Il numero di organizzazioni che sono diventate vittime di attacchi ransomware è aumentato del 143% tra il primo trimestre del 2022 e il primo trimestre di quest'anno, poiché gli aggressori hanno sempre più sfruttato le vulnerabilità zero-day e i difetti di un giorno per irrompere nelle reti bersaglio.
In molti di questi attacchi, gli attori delle minacce non si sono nemmeno preoccupati di crittografare i dati appartenenti alle organizzazioni delle vittime. Invece, si sono concentrati esclusivamente sul furto dei loro dati sensibili e sull'estorsione delle vittime minacciando di vendere o far trapelare i dati ad altri. La tattica ha messo all'angolo anche quelli con processi di backup e ripristino altrimenti robusti.
Un'ondata di vittime
I ricercatori di Akamai scoperto le tendenze quando hanno recentemente analizzato i dati raccolti da siti di fuga appartenenti a 90 gruppi di ransomware. I siti di perdite sono luoghi in cui i gruppi di ransomware in genere rilasciano dettagli sui loro attacchi, vittime e qualsiasi dato che potrebbero aver crittografato o esfiltrato.
L'analisi di Akamai ha mostrato che diverse nozioni popolari sugli attacchi ransomware non sono più del tutto vere. Uno dei più significativi, secondo l'azienda, è il passaggio dal phishing come vettore di accesso iniziale allo sfruttamento della vulnerabilità. Akamai ha scoperto che diversi importanti operatori di ransomware si concentrano sull'acquisizione di vulnerabilità zero-day, tramite ricerche interne o acquistandole da fonti del mercato grigio, da utilizzare nei loro attacchi.
Un esempio degno di nota è il gruppo ransomware Cl0P, che ha abusato di una vulnerabilità SQL-injection zero-day nel software GoAnywhere di Fortra (CVE-2023-0669) all'inizio di quest'anno per entrare in numerose aziende di alto profilo. A maggio, lo stesso autore di minacce ha abusato di un altro bug zero-day che ha scoperto, questa volta nell'applicazione di trasferimento file MOVEIt di Progress Software (CVE-2023-34362) — per infiltrarsi in dozzine di grandi organizzazioni a livello globale. Akamai ha scoperto che il conteggio delle vittime di Cl0p è aumentato di nove volte tra il primo trimestre del 2022 e il primo trimestre di quest'anno dopo che ha iniziato a sfruttare i bug zero-day.
Sebbene lo sfruttamento delle vulnerabilità zero-day non sia particolarmente nuovo, la tendenza emergente tra gli attori del ransomware a utilizzarle in attacchi su larga scala è significativa, ha affermato Akamai.
"Particolarmente preoccupante è lo sviluppo interno delle vulnerabilità zero-day", afferma Eliad Kimhy, capo del team CORE della ricerca sulla sicurezza di Akamai. "Lo vediamo con Cl0p con i loro due recenti attacchi importanti e ci aspettiamo che altri gruppi seguano l'esempio e sfruttino le proprie risorse per acquistare e procurarsi questi tipi di vulnerabilità".
In altri casi, grandi gruppi di ransomware come LockBit e ALPHV (noto anche come BlackCat) hanno causato il caos saltando su vulnerabilità appena rivelate prima che le organizzazioni avessero la possibilità di applicare la correzione del fornitore per loro. Esempi di tali vulnerabilità "day-one" includono il Vulnerabilità PaperCut di aprile 2023 (CVE-2023-27350 e CVE-2023-27351) e vulnerabilità nei server ESXi di VMware sfruttate dall'operatore della campagna ESXiArgs.
Passaggio dalla crittografia all'esfiltrazione
Akamai ha anche scoperto che alcuni operatori di ransomware, come quelli dietro la campagna BianLian, sono passati interamente dalla crittografia dei dati all'estorsione tramite furto di dati. Il motivo per cui il passaggio è significativo è che con la crittografia dei dati, le organizzazioni avevano la possibilità di recuperare i propri dati bloccati se disponevano di un processo di backup e ripristino dei dati sufficientemente solido. Con il furto di dati, le organizzazioni non hanno questa opportunità e invece devono pagare o rischiare che gli autori delle minacce diffondano pubblicamente i loro dati o, peggio, li vendano ad altri.
La diversificazione delle tecniche di estorsione è notevole, afferma Kimhy. "L'esfiltrazione dei dati era iniziata come leva aggiuntiva che era in qualche modo secondaria rispetto alla crittografia dei file", osserva Kimhy. "Oggi lo vediamo utilizzato come leva principale per l'estorsione, il che significa che il backup dei file, ad esempio, potrebbe non essere sufficiente."
La maggior parte delle vittime nel set di dati di Akamai (in realtà circa il 65%) erano piccole e medie imprese con entrate dichiarate fino a 50 milioni di dollari. Le organizzazioni più grandi, spesso percepite come i maggiori obiettivi di ransomware, in realtà costituivano solo il 12% delle vittime. Le aziende manifatturiere hanno subito una percentuale sproporzionata di attacchi, seguite da enti sanitari e società di servizi finanziari. È significativo che Akamai abbia scoperto che le organizzazioni che subiscono un attacco ransomware avevano un'alta probabilità di subire un secondo attacco entro tre mesi dal primo attacco.
È importante sottolineare che è ancora molto importante difendersi dal phishing, afferma Kimhy. Allo stesso tempo, le organizzazioni devono dare la priorità all'applicazione di patch alle vulnerabilità appena divulgate. Aggiunge: "[L]e stesse raccomandazioni che abbiamo fatto sono ancora valide, come la comprensione dell'avversario, le superfici della minaccia, le tecniche utilizzate, favorite e sviluppate, e in particolare quali prodotti, processi e persone è necessario sviluppare per fermare un moderno attacco ransomware.”
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Automobilistico/VE, Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- BlockOffset. Modernizzare la proprietà della compensazione ambientale. Accedi qui.
- Fonte: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits
- :È
- :non
- :Dove
- $ SU
- 2022
- 7
- a
- WRI
- accesso
- Secondo
- l'acquisizione di
- attori
- effettivamente
- aggiuntivo
- Aggiunge
- Dopo shavasana, sedersi in silenzio; saluti;
- contro
- aka
- anche
- tra
- an
- .
- analizzato
- ed
- Un altro
- in qualsiasi
- Applicazioni
- APPLICA
- Aprile
- SONO
- AS
- At
- attacco
- attacchi
- Backed
- di riserva
- BE
- è diventato
- stato
- prima
- dietro
- essendo
- fra
- Big
- Maggiore
- Rompere
- Insetto
- bug
- aziende
- by
- Campagna
- ha causato
- possibilità
- Aziende
- azienda
- Nucleo
- Angolo
- dati
- dettagli
- sviluppare
- sviluppato
- Mercato
- DID
- scoperto
- diversificazione
- do
- decine
- In precedenza
- o
- emergenti del mondo
- enfatizzare
- crittografato
- crittografia
- abbastanza
- interamente
- entità
- Anche
- esempio
- Esempi
- esfiltrazione
- attenderti
- esperienza
- esperto
- sperimentare
- sfruttamento
- Exploited
- sfruttando
- gesta
- estorsione
- fatto
- Compila il
- File
- finanziario
- servizi finanziari
- Aziende
- Nome
- Fissare
- difetti
- concentrato
- seguire
- seguito
- Nel
- essere trovato
- da
- completamente
- raccolto
- Globalmente
- Gruppo
- Gruppo
- ha avuto
- Avere
- avendo
- he
- capo
- assistenza sanitaria
- Alta
- alto profilo
- HTTPS
- if
- importante
- in
- includere
- sempre più
- inizialmente
- invece
- ai miglioramenti
- IT
- jpg
- larga scala
- superiore, se assunto singolarmente.
- perdita
- Perdite
- a sinistra
- Leva
- leveraged
- leveraging
- posizioni
- bloccato
- più a lungo
- fatto
- maggiore
- Fare
- consigliato per la
- molti
- Maggio..
- si intende
- forza
- milione
- moderno
- mese
- maggior parte
- molti
- devono obbligatoriamente:
- Bisogno
- reti
- New
- recentemente
- no
- notevole
- Note
- numero
- numerose
- of
- di frequente
- on
- ONE
- esclusivamente
- operatore
- Operatori
- Opportunità
- or
- minimo
- organizzazioni
- Altro
- Altri
- altrimenti
- su
- particolarmente
- patching
- Paga le
- Persone
- percepito
- percentuale
- phishing
- Perno
- Platone
- Platone Data Intelligence
- PlatoneDati
- Popolare
- primario
- Dare priorità
- processi
- i processi
- Prodotti
- Progressi
- pubblicamente
- Acquista
- Trimestre
- ransomware
- Attacco ransomware
- Attacchi ransomware
- ragione
- recente
- recentemente
- raccomandazioni
- rilasciare
- Segnalati
- riparazioni
- Risorse
- restauro
- ricavi
- Rischio
- robusto
- s
- Suddetto
- stesso
- dice
- Secondo
- secondario
- problemi di
- vedere
- venda
- Vendita
- delicata
- Server
- Servizi
- alcuni
- spostamento
- ha mostrato
- significativa
- significativamente
- Siti
- piccole
- So
- Software
- unicamente
- alcuni
- Fonte
- fonti
- iniziato
- Ancora
- Fermare
- tale
- sufficiente
- Completo
- ondata
- salito
- Interruttore
- Target
- obiettivi
- team
- tecniche
- che
- Il
- furto
- loro
- Li
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- questo
- quest'anno
- quelli
- minaccia
- attori della minaccia
- tre
- Attraverso
- tempo
- a
- trasferimento
- Trend
- vero
- seconda
- Tipi di
- tipicamente
- e una comprensione reciproca
- uso
- utilizzato
- venditore
- molto
- via
- Vittima
- vittime
- vmware
- vulnerabilità
- vulnerabilità
- Prima
- modi
- we
- sono stati
- Che
- quando
- quale
- con
- entro
- peggio
- anno
- Tu
- zefiro
- bug del giorno zero
- vulnerabilità zero-day
