Liczba ofiar oprogramowania ransomware rośnie, gdy aktorzy zajmujący się zagrożeniami przestawiają się na exploity dnia zerowego

Liczba organizacji, które stały się ofiarami ataków ransomware, wzrosła o 143% między pierwszym kwartałem 2022 r. a pierwszym kwartałem tego roku, ponieważ osoby atakujące w coraz większym stopniu wykorzystywały luki zero-day i wady jednodniowe, aby włamać się do docelowych sieci.

W wielu z tych ataków cyberprzestępcy nie zadali sobie nawet trudu zaszyfrowania danych należących do organizacji ofiar. Zamiast tego skupili się wyłącznie na kradzieży ich poufnych danych i wyłudzaniu od ofiar groźbą sprzedaży lub ujawnienia danych innym osobom. Ta taktyka sprawiła, że ​​nawet te, które miały solidne procesy tworzenia kopii zapasowych i przywracania, znalazły się w kącie.

Przypływ ofiar

Naukowcy z Akamai odkrył trendy kiedy niedawno przeanalizowali dane zebrane z witryn wycieków należących do 90 grup ransomware. Witryny wycieków to miejsca, w których grupy ransomware zazwyczaj ujawniają szczegółowe informacje o swoich atakach, ofiarach i wszelkich danych, które mogły zaszyfrować lub wydobyć.

Analiza firmy Akamai wykazała, że ​​kilka popularnych opinii na temat ataków ransomware nie jest już w pełni prawdziwych. Według firmy jednym z najważniejszych jest przejście od phishingu jako wektora początkowego dostępu do wykorzystywania luk w zabezpieczeniach. Firma Akamai odkryła, że ​​kilku głównych operatorów oprogramowania ransomware koncentruje się na pozyskiwaniu luk dnia zerowego — albo poprzez wewnętrzne badania, albo pozyskując je ze źródeł z szarej strefy — do wykorzystania w swoich atakach.

Jednym z godnych uwagi przykładów jest grupa ransomware Cl0P, która wykorzystała lukę zero-day SQL-injection w oprogramowaniu GoAnywhere firmy Fortra (CVE-2023-0669) na początku tego roku, aby włamać się do wielu znanych firm. W maju ten sam cyberprzestępca nadużył innego wykrytego przez siebie błędu zero-day — tym razem w aplikacji do przesyłania plików MOVEIt firmy Progress Software (CVE-2023-34362) — aby zinfiltrować dziesiątki dużych organizacji na całym świecie. Akamai stwierdził, że liczba ofiar Cl0p wzrosła dziewięciokrotnie między pierwszym kwartałem 2022 r. a pierwszym kwartałem tego roku po tym, jak zaczął wykorzystywać błędy dnia zerowego.

Akamai powiedział, że chociaż wykorzystywanie luk dnia zerowego nie jest niczym nowym, pojawiający się trend wśród podmiotów zajmujących się oprogramowaniem ransomware do wykorzystywania ich w atakach na dużą skalę jest znaczący.

„Szczególnie niepokojące jest wewnętrzne opracowywanie luk dnia zerowego” — mówi Eliad Kimhy, szef zespołu CORE ds. badań nad bezpieczeństwem w Akamai. „Widzimy to w przypadku Cl0p z ich dwoma ostatnimi dużymi atakami i oczekujemy, że inne grupy pójdą w ich ślady i wykorzystają swoje zasoby do zakupu i pozyskiwania tego rodzaju luk w zabezpieczeniach”.

W innych przypadkach duże zestawy oprogramowania ransomware, takie jak LockBit i ALPHV (aka BlackCat), siały spustoszenie, wykorzystując nowo ujawnione luki w zabezpieczeniach, zanim organizacje miały szansę zastosować dla nich poprawkę dostawcy. Przykłady takich luk „pierwszego dnia” obejmują Luki PaperCut z kwietnia 2023 r (CVE-2023-27350 i CVE-2023-27351) oraz luki w zabezpieczeniach serwerów ESXi firmy VMware, które wykorzystał operator kampanii ESXiArgs.

Przechodzenie od szyfrowania do eksfiltracji

Akamai odkrył również, że niektórzy operatorzy oprogramowania ransomware — na przykład ci stojący za kampanią BianLian — całkowicie odeszli od szyfrowania danych do wymuszenia poprzez kradzież danych. Powodem, dla którego zmiana jest znacząca, jest to, że dzięki szyfrowaniu danych organizacje miały szansę na odzyskanie zablokowanych danych, jeśli miały wystarczająco solidny proces tworzenia kopii zapasowych i przywracania danych. W przypadku kradzieży danych organizacje nie mają takiej możliwości i zamiast tego muszą albo zapłacić, albo zaryzykować publiczne ujawnienie ich danych przez cyberprzestępców — lub, co gorsza, sprzedaż ich innym.

Zróżnicowanie technik wymuszeń jest godne uwagi, mówi Kimhy. „Ekfiltracja danych rozpoczęła się jako dodatkowa dźwignia, która w pewnym sensie była drugorzędna w stosunku do szyfrowania plików” — zauważa Kimhy. „Obecnie widzimy, że jest to główna dźwignia do wymuszeń, co oznacza, że ​​na przykład tworzenie kopii zapasowych plików może nie być wystarczające”.

Większość ofiar w zbiorze danych Akamai — w rzeczywistości około 65% z nich — to małe i średnie firmy o zgłoszonych przychodach do 50 milionów dolarów. Większe organizacje, często postrzegane jako największe cele ransomware, w rzeczywistości stanowiły tylko 12% ofiar. Firmy produkcyjne doświadczyły nieproporcjonalnego odsetka ataków, a następnie jednostki służby zdrowia i firmy świadczące usługi finansowe. Co istotne, Akamai odkrył, że organizacje, które doświadczyły ataku ransomware, miały bardzo duże prawdopodobieństwo, że doświadczą drugiego ataku w ciągu trzech miesięcy od pierwszego ataku.

Należy podkreślić, że phishing jest nadal bardzo ważny, aby się przed nim bronić, mówi Kimhy. Jednocześnie organizacje muszą priorytetowo traktować łatanie nowo ujawnionych luk w zabezpieczeniach. Dodaje: „Nadal obowiązują te same zalecenia, takie jak zrozumienie przeciwnika, powierzchni zagrożenia, stosowanych, preferowanych i rozwijanych technik, a zwłaszcza jakie produkty, procesy i ludzi należy opracować, aby powstrzymać nowoczesny atak ransomware”.

• Dystrybucja treści i PR oparta na SEO. Uzyskaj wzmocnienie już dziś.
• PlatoData.Network Pionowe generatywne AI. Wzmocnij się. Dostęp tutaj.
• PlatoAiStream. Inteligencja Web3. Wiedza wzmocniona. Dostęp tutaj.
• PlatonESG. Motoryzacja / pojazdy elektryczne, Węgiel Czysta technologia, Energia, Środowisko, Słoneczny, Gospodarowanie odpadami. Dostęp tutaj.
• Przesunięcia bloków. Modernizacja własności offsetu środowiskowego. Dostęp tutaj.
• Źródło: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits