A vállalati biztonsági csapatok további három ransomware-változatot adhatnak a folyamatosan bővülő ransomware-fenyegetések listájához, amelyeket figyelniük kell.
A három változat – Vohuk, ScareCrow és AESRT – a legtöbb ransomware eszközhöz hasonlóan Windows rendszereket céloz meg, és úgy tűnik, hogy viszonylag gyorsan elterjed a több ország felhasználóihoz tartozó rendszereken. A Fortinet FortiGuard Labs biztonsági kutatói, akik ezen a héten követik a fenyegetéseket, úgy írták le, hogy a zsarolóvírus-minták egyre nagyobb teret hódítanak a vállalat zsarolóprogram-adatbázisában.
Fortinet elemzése a három fenyegetés közül azt mutatták ki, hogy olyan szabványos ransomware eszközök, amelyek mindazonáltal nagyon hatékonyan titkosították az adatokat a feltört rendszereken. A Fortinet riasztása nem azonosította, hogy az új ransomware minták üzemeltetői hogyan terjesztik a rosszindulatú programjaikat, de megjegyezte, hogy az adathalász e-mailek jellemzően a zsarolóprogram-fertőzések leggyakoribb vektorai.
Növekvő számú változat
„Ha a zsarolóvírusok terjedése 2022-ben jelzi, mit hoz a jövő, a biztonsági csapatoknak mindenhol számítaniuk kell arra, hogy ez a támadási vektor 2023-ban még népszerűbbé válik” – mondja Fred Gutierrez, a Fortinet FortiGuard Labs vezető biztonsági mérnöke.
Csak 2022 első felében a FortiGuard Labs által azonosított új ransomware-változatok száma közel 100%-kal nőtt az előző hat hónapos időszakhoz képest, mondja. A FortiGuard Labs csapata 10,666 2022 új zsarolóvírus-változatot dokumentált 5,400 első felében, míg 2021 második felében mindössze XNUMX XNUMX.
„Az új ransomware-változatok növekedése elsősorban annak köszönhető, hogy egyre több támadó használja ki a ransomware-as-a-service (RaaS) előnyeit a Dark Web-en” – mondja.
Hozzáteszi: „Emellett talán a legzavaróbb az, hogy a pusztítóbb ransomware támadások számának növekedését tapasztaljuk nagymértékben és gyakorlatilag minden szektortípusban, ami várhatóan 2023-ban is folytatódni fog.”
Szabványos, de hatékony Ransomware törzsek
A Fortinet kutatói által elemzett Vohuk ransomware-változat a harmadik iterációnál jár, ami azt jelzi, hogy a szerzők aktívan fejlesztik.
A rosszindulatú program „README.txt” váltságdíjat dob a feltört rendszerekre, amely arra kéri az áldozatokat, hogy egyedi azonosítóval e-mailben vegyék fel a kapcsolatot a támadóval – mondta el Fortinet. A feljegyzés arról tájékoztatja az áldozatot, hogy a támadó nem politikai indíttatású, hanem csak anyagi haszonra vágyik – vélhetően azért, hogy megnyugtassa az áldozatokat, visszakapják adataikat, ha kifizetik a követelt váltságdíjat.
Eközben „a ScareCrow egy másik tipikus zsarolóprogram, amely az áldozatok gépein lévő fájlokat titkosítja” – mondta Fortinet. „A váltságdíjról szóló feljegyzése, amely szintén a „readme.txt” nevet viseli, három Telegram-csatornát tartalmaz, amelyek segítségével az áldozatok beszélhetnek a támadóval.
Bár a váltságdíj-jegyzet nem tartalmaz konkrét pénzügyi követeléseket, nyugodtan feltételezhető, hogy az áldozatoknak váltságdíjat kell fizetniük a titkosított fájlok visszaállításáért – mondta Fortinet.
A biztonsági gyártó kutatása némi átfedést is kimutatott a ScareCrow és a hírhedt között Conti ransomware változat, a valaha volt egyik legtermékenyebb ransomware eszköz. Mindkettő például ugyanazt az algoritmust használja a fájlok titkosításához, és a Contihoz hasonlóan a ScareCrow is törli az árnyékmásolatokat a WMI parancssori segédprogram (wmic) segítségével, hogy az adatokat visszaállíthatatlanná tegye a fertőzött rendszereken.
A VirusTotalnak benyújtott beadványok arra utalnak, hogy a ScareCrow rendszereket fertőzött meg az Egyesült Államokban, Németországban, Olaszországban, Indiában, a Fülöp-szigeteken és Oroszországban.
És végül, az AESRT, a harmadik új zsarolóprogram-család, amelyet a Fortinet nemrégiben észlelt a vadonban, olyan funkciókkal rendelkezik, amelyek hasonlóak a másik két fenyegetéshez. A fő különbség az, hogy ahelyett, hogy váltságdíjat hagyna, a rosszindulatú program egy felugró ablakot jelenít meg a támadó e-mail címével, és egy mezőt, amely megjeleníti a titkosított fájlok visszafejtéséhez szükséges kulcsot, miután az áldozat kifizette a váltságdíjat.
A kriptográfiai összeomlás lassítja a zsarolóvírus-fenyegetést?
A friss változatok kiegészítik a ransomware-fenyegetések hosszú – és folyamatosan bővülő – listáját, amelyekkel a szervezeteknek már naponta meg kell küzdeniük, mivel a zsarolóprogram-üzemeltetők könyörtelenül csapnak le a vállalati szervezetekre.
A LookingGlass az év elején elemzett zsarolóprogram-támadásokra vonatkozó adatok szerint volt néhány 1,133 megerősített ransomware támadás csak 2022 első felében – ennek több mint fele (52%) amerikai vállalatokat érintett. A LookingGlass szerint a legaktívabb ransomware-csoport a LockBit változat mögött állt, majd a Conti, a Black Basta és az Alphy ransomware mögötti csoportok következtek.
Az aktivitás mértéke azonban nem állandó. Egyes biztonsági szolgáltatók arról számoltak be, hogy az év bizonyos szakaszaiban enyhe lassulást figyeltek meg a zsarolóprogramok aktivitásában.
Egy évközi jelentésben a SecureWorks például azt mondta, hogy a májusi és júniusi incidens-reagálási kötelezettségvállalásai azt sugallják, hogy a sikeres új ransomware támadások üteme kissé lelassult.
A SecureWorks megállapította, hogy a tendencia valószínűleg legalább részben a Conti RaaS működésének idei megszakadásával és más tényezőkkel, mint pl. az ukrajnai háború bomlasztó hatása ransomware bandákon.
Egy másik jelentés az Identity Theft Resource Centertől (ITRC), a ransomware támadások 20%-os visszaeséséről számolt be amely az év első negyedévéhez képest 2022 második negyedévében jogsértést eredményezett. Az ITRC, akárcsak a SecureWorks, a visszaesést az ukrajnai háborúval, és jelentős mértékben a ransomware-üzemeltetők által fizetésekhez előnyben részesített kriptovaluták összeomlásával azonosította.
Bryan Ware, a LookingGlass vezérigazgatója szerint úgy véli, hogy a kriptográfiai összeomlás akadályozhatja a zsarolóvírus-üzemeltetőket 2023-ban.
"A legutóbbi FTX-botrány miatt a kriptovaluták felhalmozódnak, és ez befolyásolja a ransomware bevételszerzését, és lényegében kiszámíthatatlanná teszi" - mondja. "Ez nem tesz jót a ransomware-üzemeltetőknek, mivel hosszú távon más bevételszerzési formákat kell fontolóra venniük."
Ware azt mondja a trendek a kriptovaluták körül van néhány zsarolóprogram-csoport, amely a saját kriptovalutáik használatát fontolgatja: „Nem vagyunk biztosak abban, hogy ez megvalósul, de összességében a zsarolóprogram-csoportok aggódnak amiatt, hogy a jövőben hogyan fognak bevételt szerezni és fenntartani bizonyos szintű anonimitást.”
