Ransomware-ofre øker ettersom trusselaktører svinger til Zero-Day-utnyttelser

Antall organisasjoner som ble ofre for løsepengevareangrep steg med 143 % mellom første kvartal 2022 og første kvartal i år, ettersom angripere i økende grad utnyttet nulldagssårbarheter og endagsfeil for å bryte seg inn i målnettverk.

I mange av disse angrepene brydde ikke trusselaktører seg så mye som om å kryptere data tilhørende offerorganisasjoner. I stedet fokuserte de utelukkende på å stjele deres sensitive data og presse ofre ved å true med å selge eller lekke dataene til andre. Taktikken gjorde at selv de med ellers robuste sikkerhetskopierings- og gjenopprettingsprosesser ble slått tilbake i et hjørne.

En økning i ofre

Forskere ved Akamai oppdaget trendene da de nylig analyserte data samlet fra lekkasjesider som tilhører 90 løsepengevaregrupper. Lekkasjenettsteder er steder der løsepengevaregrupper vanligvis frigir detaljer om sine angrep, ofre og data som de kan ha kryptert eller eksfiltrert.

Akamais analyse viste at flere populære forestillinger om ransomware-angrep ikke lenger er helt sanne. En av de viktigste, ifølge selskapet, er et skifte fra phishing som en første tilgangsvektor til sårbarhetsutnyttelse. Akamai fant ut at flere store ransomware-operatører er fokusert på å skaffe seg nulldagssårbarheter – enten gjennom intern forskning eller ved å skaffe det fra gråmarkedskilder – for å bruke i sine angrep.

Et bemerkelsesverdig eksempel er Cl0P-ransomware-gruppen, som misbrukte en null-dagers SQL-injeksjonssårbarhet i Fortras GoAnywhere-programvare (CVE-2023-0669) tidligere i år for å bryte seg inn i en rekke høyprofilerte selskaper. I mai misbrukte den samme trusselaktøren en annen nulldagersfeil den oppdaget - denne gangen i Progress Softwares MOVEIt-filoverføringsapplikasjon (CVE-2023-34362) — for å infiltrere dusinvis av store organisasjoner globalt. Akamai fant at Cl0ps antall ofre ble nidoblet mellom første kvartal 2022 og første kvartal i år etter at det begynte å utnytte nulldagers bugs.

Selv om det ikke er spesielt nytt å utnytte nulldagssårbarheter, er den nye trenden blant løsepengevareaktører for å bruke dem i store angrep betydelig, sa Akamai.

"Spesielt bekymringsfullt er den interne utviklingen av nulldagssårbarheter," sier Eliad Kimhy, leder av Akamai sikkerhetsforsknings CORE-team. "Vi ser dette med Cl0p med de to siste store angrepene deres, og vi forventer at andre grupper følger etter og utnytter ressursene sine til å kjøpe og skaffe disse typene sårbarheter."

I andre tilfeller forårsaket store løsepenge-utstyr som LockBit og ALPHV (aka BlackCat) kaos ved å hoppe på nylig avslørte sårbarheter før organisasjoner hadde en sjanse til å bruke leverandørens løsning for dem. Eksempler på slike "dag-en"-sårbarheter inkluderer PaperCut-sårbarheter fra april 2023 (CVE-2023-27350 og CVE-2023-27351) og sårbarheter i VMwares ESXi-servere som operatøren av ESXiArgs-kampanjen utnyttet.

Pivotering fra kryptering til eksfiltrering

Akamai fant også ut at noen ransomware-operatører – som de bak BianLian-kampanjen – helt og holdent har pivotert fra datakryptering til utpressing via datatyveri. Grunnen til at byttet er betydelig er at med datakryptering hadde organisasjoner en sjanse til å hente de låste dataene sine hvis de hadde en robust nok datasikkerhetskopierings- og gjenopprettingsprosess. Med datatyveri har ikke organisasjoner den muligheten og må i stedet enten betale opp eller risikere å få trusselaktørene til å lekke dataene sine offentlig – eller enda verre, selge dem til andre.

Diversifiseringen av utpressingsteknikker er bemerkelsesverdig, sier Kimhy. "Eksfiltreringen av data hadde startet som en ekstra innflytelse som på noen måter var sekundær til kryptering av filer," bemerker Kimhy. "I dag ser vi at det brukes som en primær innflytelse for utpressing, noe som betyr at filsikkerhetskopiering, for eksempel, kanskje ikke er tilstrekkelig."

De fleste av ofrene i Akamais datasett – rundt 65 % av dem, faktisk – var små til mellomstore bedrifter med rapporterte inntekter på opptil 50 millioner dollar. Større organisasjoner, ofte oppfattet som de største løsepengevaremålene, utgjorde faktisk bare 12 % av ofrene. Produksjonsbedrifter opplevde en uforholdsmessig stor prosentandel av angrepene, etterfulgt av helsevesenet og finanstjenester. Akamai fant betydelig at organisasjoner som opplever et løsepenge-angrep hadde en svært høy sannsynlighet for å oppleve et andre angrep innen tre måneder etter det første angrepet.

Det er viktig å understreke at phishing fortsatt er veldig viktig å forsvare seg mot, sier Kimhy. Samtidig må organisasjoner prioritere oppdatering av nylig avslørte sårbarheter. Han legger til, "[De samme anbefalingene vi har gitt gjelder fortsatt, for eksempel å forstå motstanderen, trusselflater, teknikker som brukes, favoriseres og utvikles, og spesielt hvilke produkter, prosesser og mennesker du trenger å utvikle for å stoppe et moderne ransomware-angrep."

• SEO-drevet innhold og PR-distribusjon. Bli forsterket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk deg selv. Tilgang her.
• PlatoAiStream. Web3 Intelligence. Kunnskap forsterket. Tilgang her.
• PlatoESG. Bil / elbiler, Karbon, CleanTech, Energi, Miljø, Solenergi, Avfallshåndtering. Tilgang her.
• BlockOffsets. Modernisering av eierskap for miljøkompensasjon. Tilgang her.
• kilde: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits