Zespoły ds. bezpieczeństwa w przedsiębiorstwach mogą dodać trzy kolejne warianty oprogramowania ransomware do stale rosnącej listy zagrożeń ransomware, które muszą monitorować.
Trzy warianty — Vohuk, ScareCrow i AESRT — podobnie jak większość narzędzi ransomware, atakują systemy Windows i stosunkowo szybko rozprzestrzeniają się na systemach należących do użytkowników w wielu krajach. Badacze bezpieczeństwa z laboratoriów FortiGuard firmy Fortinet, którzy śledzą zagrożenia w tym tygodniu, opisali próbki oprogramowania ransomware jako zdobywające popularność w firmowej bazie danych oprogramowania ransomware.
Analiza Fortineta z trzech zagrożeń okazało się, że są to standardowe narzędzia ransomware tego rodzaju, które jednak są bardzo skuteczne w szyfrowaniu danych w zaatakowanych systemach. Alert firmy Fortinet nie identyfikował, w jaki sposób operatorzy nowych próbek oprogramowania ransomware rozpowszechniają swoje złośliwe oprogramowanie, ale zauważono, że poczta e-mail typu phishing jest zazwyczaj najczęstszym wektorem infekcji ransomware.
Rosnąca liczba wariantów
„Jeśli rozwój oprogramowania ransomware w 2022 roku wskazuje, co przyniesie przyszłość, zespoły ds. bezpieczeństwa na całym świecie powinny spodziewać się jeszcze większej popularności tego wektora ataku w 2023 roku” — mówi Fred Gutierrez, starszy inżynier ds. bezpieczeństwa w FortiGuard Labs firmy Fortinet.
Mówi, że tylko w pierwszej połowie 2022 roku liczba nowych wariantów oprogramowania ransomware zidentyfikowanych przez FortiGuard Labs wzrosła o prawie 100% w porównaniu z poprzednim sześciomiesięcznym okresem. Zespół FortiGuard Labs udokumentował 10,666 2022 nowych wariantów oprogramowania ransomware w pierwszej połowie 5,400 roku w porównaniu z zaledwie 2021 w drugiej połowie XNUMX roku.
„Wzrost liczby nowych wariantów oprogramowania ransomware wynika przede wszystkim z większej liczby atakujących korzystających z ransomware-as-a-service (RaaS) w Dark Web” — mówi.
Dodaje: „Ponadto być może najbardziej niepokojącym aspektem jest to, że obserwujemy wzrost bardziej destrukcyjnych ataków ransomware na dużą skalę i w praktycznie wszystkich typach sektorów, które spodziewamy się utrzymać do 2023 r.”.
Standardowe, ale skuteczne szczepy ransomware
Wariant ransomware Vohuk, który przeanalizowali badacze Fortinet, wydaje się być w trzeciej iteracji, co wskazuje, że jego autorzy aktywnie go rozwijają.
Złośliwe oprogramowanie umieszcza żądanie okupu „README.txt” na zaatakowanych systemach, prosząc ofiary o skontaktowanie się z atakującym za pośrednictwem poczty elektronicznej z unikalnym identyfikatorem, powiedział Fortinet. Notatka informuje ofiarę, że atakujący nie jest motywowany politycznie, a jedynie zainteresowany korzyściami finansowymi — prawdopodobnie w celu zapewnienia ofiar, że odzyskają swoje dane, jeśli zapłacą żądany okup.
Tymczasem „ScareCrow to kolejne typowe oprogramowanie ransomware, które szyfruje pliki na komputerach ofiar” — powiedział Fortinet. „Żądanie okupu, również zatytułowane „readme.txt”, zawiera trzy kanały telegramu, za pomocą których ofiary mogą rozmawiać z atakującym”.
Chociaż żądanie okupu nie zawiera żadnych konkretnych żądań finansowych, można bezpiecznie założyć, że ofiary będą musiały zapłacić okup, aby odzyskać zaszyfrowane pliki, powiedział Fortinet.
Badania dostawcy zabezpieczeń wykazały również pewne nakładanie się ScareCrow i niesławnych Wariant oprogramowania ransomware Conti, jedno z najskuteczniejszych narzędzi ransomware w historii. Na przykład oba używają tego samego algorytmu do szyfrowania plików i podobnie jak Conti, ScareCrow usuwa kopie w tle za pomocą narzędzia wiersza poleceń WMI (wmic), aby uniemożliwić odzyskanie danych w zainfekowanych systemach.
Zgłoszenia do VirusTotal sugerują, że ScareCrow zainfekował systemy w Stanach Zjednoczonych, Niemczech, Włoszech, Indiach, Filipinach i Rosji.
I wreszcie, AESRT, trzecia nowa rodzina oprogramowania ransomware, którą Fortinet niedawno wykrył na wolności, ma funkcjonalność podobną do pozostałych dwóch zagrożeń. Główna różnica polega na tym, że zamiast zostawiać żądanie okupu, złośliwe oprogramowanie wyświetla wyskakujące okienko z adresem e-mail atakującego oraz pole, które wyświetla klucz do odszyfrowania zaszyfrowanych plików, gdy ofiara zapłaci żądany okup.
Czy Crypto-Collapse spowolni zagrożenie ransomware?
Nowe warianty uzupełniają długą — i stale rosnącą — listę zagrożeń związanych z oprogramowaniem ransomware, z którymi organizacje muszą obecnie zmagać się na co dzień, ponieważ operatorzy oprogramowania ransomware nieustannie atakują organizacje korporacyjne.
Dane dotyczące ataków ransomware, które firma LookingGlass przeanalizowała na początku tego roku, wykazały, że było ich kilka 1,133 potwierdzonych ataków ransomware tylko w pierwszej połowie 2022 r. — z czego ponad połowa (52%) dotyczyła firm amerykańskich. Firma LookingGlass odkryła, że najbardziej aktywną grupą oprogramowania ransomware była grupa odpowiedzialna za wariant LockBit, a następnie grupy odpowiedzialne za oprogramowanie ransomware Conti, Black Basta i Alphy.
Jednak tempo aktywności nie jest stałe. Niektórzy dostawcy zabezpieczeń zgłaszali niewielkie spowolnienie aktywności oprogramowania ransomware w niektórych częściach roku.
Na przykład w raporcie śródrocznym firma SecureWorks stwierdziła, że jej zaangażowanie w reagowanie na incydenty w maju i czerwcu sugerowało, że tempo nowych udanych ataków ransomware nieco zwolniło.
Firma SecureWorks określiła ten trend jako prawdopodobnie związany, przynajmniej częściowo, z zakłóceniem operacji Conti RaaS w tym roku oraz innymi czynnikami, takimi jak destrukcyjny wpływ wojny na Ukrainie na gangi ransomware.
Inny raport z Identity Theft Resource Center (ITRC) odnotował 20% spadek liczby ataków ransomware co spowodowało naruszenie w drugim kwartale 2022 r. w porównaniu z pierwszym kwartałem roku. ITRC, podobnie jak SecureWorks, zidentyfikowało spadek jako mający związek z wojną na Ukrainie i, co istotne, z upadkiem kryptowalut, którymi operatorzy ransomware preferują płatności.
Bryan Ware, dyrektor generalny LookingGlass, uważa, że upadek kryptowalut może utrudnić działanie operatorów oprogramowania ransomware w 2023 roku.
„Niedawny skandal FTX spowodował tankowanie kryptowalut, co wpływa na monetyzację oprogramowania ransomware i zasadniczo czyni je nieprzewidywalnym” – mówi. „Nie wróży to dobrze operatorom oprogramowania ransomware, ponieważ będą musieli rozważyć inne formy monetyzacji w dłuższej perspektywie”.
Ware mówi trendy wokół kryptowalut ma kilka grup ransomware rozważających użycie własnych kryptowalut: „Nie jesteśmy pewni, czy to się zmaterializuje, ale ogólnie grupy ransomware martwią się, jak będą zarabiać i utrzymać pewien poziom anonimowości w przyszłości”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych
