Echipele de securitate ale întreprinderilor pot adăuga încă trei variante de ransomware la lista în continuă creștere de amenințări ransomware pentru care trebuie să le monitorizeze.
Cele trei variante – Vohuk, ScareCrow și AESRT – la fel ca majoritatea instrumentelor ransomware, vizează sistemele Windows și par să prolifereze relativ rapid pe sistemele aparținând utilizatorilor din mai multe țări. Cercetătorii de securitate de la FortiGuard Labs de la Fortinet, care urmăresc amenințările în această săptămână, au descris eșantioanele de ransomware ca câștigând acțiune în baza de date de ransomware a companiei.
analiza lui Fortinet dintre cele trei amenințări au arătat că acestea sunt instrumente standard ransomware de tipul care, totuși, au fost foarte eficiente la criptarea datelor de pe sistemele compromise. Alerta Fortinet nu a identificat modul în care operatorii noilor mostre de ransomware își distribuie malware-ul, dar a remarcat că e-mailul de phishing a fost de obicei cel mai frecvent vector pentru infecțiile cu ransomware.
Un număr tot mai mare de variante
„Dacă creșterea ransomware-ului în 2022 indică ce ne rezervă viitorul, echipele de securitate de pretutindeni ar trebui să se aștepte ca acest vector de atac să devină și mai popular în 2023”, spune Fred Gutierrez, inginer senior de securitate, la FortiGuard Labs de la Fortinet.
Doar în prima jumătate a anului 2022, numărul de noi variante de ransomware pe care FortiGuard Labs le-a identificat a crescut cu aproape 100% în comparație cu perioada anterioară de șase luni, spune el. Echipa FortiGuard Labs a documentat 10,666 de noi variante de ransomware în prima jumătate a anului 2022, comparativ cu doar 5,400 în a doua jumătate a anului 2021.
„Această creștere a noilor variante de ransomware se datorează în primul rând faptului că mai mulți atacatori care profită de ransomware-as-a-service (RaaS) pe Dark Web”, spune el.
El adaugă: „În plus, poate cel mai deranjant aspect este că observăm o creștere a atacurilor ransomware mai distructive la scară și în aproape toate tipurile de sectoare, pe care ne așteptăm să continue până în 2023.”
Tulpini de ransomware standard, dar eficiente
Varianta de ransomware Vohuk pe care cercetătorii Fortinet au analizat-o părea să fie la a treia iterație, ceea ce indică faptul că autorii o dezvoltă activ.
Malware-ul trimite o notă de răscumpărare, „README.txt”, pe sistemele compromise, care le cere victimelor să contacteze atacatorul prin e-mail cu un ID unic, a spus Fortinet. Nota informează victima că atacatorul nu este motivat politic, ci este interesat doar de câștiguri financiare - probabil pentru a le asigura victimelor că și-ar primi datele înapoi dacă ar plăti răscumpărarea cerută.
Între timp, „ScareCrow este un alt ransomware tipic care criptează fișierele de pe computerele victimelor”, a spus Fortinet. „Nota de răscumpărare, intitulată și „readme.txt”, conține trei canale Telegram pe care victimele le pot folosi pentru a vorbi cu atacatorul.”
Deși nota de răscumpărare nu conține cerințe financiare specifice, este sigur să presupunem că victimele vor trebui să plătească o răscumpărare pentru a recupera fișierele care au fost criptate, a spus Fortinet.
Cercetarea furnizorului de securitate a arătat, de asemenea, o oarecare suprapunere între ScareCrow și infamul Varianta ransomware Conti, unul dintre cele mai prolifice instrumente ransomware de până acum. Ambele, de exemplu, folosesc același algoritm pentru a cripta fișierele și, la fel ca Conti, ScareCrow șterge copiile umbră folosind utilitarul de linie de comandă WMI (wmic) pentru a face datele irecuperabile pe sistemele infectate.
Trimiterile către VirusTotal sugerează că ScareCrow a infectat sisteme din Statele Unite ale Americii, Germania, Italia, India, Filipine și Rusia.
Și, în sfârșit, AESRT, a treia familie nouă de ransomware pe care Fortinet a descoperit-o recent în sălbăticie, are o funcționalitate similară celorlalte două amenințări. Principala diferență este că, în loc să lase o notă de răscumpărare, malware-ul oferă o fereastră pop-up cu adresa de e-mail a atacatorului și un câmp care afișează o cheie pentru decriptarea fișierelor criptate odată ce victima a plătit răscumpărarea cerută.
Crypto-colapsul va încetini amenințarea ransomware?
Variantele proaspete se adaugă listei lungi – și în continuă creștere – de amenințări ransomware cu care organizațiile trebuie acum să se confrunte zilnic, în timp ce operatorii de ransomware continuă să lovească fără încetare organizațiile întreprinderilor.
Datele despre atacurile ransomware pe care LookingGlass le-a analizat la începutul acestui an au arătat că există unele 1,133 de atacuri ransomware confirmate numai în prima jumătate a anului 2022 — din care mai mult de jumătate (52%) au afectat companiile din SUA. LookingGlass a descoperit că cel mai activ grup de ransomware a fost cel din spatele variantei LockBit, urmat de grupurile din spatele ransomware-ului Conti, Black Basta și Alphy.
Cu toate acestea, rata de activitate nu este constantă. Unii furnizori de securitate au raportat că au observat o ușoară încetinire a activității de ransomware în anumite părți ale anului.
Într-un raport de la jumătatea anului, SecureWorks, de exemplu, a spus că angajamentele sale de răspuns la incident din mai și iunie au sugerat că ritmul cu care au avut loc noile atacuri de succes ransomware a încetinit puțin.
SecureWorks a identificat tendința ca fiind probabil să aibă de a face, cel puțin parțial, cu întreruperea operațiunii Conti RaaS din acest an și cu alți factori, cum ar fi efectul perturbator al războiului din Ucraina pe bandele de ransomware.
Un alt raport, de la Centrul de resurse pentru furtul de identitate (ITRC), a raportat o scădere cu 20% a atacurilor ransomware care a dus la o încălcare în timpul celui de-al doilea trimestru al anului 2022 comparativ cu primul trimestru al anului. ITRC, la fel ca SecureWorks, a identificat declinul ca având legătură cu războiul din Ucraina și, în mod semnificativ, cu colapsul criptomonedelor pe care operatorii de ransomware le favorizează pentru plăți.
Bryan Ware, CEO al LookingGlass, spune că crede că cripto-colapsul ar putea împiedica operatorii de ransomware în 2023.
„Scandalul recent FTX are criptomonede, iar acest lucru afectează monetizarea ransomware-ului și, în esență, îl face imprevizibil”, spune el. „Acest lucru nu este de bun augur pentru operatorii de ransomware, deoarece vor trebui să ia în considerare alte forme de monetizare pe termen lung.”
Ware spune că tendințe în jurul criptomonedelor are unele grupuri de ransomware care se gândesc să-și folosească propriile criptomonede: „Nu suntem siguri că acest lucru se va materializa, dar, în general, grupurile de ransomware sunt îngrijorați de modul în care vor genera bani și vor menține un anumit nivel de anonimat în viitor.”
- blockchain
- portofele de criptare
- criptoschimb
- securitate cibernetică
- cybercriminals
- Securitate cibernetică
- Lectură întunecată
- Departamentul de Securitate Națională
- portofele digitale
- firewall
- Kaspersky
- malware
- McAfee
- NexBLOC
- Plato
- platoul ai
- Informații despre date Platon
- Jocul lui Platon
- PlatoData
- platogaming
- VPN
- securitatea site-ului
