Victimele ransomware-ului cresc pe măsură ce actorii amenințări se îndreaptă către exploatările zero-day

Victimele ransomware-ului cresc pe măsură ce actorii amenințări se îndreaptă către exploatările zero-day

Marca temporală: 7 august 2023, ora 10:00
Ransomware Victims Surge as Threat Actors Pivot to Zero-Day Exploits PlatoBlockchain Data Intelligence. Vertical Search. Ai.

Numărul de organizații care au devenit victime ale atacurilor ransomware a crescut cu 143% între primul trimestru al anului 2022 și primul trimestru al acestui an, deoarece atacatorii au folosit din ce în ce mai mult vulnerabilitățile zero-day și defecte de o zi pentru a pătrunde în rețelele țintă.

În multe dintre aceste atacuri, actorii amenințărilor nu s-au deranjat să cripteze datele care aparțin organizațiilor victime. În schimb, ei s-au concentrat exclusiv pe furtul datelor lor sensibile și pe extorcarea victimelor amenințând că vor vinde sau scurge datele altora. Tactica ia lăsat într-un colț chiar și pe cei cu procese de backup și restaurare robuste.

O creștere a victimelor

Cercetători de la Akamai a descoperit tendințele când au analizat recent datele adunate de pe site-uri de scurgeri aparținând a 90 de grupuri de ransomware. Site-urile de scurgeri sunt locații în care grupurile de ransomware eliberează de obicei detalii despre atacurile lor, victimele și orice date pe care le-ar fi criptat sau exfiltrat.

Analiza lui Akamai a arătat că mai multe noțiuni populare despre atacurile ransomware nu mai sunt pe deplin adevărate. Una dintre cele mai semnificative, potrivit companiei, este trecerea de la phishing ca vector de acces inițial la exploatarea vulnerabilităților. Akamai a descoperit că câțiva operatori majori de ransomware se concentrează pe dobândirea de vulnerabilități zero-day – fie prin cercetări interne, fie achiziționându-le din surse de pe piața gri – pentru a le utiliza în atacurile lor.

Un exemplu notabil este grupul de ransomware Cl0P, care a abuzat de o vulnerabilitate de injectare SQL de zero zi în software-ul Fortra GoAnywhere (CVE-2023-0669) la începutul acestui an pentru a pătrunde în numeroase companii de profil înalt. În mai, același actor de amenințare a abuzat de o altă eroare zero-day pe care a descoperit-o - de data aceasta în aplicația de transfer de fișiere MOVEIt a Progress Software (CVE-2023-34362) — pentru a infiltra zeci de organizații majore la nivel global. Akamai a descoperit că numărul victimelor lui Cl0p a crescut de nouă ori între primul trimestru al anului 2022 și primul trimestru al acestui an, după ce a început să exploateze erori de tip zero-day.

Deși valorificarea vulnerabilităților zero-day nu este deosebit de nouă, tendința emergentă în rândul actorilor de ransomware de a le folosi în atacuri la scară largă este semnificativă, a spus Akamai.

„Deosebit de îngrijorătoare este dezvoltarea internă a vulnerabilităților zero-day”, spune Eliad Kimhy, șeful echipei CORE a Akamai Security Research. „Vedem acest lucru cu Cl0p cu cele două atacuri majore recente și ne așteptăm ca alte grupuri să urmeze exemplul și să-și folosească resursele pentru a achiziționa și a procura aceste tipuri de vulnerabilități.”

În alte cazuri, echipamentele ransomware mari, cum ar fi LockBit și ALPHV (alias BlackCat) au provocat ravagii, sărind pe vulnerabilitățile recent dezvăluite înainte ca organizațiile să aibă șansa de a aplica soluția furnizorului pentru ele. Exemple de astfel de vulnerabilități „prima zi” includ Vulnerabilitatea PaperCut din aprilie 2023 (CVE-2023-27350 și CVE-2023-27351) și vulnerabilități în serverele ESXi ale VMware pe care operatorul campaniei ESXiArgs le-a exploatat.

Pivotarea de la criptare la exfiltrare

Akamai a constatat, de asemenea, că unii operatori de ransomware - cum ar fi cei din spatele campaniei BianLian - au trecut în întregime de la criptarea datelor. la extorcare prin furtul de date. Motivul pentru care schimbarea este semnificativă este că, cu criptarea datelor, organizațiile aveau șansa de a-și recupera datele blocate dacă aveau un proces de backup și restaurare a datelor suficient de solid. Cu furtul de date, organizațiile nu au această oportunitate și, în schimb, trebuie fie să plătească, fie să riscă ca actorii amenințărilor să-și scurgă în mod public datele – sau, mai rău, să le vândă altora.

Diversificarea tehnicilor de extorcare este notabilă, spune Kimhy. „Exfiltrarea datelor a început ca o pârghie suplimentară care a fost în anumite privințe secundară criptării fișierelor”, notează Kimhy. „În zilele noastre vedem că este folosit ca pârghie principală pentru extorcare, ceea ce înseamnă că backupul fișierelor, de exemplu, ar putea să nu fie suficient.”

Majoritatea victimelor din setul de date Akamai – aproximativ 65% dintre ele, de fapt – au fost întreprinderi mici și mijlocii, cu venituri raportate de până la 50 de milioane de dolari. Organizațiile mai mari, adesea percepute ca cele mai mari ținte de ransomware, au reprezentat de fapt doar 12% dintre victime. Companiile producătoare s-au confruntat cu un procent disproporționat din atacuri, urmate de entitățile din domeniul sănătății și firmele de servicii financiare. În mod semnificativ, Akamai a descoperit că organizațiile care se confruntă cu un atac ransomware au o probabilitate foarte mare de a experimenta un al doilea atac în decurs de trei luni de la primul atac.

Este important să subliniem că phishing-ul este încă foarte important de apărat, spune Kimhy. În același timp, organizațiile trebuie să acorde prioritate corecțiilor vulnerabilităților nou dezvăluite. El adaugă: „[A]celeași recomandări pe care le-am făcut încă se aplică, cum ar fi înțelegerea adversarului, suprafețele de amenințare, tehnicile utilizate, favorizate și dezvoltate și, în special, ce produse, procese și oameni trebuie să dezvoltați pentru a opri un atac ransomware modern.”

Timestamp-ul:

Mai mult de la Lectură întunecată