Ekipe za varnost podjetij lahko dodajo še tri različice izsiljevalske programske opreme na nenehno naraščajoči seznam groženj izsiljevalske programske opreme, ki jih morajo spremljati.
Tri različice – Vohuk, ScareCrow in AESRT – tako kot večina orodij za izsiljevalsko programsko opremo ciljajo na sisteme Windows in se zdi, da se relativno hitro širijo v sistemih, ki pripadajo uporabnikom v več državah. Raziskovalci varnosti v Fortinetovih laboratorijih FortiGuard Labs, ki ta teden spremljajo grožnje, so opisali vzorce izsiljevalske programske opreme, kot da pridobivajo oprijem v zbirki podatkov podjetja o izsiljevalski programski opremi.
Fortinet-ova analiza od treh groženj je pokazalo, da gre za standardna orodja izsiljevalske programske opreme, ki so bila kljub temu zelo učinkovita pri šifriranju podatkov v ogroženih sistemih. Fortinetovo opozorilo ni opredelilo, kako operaterji novih vzorcev izsiljevalske programske opreme distribuirajo svojo zlonamerno programsko opremo, vendar je opozorilo, da je bila lažna e-pošta običajno najpogostejši prenašalec okužb z izsiljevalsko programsko opremo.
Naraščajoče število različic
»Če bo rast izsiljevalske programske opreme leta 2022 pokazala, kaj prinaša prihodnost, morajo varnostne ekipe povsod pričakovati, da bo ta vektor napadov leta 2023 postal še bolj priljubljen,« pravi Fred Gutierrez, višji varnostni inženir pri Fortinetovih FortiGuard Labs.
Samo v prvi polovici leta 2022 se je število novih različic izsiljevalske programske opreme, ki jih je odkril FortiGuard Labs, povečalo za skoraj 100 % v primerjavi s prejšnjim šestmesečnim obdobjem, pravi. Ekipa FortiGuard Labs je v prvi polovici leta 10,666 dokumentirala 2022 novih različic izsiljevalske programske opreme v primerjavi s samo 5,400 v drugi polovici leta 2021.
»Ta rast novih različic izsiljevalske programske opreme je predvsem posledica tega, da več napadalcev izkorišča izsiljevalsko programsko opremo kot storitev (RaaS) na temnem spletu,« pravi.
Dodal je: »Poleg tega je morda najbolj zaskrbljujoč vidik ta, da opažamo povečanje uničujočih napadov z izsiljevalsko programsko opremo v velikem obsegu in v skoraj vseh vrstah sektorjev, kar pričakujemo, da se bo nadaljevalo v letu 2023.«
Standardni, a učinkoviti sevi izsiljevalske programske opreme
Zdi se, da je različica izsiljevalske programske opreme Vohuk, ki so jo analizirali raziskovalci Fortineta, v tretji ponovitvi, kar kaže, da jo njeni avtorji aktivno razvijajo.
Zlonamerna programska oprema v ogrožene sisteme vrže obvestilo o odkupnini, »README.txt«, ki od žrtev zahteva, da stopijo v stik z napadalcem po e-pošti z edinstvenim ID-jem, so sporočili iz Fortineta. Zapisek obvešča žrtev, da napadalec ni politično motiviran, ampak ga zanima le finančna korist - verjetno zato, da bi zagotovil žrtve, da bodo dobili nazaj svoje podatke, če plačajo zahtevano odkupnino.
Medtem je "ScareCrow še ena tipična izsiljevalska programska oprema, ki šifrira datoteke na strojih žrtev," je dejal Fortinet. "Njegova opomba o odkupnini, prav tako imenovana 'readme.txt', vsebuje tri kanale Telegram, ki jih lahko žrtve uporabijo za pogovor z napadalcem."
Čeprav obvestilo o odkupnini ne vsebuje nobenih posebnih finančnih zahtev, je varno domnevati, da bodo morale žrtve plačati odkupnino za obnovitev datotek, ki so bile šifrirane, je dejal Fortinet.
Raziskava prodajalca varnosti je tudi pokazala nekaj prekrivanja med ScareCrowom in zloglasnim Različica izsiljevalske programske opreme Conti, eno najplodnejših orodij za izsiljevalsko programsko opremo doslej. Oba na primer uporabljata isti algoritem za šifriranje datotek in tako kot Conti tudi ScareCrow izbriše senčne kopije s pomočjo pripomočka ukazne vrstice WMI (wmic), da podatkov v okuženih sistemih ni mogoče obnoviti.
