Yritysten tietoturvatiimit voivat lisätä kolme muuta kiristysohjelmaversiota jatkuvasti kasvavaan kiristysohjelmauhkien luetteloon, joita heidän on valvottava.
Kolme muunnelmaa – Vohuk, ScareCrow ja AESRT – kuten useimmat kiristysohjelmatyökalut, kohdistuvat Windows-järjestelmiin ja näyttävät lisääntyvän suhteellisen nopeasti järjestelmissä, jotka kuuluvat useiden maiden käyttäjille. Fortinetin FortiGuard Labsin tietoturvatutkijat, jotka seuraavat uhkia tällä viikolla, kuvailivat ransomware-näytteitä saavan pitoa yrityksen ransomware-tietokannassa.
Fortinetin analyysi kolmesta uhasta osoitti, että ne olivat sellaisia standardeja kiristysohjelmatyökaluja, jotka ovat kuitenkin olleet erittäin tehokkaita salaamaan tietoja vaarantuneissa järjestelmissä. Fortinetin hälytys ei tunnistanut, kuinka uusien ransomware-näytteiden operaattorit levittävät haittaohjelmiaan, mutta se huomautti, että tietojenkalasteluviestit ovat tyypillisesti olleet yleisin ransomware-tartuntojen vektori.
Kasvava määrä vaihtoehtoja
"Jos kiristysohjelmien kasvu vuonna 2022 osoittaa, mitä tulevaisuus tuo tullessaan, turvallisuustiimien pitäisi kaikkialla odottaa tämän hyökkäysvektorin kasvavan entistä suositummaksi vuonna 2023", sanoo Fred Gutierrez, Fortinetin FortiGuard Labsin vanhempi tietoturvainsinööri.
Vain vuoden 2022 ensimmäisellä puoliskolla FortiGuard Labsin tunnistamien uusien kiristysohjelmaversioiden määrä kasvoi lähes 100 % edelliseen kuuden kuukauden jaksoon verrattuna, hän sanoo. FortiGuard Labs -tiimi dokumentoi 10,666 2022 uutta kiristysohjelmaversiota vuoden 5,400 ensimmäisellä puoliskolla, kun niitä vuoden 2021 toisella puoliskolla oli vain XNUMX XNUMX.
"Tämä uusien ransomware-versioiden kasvu johtuu ensisijaisesti siitä, että yhä useammat hyökkääjät hyödyntävät ransomware-as-a-service (RaaS) -palvelua Dark Webissä", hän sanoo.
Hän lisää: "Lisäksi ehkä huolestuttavin näkökohta on se, että näemme tuhoisempien kiristysohjelmahyökkäysten lisääntyvän laajassa mittakaavassa ja käytännöllisesti katsoen kaikilla sektoreilla, minkä odotamme jatkuvan vuonna 2023."
Normaalit mutta tehokkaat Ransomware-kannat
Fortinetin tutkijoiden analysoima Vohuk-lunnasohjelmavariantti näytti olevan kolmannessa iteraatiossaan, mikä osoittaa, että sen tekijät kehittävät sitä aktiivisesti.
Haittaohjelma pudottaa vaarantuneisiin järjestelmiin lunnaitalokuvan, "README.txt", joka pyytää uhreja ottamaan yhteyttä hyökkääjään sähköpostitse yksilöllisen tunnuksen avulla, Fortinet sanoi. Muistiossa kerrotaan uhrille, että hyökkääjä ei ole poliittisesti motivoitunut, vaan hän on kiinnostunut vain taloudellisesta hyödystä - oletettavasti vakuuttaakseen uhrit, että he saisivat tietonsa takaisin, jos he maksaisivat vaaditun lunnaan.
Samaan aikaan "ScareCrow on toinen tyypillinen kiristysohjelma, joka salaa tiedostoja uhrien koneilla", Fortinet sanoi. "Sen lunnausviesti, jonka otsikko on myös "readme.txt", sisältää kolme Telegram-kanavaa, joita uhrit voivat käyttää puhuakseen hyökkääjän kanssa."
Vaikka lunnaat eivät sisällä erityisiä taloudellisia vaatimuksia, on turvallista olettaa, että uhrien on maksettava lunnaita salattujen tiedostojen palauttamiseksi, Fortinet sanoi.
