Le nombre d'organisations victimes d'attaques de ransomwares a bondi de 143 % entre le premier trimestre 2022 et le premier trimestre de cette année, les attaquants tirant de plus en plus parti des vulnérabilités zero-day et des failles one-day pour s'introduire dans les réseaux cibles.
Dans bon nombre de ces attaques, les auteurs de menaces n'ont même pas pris la peine de chiffrer les données appartenant aux organisations victimes. Au lieu de cela, ils se sont concentrés uniquement sur le vol de leurs données sensibles et extorqué les victimes en menaçant de vendre ou de divulguer les données à d'autres. La tactique a laissé même ceux qui avaient des processus de sauvegarde et de restauration par ailleurs robustes dans un coin.
Une vague de victimes
Chercheurs chez Akamai découvert les tendances lorsqu'ils ont récemment analysé les données recueillies sur les sites de fuite appartenant à 90 groupes de rançongiciels. Les sites de fuites sont des emplacements où les groupes de rançongiciels publient généralement des détails sur leurs attaques, leurs victimes et toutes les données qu'ils pourraient avoir chiffrées ou exfiltrées.
L'analyse d'Akamai a montré que plusieurs notions populaires sur les attaques de ransomwares ne sont plus entièrement vraies. L'un des plus importants, selon l'entreprise, est le passage du phishing en tant que vecteur d'accès initial à l'exploitation des vulnérabilités. Akamai a constaté que plusieurs grands opérateurs de ransomwares se concentrent sur l'acquisition de vulnérabilités zero-day, soit par le biais de recherches internes, soit en se les procurant auprès de sources du marché gris, pour les utiliser dans leurs attaques.
Un exemple notable est le groupe de rançongiciels Cl0P, qui a abusé d'une vulnérabilité d'injection SQL zero-day dans le logiciel GoAnywhere de Fortra (CVE-2023-0669) plus tôt cette année pour percer dans de nombreuses entreprises de premier plan. En mai, le même pirate a abusé d'un autre bogue zero-day qu'il a découvert, cette fois dans l'application de transfert de fichiers MOVEIt de Progress Software (CVE-2023-34362) - pour infiltrer des dizaines de grandes organisations dans le monde. Akamai a constaté que le nombre de victimes de Cl0p avait été multiplié par neuf entre le premier trimestre de 2022 et le premier trimestre de cette année après avoir commencé à exploiter les bogues du jour zéro.
Bien que l'exploitation des vulnérabilités du jour zéro ne soit pas particulièrement nouvelle, la tendance émergente parmi les acteurs des rançongiciels à les utiliser dans des attaques à grande échelle est significative, a déclaré Akamai.
« Le développement en interne des vulnérabilités zero-day est particulièrement préoccupant », déclare Eliad Kimhy, responsable de l'équipe CORE d'Akamai security research. "Nous le voyons avec Cl0p avec leurs deux attaques majeures récentes, et nous nous attendons à ce que d'autres groupes suivent et exploitent leurs ressources pour acheter et trouver ces types de vulnérabilités."
Dans d'autres cas, de grandes équipes de rançongiciels telles que LockBit et ALPHV (alias BlackCat) ont causé des ravages en sautant sur des vulnérabilités nouvellement révélées avant que les organisations n'aient eu la possibilité d'appliquer le correctif du fournisseur pour elles. Des exemples de ces vulnérabilités « du premier jour » comprennent le Vulnérabilités PaperCut d'avril 2023 (CVE-2023-27350 et CVE-2023-27351) et des vulnérabilités des serveurs ESXi de VMware exploitées par l'opérateur de la campagne ESXiArgs.
Passer du chiffrement à l'exfiltration
Akamai a également constaté que certains opérateurs de ransomwares, tels que ceux à l'origine de la campagne BianLian, sont entièrement passés du chiffrement des données. à l'extorsion via le vol de données. La raison pour laquelle le changement est important est qu'avec le chiffrement des données, les organisations avaient une chance de récupérer leurs données verrouillées si elles disposaient d'un processus de sauvegarde et de restauration des données suffisamment robuste. Avec le vol de données, les organisations n'ont pas cette opportunité et doivent plutôt payer ou risquer que les acteurs de la menace divulguent publiquement leurs données - ou pire, les vendent à d'autres.
La diversification des techniques d'extorsion est remarquable, dit Kimhy. "L'exfiltration de données avait commencé comme un levier supplémentaire qui était en quelque sorte secondaire au chiffrement des fichiers", note Kimhy. "Aujourd'hui, nous le voyons être utilisé comme un levier principal pour l'extorsion, ce qui signifie que la sauvegarde de fichiers, par exemple, peut ne pas être suffisante."
La plupart des victimes de l'ensemble de données d'Akamai - environ 65 % d'entre elles, en fait - étaient des petites et moyennes entreprises dont les revenus déclarés pouvaient atteindre 50 millions de dollars. Les grandes organisations, souvent perçues comme les principales cibles des ransomwares, ne représentaient en réalité que 12 % des victimes. Les entreprises manufacturières ont subi un pourcentage disproportionné des attaques, suivies des entités de soins de santé et des entreprises de services financiers. De manière significative, Akamai a constaté que les organisations qui subissent une attaque de ransomware avaient une très forte probabilité de subir une deuxième attaque dans les trois mois suivant la première attaque.