Predložitve VirusTotal kažejo, da je ScareCrow okužil sisteme v Združenih državah, Nemčiji, Italiji, Indiji, na Filipinih in v Rusiji.
In končno, AESRT, tretja nova družina izsiljevalskih programov, ki jo je Fortinet nedavno opazil v naravi, ima funkcionalnost, ki je podobna drugima dvema grožnjama. Glavna razlika je v tem, da zlonamerna programska oprema namesto obvestila o odkupnini prikaže pojavno okno z e-poštnim naslovom napadalca in polje, ki prikazuje ključ za dešifriranje šifriranih datotek, ko žrtev plača zahtevano odkupnino.
Ali bo Crypto-Collapse upočasnil grožnjo izsiljevalske programske opreme?
Sveže različice dopolnjujejo dolg in nenehno naraščajoč seznam groženj izsiljevalske programske opreme, s katerimi se morajo organizacije zdaj vsakodnevno ukvarjati, saj upravljavci izsiljevalske programske opreme neusmiljeno napadajo podjetniške organizacije.
Podatki o napadih z izsiljevalsko programsko opremo, ki jih je LookingGlass analiziral v začetku tega leta, so pokazali, da jih je bilo 1,133 potrjenih napadov z izsiljevalsko programsko opremo samo v prvi polovici leta 2022 – več kot polovica (52 %) je vplivala na ameriška podjetja. LookingGlass je ugotovil, da je najbolj aktivna skupina izsiljevalske programske opreme tista, ki stoji za različico LockBit, sledijo pa ji skupine za izsiljevalsko programsko opremo Conti, Black Basta in Alphy.
Vendar stopnja aktivnosti ni stabilna. Nekateri prodajalci varnostnih programov so poročali, da so opazili rahlo upočasnitev aktivnosti izsiljevalske programske opreme v določenih delih leta.
V polletnem poročilu je SecureWorks na primer dejal, da so njegovi odzivi na incidente maja in junija pokazali, da se je stopnja uspešnih novih napadov z izsiljevalsko programsko opremo nekoliko upočasnila.
SecureWorks je ugotovil, da je trend verjetno vsaj delno povezan z motnjami delovanja Conti RaaS v letošnjem letu in drugimi dejavniki, kot je razdiralni učinek vojne v Ukrajini o tolpah izsiljevalskih programov.
Drugo poročilo Centra za vire o kraji identitete (ITRC), poročali o 20-odstotnem upadu napadov z izsiljevalsko programsko opremo ki je povzročilo kršitev v drugem četrtletju 2022 v primerjavi s prvim četrtletjem leta. ITRC je tako kot SecureWorks ugotovil, da je padec povezan z vojno v Ukrajini in, kar je pomembno, s propadom kriptovalut, ki jih operaterji izsiljevalskih programov dajejo prednost plačilom.
Bryan Ware, izvršni direktor podjetja LookingGlass, pravi, da meni, da bi lahko kriptopropad leta 2023 oviral operaterje izsiljevalske programske opreme.
»Zaradi nedavnega škandala FTX se kriptovalute kopičijo, kar vpliva na monetizacijo izsiljevalske programske opreme in jo v bistvu naredi nepredvidljivo,« pravi. "To ni dobra napoved za operaterje izsiljevalske programske opreme, saj bodo morali dolgoročno razmisliti o drugih oblikah monetizacije."
Ware pravi trendi okoli kriptovalut ima nekaj skupin izsiljevalske programske opreme, ki razmišljajo o uporabi lastnih kriptovalut: "Nismo prepričani, da se bo to uresničilo, vendar so skupine na splošno zaskrbljene, kako bodo monetizirale in ohranile določeno raven anonimnosti v prihodnje."
- blockchain
- kriptokurrency denarnice
- kripto izmenjava
- kibernetska varnost
- cybercriminals
- Cybersecurity
- Temno branje
- oddelek za domovinsko varnost
- digitalne denarnice
- požarni zid
- Kaspersky
- zlonamerna programska oprema
- Mccafee
- NexBLOC
- platon
- platon ai
- Platonova podatkovna inteligenca
- Igra Platon
- PlatoData
- platogaming
- VPN
- spletna varnost
