Megszaporodnak a zsarolóvírus-áldozatok, miközben a fenyegetés szereplői a nulladik napi kizsákmányolás felé fordulnak

Megszaporodnak a zsarolóvírus-áldozatok, miközben a fenyegetés szereplői a nulladik napi kizsákmányolás felé fordulnak

Időbélyeg: 7. augusztus 2023. 10:00
Megszaporodnak a zsarolóvírus-áldozatok, amikor a fenyegetés szereplői a PlatoBlockchain adatintelligencia nulladik napi kihasználása felé fordulnak. Függőleges keresés. Ai.

A ransomware támadások áldozatává vált szervezetek száma 143%-kal nőtt 2022 első negyedéve és az idei év első negyedéve között, mivel a támadók egyre inkább kihasználták a nulladik napi sebezhetőségeket és az egynapos hibákat, hogy betörjenek a célhálózatokba.

Sok ilyen támadásnál a fenyegetés szereplői nem annyira, mint inkább az áldozatszervezetekhez tartozó adatok titkosításával foglalkoztak. Ehelyett kizárólag az érzékeny adataik ellopására és az áldozatok kizsarolására összpontosítottak azzal fenyegetve, hogy eladják vagy kiszivárogtatják az adatokat másoknak. A taktika még az egyébként robusztus mentési és visszaállítási folyamattal rendelkezőket is sarokba szorította.

Az áldozatok túlfeszültsége

Az Akamai kutatói felfedezte a trendeket amikor a közelmúltban 90 ransomware csoporthoz tartozó kiszivárogtató oldalakról gyűjtött adatokat elemezték. A kiszivárogtató webhelyek olyan helyek, ahol a ransomware-csoportok jellemzően részleteket adnak ki támadásaikról, áldozatairól és minden olyan adatról, amelyet esetleg titkosítottak vagy kiszűrtek.

Az Akamai elemzése kimutatta, hogy a ransomware támadásokkal kapcsolatos számos népszerű elképzelés már nem teljesen igaz. A vállalat szerint az egyik legjelentősebb az adathalászatról, mint kezdeti hozzáférési vektorról a sebezhetőségek kihasználására való elmozdulás. Az Akamai azt találta, hogy több nagy zsarolóprogram-üzemeltető arra összpontosít, hogy nulladik napi sebezhetőséget szerezzen – akár házon belüli kutatások révén, akár szürkepiaci forrásokból szerezve be –, hogy ezeket támadásaikban felhasználhassa.

Az egyik figyelemre méltó példa a Cl0P ransomware csoport, amely visszaélt a Fortra GoAnywhere szoftverének nulladik napi SQL-injekciós sebezhetőségével (CVE-2023 0669-) az év elején, hogy betörjön számos előkelő cégbe. Májusban ugyanez a fenyegetés szereplője visszaélt egy másik nulladik napi hibával – ezúttal a Progress Software MOVEIT fájlátviteli alkalmazásában (CVE-2023 34362-) – beszivárogni több tucat nagy szervezetbe világszerte. Akamai megállapította, hogy a Cl0p áldozatainak száma kilencszeresére nőtt 2022 első negyedéve és az idei év első negyedéve között, miután elkezdte kihasználni a nulladik napi hibákat.

Bár a nulladik napi sebezhetőségek kihasználása nem különösebben új keletű, a zsarolóvírus-szereplők körében jelentős az a tendencia, hogy ezeket nagyszabású támadásokban használják fel, mondta Akamai.

„Különösen aggasztó a nulladik napi sebezhetőségek házon belüli fejlesztése” – mondja Eliad Kimhy, az Akamai biztonsági kutatás CORE csapatának vezetője. „Ezt látjuk a Cl0p-nél a közelmúltban végrehajtott két jelentős támadásukkal, és azt várjuk, hogy más csoportok is kövessék a példát, és kihasználják erőforrásaikat az ilyen típusú sebezhetőségek megvásárlására és beszerzésére.”

Más esetekben az olyan nagy zsarolóprogramok, mint a LockBit és az ALPHV (más néven BlackCat), pusztítást okoztak azáltal, hogy ráugrottak az újonnan feltárt sebezhetőségekre, mielőtt a szervezeteknek lehetőségük lett volna rájuk alkalmazni az eladó javítását. Ilyen „első nap” sebezhetőség például a A PaperCut 2023. áprilisi biztonsági rései (CVE-2023-27350 és CVE-2023-27351), valamint a VMware ESXi szervereinek biztonsági réseit, amelyeket az ESXiArgs kampány üzemeltetője kihasznált.

Váltás a titkosításról a kiszűrésre

Az Akamai azt is megállapította, hogy egyes ransomware-üzemeltetők – például a BianLian kampány mögött állók – teljes mértékben az adattitkosításra támaszkodtak. adatlopással történő zsarolásra. A váltás azért jelentős, mert az adattitkosítással a szervezeteknek esélyük volt visszakeresni a zárolt adataikat, ha elég robusztus adatmentési és visszaállítási folyamattal rendelkeztek. Az adatlopás esetén a szervezeteknek nincs lehetőségük erre, ehelyett vagy fizetniük kell, vagy meg kell kockáztatniuk, hogy a fenyegetett szereplők nyilvánosan kiszivárogtatják adataikat – vagy ami még rosszabb, eladják azokat másoknak.

A zsarolási technikák változatossága figyelemre méltó, mondja Kimhy. „Az adatok kiszűrése olyan kiegészítő eszközként indult, amely bizonyos szempontból másodlagos volt a fájlok titkosítása mellett” – jegyzi meg Kimhy. „Ma azt látjuk, hogy a zsarolás elsődleges eszközeként használják, ami azt jelenti, hogy például a fájlok biztonsági mentése nem biztos, hogy elegendő.”

Az Akamai adatkészletében szereplő áldozatok többsége – valójában mintegy 65%-uk – kis- és közepes méretű vállalkozások voltak, amelyek bevétele elérte az 50 millió dollárt. A nagyobb szervezetek, amelyeket gyakran a legnagyobb zsarolóvírus-célpontnak tekintenek, valójában csak az áldozatok 12%-át tették ki. A támadások aránytalan százalékát a gyártó vállalatok érték el, ezt követték az egészségügyi és pénzügyi szolgáltató cégek. Figyelemre méltó, hogy az Akamai azt találta, hogy a ransomware támadást átélt szervezetek nagyon nagy valószínűséggel tapasztalnak egy második támadást az első támadást követő három hónapon belül.

Fontos hangsúlyozni, hogy az adathalászat ellen továbbra is nagyon fontos védekezni – mondja Kimhy. Ugyanakkor a szervezeteknek prioritásként kell kezelniük az újonnan feltárt sebezhetőségek javítását. Hozzáteszi: „Az általunk megfogalmazott ajánlások továbbra is érvényesek, mint például az ellenfél megértése, a fenyegetési felületek, a használt, előnyben részesített és fejlesztett technikák, és különösen, hogy milyen termékeket, folyamatokat és embereket kell fejlesztenie ahhoz, hogy állítsa le a modern ransomware támadást."

Időbélyeg:

Még több Sötét olvasmány