Število žrtev izsiljevalske programske opreme narašča, ko se akterji groženj usmerijo k podvigom ničelnega dne

Število organizacij, ki so postale žrtve napadov z izsiljevalsko programsko opremo, se je med prvim četrtletjem leta 143 in prvim četrtletjem letošnjega leta povečalo za 2022 %, saj so napadalci vedno bolj izkoriščali ranljivosti ničelnega dne in enodnevne napake za vdor v ciljna omrežja.

V mnogih od teh napadov se akterji groženj sploh niso potrudili šifrirati podatkov, ki pripadajo organizacijam žrtev. Namesto tega so se osredotočili izključno na krajo svojih občutljivih podatkov in izsiljevali žrtve z grožnjami, da bodo podatke prodali ali razkrili drugim. Ta taktika je celo tiste s sicer robustnimi postopki varnostnega kopiranja in obnavljanja pustila v kotu.

Naval žrtev

Raziskovalci pri Akamai odkrili trende ko so pred kratkim analizirali podatke, zbrane na mestih uhajanja, ki pripadajo 90 skupinam izsiljevalske programske opreme. Mesta za uhajanje podatkov so lokacije, kjer skupine izsiljevalske programske opreme običajno objavijo podrobnosti o svojih napadih, žrtvah in kakršnih koli podatkih, ki so jih morda šifrirale ali odtujile.

Analiza podjetja Akamai je pokazala, da več priljubljenih predstav o napadih z izsiljevalsko programsko opremo ne drži več v celoti. Eden najpomembnejših je po mnenju podjetja premik od lažnega predstavljanja kot začetnega vektorja dostopa k izkoriščanju ranljivosti. Akamai je ugotovil, da je več večjih operaterjev izsiljevalske programske opreme osredotočenih na pridobivanje ranljivosti zero-day – bodisi z lastnimi raziskavami bodisi z nabavo iz virov na sivem trgu – za uporabo v svojih napadih.

Eden opaznih primerov je skupina izsiljevalske programske opreme Cl0P, ki je zlorabila ranljivost zero-day SQL-injection v Fortrini programski opremi GoAnywhere (CVE-2023-0669) v začetku tega leta za prodor v številna odmevna podjetja. Maja je isti povzročitelj grožnje zlorabil drugo napako zero-day, ki jo je odkril – tokrat v aplikaciji za prenos datotek MOVEIt družbe Progress Software (CVE-2023-34362) — infiltrirati se v desetine velikih organizacij po vsem svetu. Akamai je ugotovil, da se je število žrtev Cl0p povečalo za devetkrat med prvim četrtletjem leta 2022 in prvim četrtletjem tega leta, potem ko je začel izkoriščati napake ničelnega dne.

Čeprav izkoriščanje ranljivosti ničelnega dne ni posebej novo, je nastajajoči trend med akterji izsiljevalske programske opreme, da jih uporabljajo v obsežnih napadih, pomemben, je dejal Akamai.

»Zlasti zaskrbljujoč je interni razvoj ranljivosti ničelnega dne,« pravi Eliad Kimhy, vodja skupine CORE pri Akamai za varnostne raziskave. "To vidimo pri Cl0p z njunima nedavnima velikima napadoma in pričakujemo, da bodo druge skupine sledile temu in izkoristile svoje vire za nakup in pridobivanje tovrstnih ranljivosti."

V drugih primerih so velika podjetja z izsiljevalsko programsko opremo, kot sta LockBit in ALPHV (alias BlackCat), povzročila opustošenje, ko so skočila na novo razkrite ranljivosti, preden so organizacije imele možnost uporabiti popravek prodajalca zanje. Primeri takih ranljivosti "prvega dne" vključujejo Ranljivosti PaperCut iz aprila 2023 (CVE-2023-27350 in CVE-2023-27351) in ranljivosti v strežnikih VMware ESXi, ki jih je izkoristil operater kampanje ESXiArgs.

Premik od šifriranja do eksfiltracije

Akamai je tudi ugotovil, da so se nekateri operaterji izsiljevalske programske opreme – na primer tisti, ki stojijo za kampanjo BianLian – v celoti preusmerili na šifriranje podatkov. do izsiljevanja s krajo podatkov. Razlog, zakaj je prehod pomemben, je v tem, da so imele organizacije s šifriranjem podatkov možnost, da pridobijo svoje zaklenjene podatke, če so imele dovolj robusten postopek varnostnega kopiranja in obnavljanja podatkov. Pri kraji podatkov organizacije nimajo te priložnosti in morajo namesto tega plačati ali tvegati, da akterji groženj javno razkrijejo njihove podatke - ali še huje, da jih prodajo drugim.

Raznolikost tehnik izsiljevanja je opazna, pravi Kimhy. »Iztirivanje podatkov se je začelo kot dodaten vzvod, ki je bil na nek način sekundaren glede na šifriranje datotek,« ugotavlja Kimhy. "Dandanes vidimo, da se uporablja kot primarni vzvod za izsiljevanje, kar pomeni, da na primer varnostna kopija datotek morda ne bo zadostovala."

Večina žrtev v Akamaijevem naboru podatkov – pravzaprav jih je približno 65 % – so bila mala do srednje velika podjetja s prijavljenimi prihodki do 50 milijonov dolarjev. Večje organizacije, ki se pogosto dojemajo kot največje tarče izsiljevalske programske opreme, so dejansko predstavljale le 12 % žrtev. Proizvodna podjetja so doživela nesorazmeren odstotek napadov, sledijo pa jim zdravstveni subjekti in podjetja za finančne storitve. Pomembno je, da je Akamai ugotovil, da imajo organizacije, ki so bile izpostavljene napadu z izsiljevalsko programsko opremo, zelo velika verjetnost, da bodo doživele drugi napad v treh mesecih po prvem napadu.

Pomembno je poudariti, da je pred lažnim predstavljanjem še vedno zelo pomembno obrambo, pravi Kimhy. Hkrati morajo organizacije dati prednost popravku na novo razkritih ranljivosti. Dodaja: »Še vedno veljajo ista priporočila, ki smo jih dali, kot je razumevanje nasprotnika, površin groženj, uporabljenih, priljubljenih in razvitih tehnik ter zlasti, katere izdelke, procese in ljudi morate razviti, da zaustaviti sodobni napad izsiljevalske programske opreme.«

• Distribucija vsebine in PR s pomočjo SEO. Okrepite se še danes.
• PlatoData.Network Vertical Generative Ai. Opolnomočite se. Dostopite tukaj.
• PlatoAiStream. Web3 Intelligence. Razširjeno znanje. Dostopite tukaj.
• PlatoESG. Avtomobili/EV, Ogljik, CleanTech, Energija, Okolje, sončna energija, Ravnanje z odpadki. Dostopite tukaj.
• BlockOffsets. Posodobitev okoljskega offset lastništva. Dostopite tukaj.
• vir: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits