Число жертв программ-вымогателей растет, поскольку злоумышленники обращаются к эксплойтам нулевого дня

Число жертв программ-вымогателей растет, поскольку злоумышленники обращаются к эксплойтам нулевого дня

Отметка времени: 7 августа 2023 г., 10:00
Число жертв программ-вымогателей растет, поскольку злоумышленники переходят к использованию эксплойтов нулевого дня для анализа данных PlatoBlockchain. Вертикальный поиск. Ай.

Число организаций, ставших жертвами атак программ-вымогателей, выросло на 143% в период между первым кварталом 2022 года и первым кварталом этого года, поскольку злоумышленники все чаще используют уязвимости нулевого дня и однодневные недостатки для проникновения в целевые сети.

Во многих из этих атак злоумышленники даже не удосужились зашифровать данные, принадлежащие организациям-жертвам. Вместо этого они сосредоточились исключительно на краже своих конфиденциальных данных и вымогательстве жертв, угрожая продать или передать данные другим. Эта тактика загнала в угол даже тех, у кого в остальном были надежные процессы резервного копирования и восстановления.

Всплеск жертв

Исследователи из Akamai обнаружил тенденции когда они недавно проанализировали данные, собранные с сайтов утечки, принадлежащих 90 группам программ-вымогателей. Сайты утечек — это места, где группы вымогателей обычно публикуют сведения о своих атаках, жертвах и любых данных, которые они могли зашифровать или украсть.

Анализ Akamai показал, что несколько популярных представлений об атаках программ-вымогателей больше не соответствуют действительности. Одним из наиболее значимых, по мнению компании, является переход от фишинга как начального вектора доступа к эксплуатации уязвимостей. Akamai обнаружил, что несколько крупных операторов программ-вымогателей сосредоточены на приобретении уязвимостей нулевого дня — либо путем собственных исследований, либо путем приобретения их из источников на сером рынке — для использования в своих атаках.

Одним из примечательных примеров является группа вымогателей Cl0P, которая злоупотребила уязвимостью нулевого дня SQL-инъекции в программном обеспечении Fortra GoAnywhere (CVE-2023-0669) ранее в этом году, чтобы ворваться в многочисленные известные компании. В мае тот же злоумышленник злоупотребил другой обнаруженной им ошибкой нулевого дня — на этот раз в приложении для передачи файлов MOVEIt от Progress Software (CVE-2023-34362) — проникнуть в десятки крупных организаций по всему миру. Akamai обнаружил, что число жертв Cl0p выросло в девять раз в период с первого квартала 2022 года по первый квартал этого года после того, как он начал использовать ошибки нулевого дня.

По словам Акамаи, хотя использование уязвимостей нулевого дня не является чем-то новым, растущая тенденция среди участников программ-вымогателей использовать их в крупномасштабных атаках имеет большое значение.

«Особое беспокойство вызывает собственная разработка уязвимостей нулевого дня, — говорит Элиад Кимхи, руководитель группы CORE исследовательского центра Akamai. «Мы видим это на Cl0p с их двумя недавними крупными атаками, и мы ожидаем, что другие группы последуют их примеру и будут использовать свои ресурсы для покупки и поиска уязвимостей такого типа».

В других случаях крупные группы вымогателей, такие как LockBit и ALPHV (также известный как BlackCat), вызвали хаос, воспользовавшись недавно обнаруженными уязвимостями до того, как организации получили возможность применить для них исправление поставщика. Примеры таких уязвимостей «первого дня» включают Уязвимости PaperCut за апрель 2023 года (CVE-2023-27350 и CVE-2023-27351) и уязвимости в серверах VMware ESXi, которые использовал оператор кампании ESXiArgs.

Переход от шифрования к эксфильтрации

Akamai также обнаружил, что некоторые операторы программ-вымогателей, например те, кто стоял за кампанией BianLian, полностью отказались от шифрования данных. к вымогательству через кражу данных. Причина, по которой этот переход важен, заключается в том, что благодаря шифрованию данных у организаций появилась возможность получить свои заблокированные данные, если у них был достаточно надежный процесс резервного копирования и восстановления данных. При краже данных у организаций нет такой возможности, и вместо этого они должны либо платить, либо рисковать тем, что злоумышленники публично разглашают их данные или, что еще хуже, продают их другим.

Примечательно разнообразие методов вымогательства, говорит Кимхи. «Эксфильтрация данных начиналась как дополнительный рычаг, который в некотором смысле был вторичным по отношению к шифрованию файлов», — отмечает Кимхи. «В настоящее время мы видим, что это используется в качестве основного рычага для вымогательства, что означает, например, что резервного копирования файлов может быть недостаточно».

Большинство жертв в наборе данных Akamai — фактически около 65% из них — были малыми и средними предприятиями с заявленными доходами до 50 миллионов долларов. Крупные организации, которые часто воспринимаются как крупнейшие цели программ-вымогателей, на самом деле составляют лишь 12% жертв. Производственные компании подверглись непропорционально большому проценту атак, за ними следуют организации здравоохранения и финансовые компании. Примечательно, что Akamai обнаружил, что организации, подвергшиеся атаке программы-вымогателя, имеют очень высокую вероятность повторной атаки в течение трех месяцев после первой атаки.

По словам Кимхи, важно подчеркнуть, что защита от фишинга по-прежнему очень важна. В то же время организациям необходимо уделить первоочередное внимание исправлению недавно обнаруженных уязвимостей. Он добавляет: «Те же рекомендации, которые мы давали, по-прежнему применимы, например, понимание противника, поверхностей угроз, используемых, предпочитаемых и разрабатываемых методов, а также, в частности, какие продукты, процессы и люди вам нужно разработать, чтобы остановить современную атаку программ-вымогателей».

Отметка времени:

Больше от Темное чтение