Tietoturvatoimittajan tutkimus osoitti myös päällekkäisyyttä ScareCrow'n ja surullisen kuuluisan välillä Conti ransomware -versio, yksi tuotteliaimmista lunnasohjelmatyökaluista koskaan. Molemmat esimerkiksi käyttävät samaa algoritmia tiedostojen salaamiseen, ja aivan kuten Conti, ScareCrow poistaa varjokopiot WMI-komentorivityökalulla (wmic) tehdäkseen tietojen palauttamisesta tartunnan saaneissa järjestelmissä.
VirusTotalille lähetetyt tiedot viittaavat siihen, että ScareCrow on tartuttanut järjestelmiä Yhdysvalloissa, Saksassa, Italiassa, Intiassa, Filippiineillä ja Venäjällä.
Ja lopuksi, AESRT, kolmas uusi kiristysohjelmaperhe, jonka Fortinet havaitsi äskettäin luonnossa, sisältää toiminnallisuuden, joka on samanlainen kuin kaksi muuta uhkaa. Suurin ero on, että sen sijaan, että haittaohjelma jättäisi lunnaita, se toimittaa ponnahdusikkunan, jossa on hyökkääjän sähköpostiosoite ja kenttä, joka näyttää avaimen salattujen tiedostojen salauksen purkamiseen, kun uhri on maksanut vaaditun lunnaan.
Hidastaako krypton romahtaminen kiristysohjelmien uhkaa?
Uudet versiot täydentävät pitkää – ja jatkuvasti kasvavaa – luetteloa kiristyshaittaohjelmista, joita organisaatioiden on nyt käsiteltävä päivittäin, kun kiristyshaittaohjelmien operaattorit hyökkäävät jatkuvasti yritysorganisaatioita vastaan.
Tiedot kiristysohjelmahyökkäyksistä, jotka LookingGlass analysoi aiemmin tänä vuonna, osoittivat, että niitä oli olemassa 1,133 XNUMX vahvistettua kiristysohjelmahyökkäystä pelkästään vuoden 2022 ensimmäisellä puoliskolla – yli puolet (52 %) koski yhdysvaltalaisia yrityksiä. LookingGlass havaitsi, että aktiivisin kiristysohjelmaryhmä oli LockBit-variantin takana oleva ryhmä, jota seurasivat Contin, Black Bastan ja Alphyn ransomwaren takana olevat ryhmät.
Aktiivisuus ei kuitenkaan ole tasaista. Jotkut tietoturvatoimittajat ilmoittivat havainneensa kiristyshaittaohjelmien toiminnan lievää hidastumista tiettyinä osina vuotta.
Esimerkiksi SecureWorks sanoi vuoden puolivälissä tekemässään raportissa, että sen touko- ja kesäkuun tapahtumat reagoivat siihen, että onnistuneiden uusien kiristysohjelmahyökkäysten nopeus oli hidastunut hieman.
SecureWorks havaitsi, että trendi johtui todennäköisesti ainakin osittain Conti RaaS:n toiminnan katkeamisesta tänä vuonna ja muista tekijöistä, kuten Ukrainan sodan häiritsevä vaikutus ransomware-ryhmissä.
Toinen raportti, Identity Theft Resource Center (ITRC) ilmoitti 20 prosentin laskun kiristysohjelmahyökkäysten määrässä joka johti rikkomiseen vuoden 2022 toisella neljänneksellä verrattuna vuoden ensimmäiseen neljännekseen. ITRC, kuten SecureWorks, havaitsi laskun liittyvän Ukrainan sotaan ja merkittävässä määrin ransomware-operaattoreiden maksuissa suosimien kryptovaluuttojen romahtamiseen.
LookingGlassin toimitusjohtaja Bryan Ware sanoo uskovansa, että krypton romahdus voi haitata lunnasohjelmien operaattoreita vuonna 2023.
"Äskettäisessä FTX-skandaalissa kryptovaluutat ovat pahentuneet, ja tämä vaikuttaa kiristysohjelmien kaupallistamiseen ja tekee siitä olennaisesti arvaamattoman", hän sanoo. "Tämä ei lupaa hyvää ransomware-operaattoreille, koska heidän on harkittava muita kaupallistamisen muotoja pitkällä aikavälillä."
Ware sanoo kryptovaluuttojen trendejä Jotkut kiristysohjelmaryhmät harkitsevat omien kryptovaluuttojensa käyttöä: "Emme ole varmoja, että tämä toteutuu, mutta kaiken kaikkiaan kiristysohjelmaryhmät ovat huolissaan siitä, kuinka ne ansaitsevat rahaa ja säilyttävät jonkin verran anonymiteetin jatkossa."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