Il est important de souligner qu'il est toujours très important de se défendre contre le phishing, dit Kimhy. Dans le même temps, les organisations doivent accorder la priorité à la correction des vulnérabilités nouvellement divulguées. Il ajoute : « [L]es mêmes recommandations que nous avons faites s'appliquent toujours, telles que la compréhension de l'adversaire, les surfaces de menace, les techniques utilisées, favorisées et développées, et en particulier les produits, les processus et les personnes que vous devez développer afin de arrêter une attaque de ransomware moderne.
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
- La source: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits
- :est
- :ne pas
- :où
- $UP
- 2022
- 7
- a
- A Propos
- accès
- Selon
- acquisition
- acteurs
- actually
- Supplémentaire
- Ajoute
- Après
- à opposer à
- aka
- aussi
- parmi
- an
- selon une analyse de l’Université de Princeton
- analysé
- et les
- Une autre
- tous
- Application
- Appliquer
- Avril
- SONT
- AS
- At
- attaquer
- Attaques
- soutenu
- sauvegarde
- BE
- est devenu
- était
- before
- derrière
- va
- jusqu'à XNUMX fois
- Big
- Le plus grand
- Pause
- Punaise
- bogues
- entreprises
- by
- Campagne
- causé
- Chance
- Sociétés
- Société
- Core
- Coin
- données
- détails
- développer
- développé
- Développement
- DID
- découvert
- diversification
- do
- des dizaines
- Plus tôt
- non plus
- économies émergentes.
- mettre en relief
- crypté
- chiffrement
- assez
- entièrement
- entités
- Pourtant, la
- exemple
- exemples
- exfiltration
- attendre
- d'experience
- expérimenté
- l'expérience
- exploitation
- Exploités
- exploitant
- exploits
- extorsion
- fait
- Déposez votre dernière attestation
- Fichiers
- la traduction de documents financiers
- services financiers
- entreprises
- Prénom
- Fixer
- défauts
- concentré
- suivre
- suivi
- Pour
- trouvé
- De
- d’étiquettes électroniques entièrement
- recueillies
- À l'échelle mondiale
- Réservation de groupe
- Groupes
- ait eu
- Vous avez
- ayant
- he
- front
- la médecine
- Haute
- haut profil
- HTTPS
- if
- important
- in
- comprendre
- de plus en plus
- initiale
- plutôt ;
- développement
- IT
- jpg
- grande échelle
- plus importantes
- fuite
- Fuites
- à gauche
- Levier
- à effet de levier
- en tirant parti
- emplacements
- fermé
- plus long
- LES PLANTES
- majeur
- Fabrication
- fabrication
- de nombreuses
- Mai..
- veux dire
- pourrait
- million
- Villas Modernes
- mois
- (en fait, presque toutes)
- beaucoup
- must
- Besoin
- réseaux
- Nouveauté
- nouvellement
- aucune
- notable
- Notes
- nombre
- nombreux
- of
- souvent
- on
- ONE
- uniquement
- opérateur
- opérateurs
- Opportunités
- or
- de commander
- organisations
- Autre
- Autres
- autrement
- ande
- particulièrement
- patcher
- Payer
- Personnes
- perçu
- pourcentage
- phishing
- Pivoter
- Platon
- Intelligence des données Platon
- PlatonDonnées
- Populaire
- primaire
- Prioriser
- processus
- les process
- Produits
- Progrès
- publiquement
- achat
- Trimestre
- ransomware
- Attaque de ransomware
- Attaques de ransomware
- raison
- récent
- récemment
- recommandations
- libérer
- Signalé
- un article
- Resources
- voitures classiques
- recettes
- Analyse
- robuste
- s
- Saïd
- même
- dit
- Deuxièmement
- secondaire
- sécurité
- sur le lien
- vendre
- Disponible
- sensible
- Serveurs
- Services
- plusieurs
- décalage
- montré
- significative
- de façon significative
- Sites
- petit
- So
- Logiciels
- uniquement
- quelques
- Identifier
- Sources
- j'ai commencé
- Encore
- Arrêter
- tel
- suffisant
- Combinaison
- se pose
- Surged
- Interrupteur
- Target
- objectifs
- équipe
- techniques
- qui
- Le
- vol
- leur
- Les
- Ces
- l'ont
- this
- cette année
- ceux
- menace
- acteurs de la menace
- trois
- Avec
- fiable
- à
- transférer
- Trend
- oui
- deux
- types
- typiquement
- compréhension
- utilisé
- d'utiliser
- vendeur
- très
- via
- Victime
- victimes
- vmware
- vulnérabilités
- vulnérabilité
- était
- façons
- we
- ont été
- Quoi
- quand
- qui
- comprenant
- dans les
- pire
- an
- Vous n'avez
- zéphyrnet
- bug du jour zéro
- vulnérabilités zero-day
