan julkisesti - tai mikä pahempaa, myyvät ne muille.

Kiristystekniikoiden monipuolistuminen on huomattavaa, Kimhy sanoo. "Tiedon suodattaminen oli alkanut lisävipuvaikutuksena, joka oli jollain tapaa toissijainen tiedostojen salauksen kannalta", Kimhy toteaa. "Nykyään näemme, että sitä käytetään ensisijaisena vipuvaikutuksena kiristykseen, mikä tarkoittaa, että esimerkiksi tiedostojen varmuuskopiointi ei välttämättä riitä."

Suurin osa Akamain tietojoukon uhreista – itse asiassa noin 65 % heistä – oli pieniä tai keskisuuria yrityksiä, joiden raportoitu liikevaihto oli jopa 50 miljoonaa dollaria. Suuremmat organisaatiot, joita usein pidettiin suurimpana kiristysohjelmien kohteina, muodostivat itse asiassa vain 12 % uhreista. Teollisuusyritykset kokivat suhteettoman suuren osuuden hyökkäyksistä, ja seuraavaksi tulivat terveydenhuoltoalan yritykset ja rahoituspalveluyritykset. Merkittävää on, että Akamai havaitsi, että ransomware-hyökkäyksen kokeneet organisaatiot kokevat erittäin suurella todennäköisyydellä toisen hyökkäyksen kolmen kuukauden sisällä ensimmäisestä hyökkäyksestä.

On tärkeää korostaa, että tietojenkalastelulta on edelleen erittäin tärkeää suojautua, Kimhy sanoo. Samaan aikaan organisaatioiden on asetettava etusijalle äskettäin paljastettujen haavoittuvuuksien korjaus. Hän lisää: "Samoja suosituksia, joita olemme tehneet, pätevät edelleen, kuten vihollisen ymmärtäminen, uhkapinnat, käytetyt, suositellut ja kehitetyt tekniikat ja erityisesti mitä tuotteita, prosesseja ja ihmisiä sinun on kehitettävä, jotta pysäyttää nykyaikainen kiristysohjelmahyökkäys."

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits