Offer för ransomware ökar när hotaktörer svänger till Zero-Day Exploits

Antalet organisationer som blev offer för ransomware-attacker ökade med 143 % mellan första kvartalet 2022 och första kvartalet i år, eftersom angripare alltmer utnyttjade nolldagars sårbarheter och endagsbrister för att bryta sig in i målnätverk.

I många av dessa attacker brydde sig inte hotaktörer så mycket som om att kryptera data som tillhörde offerorganisationer. Istället fokuserade de enbart på att stjäla deras känsliga uppgifter och pressa ut offer genom att hota att sälja eller läcka uppgifterna till andra. Taktiken lämnade även de med annars robusta backup- och återställningsprocesser tillbaka i ett hörn.

En ökning av offer

Forskare vid Akamai upptäckt trenderna när de nyligen analyserade data som samlats in från läcksajter som tillhör 90 ransomware-grupper. Läckagesidor är platser där grupper av ransomware vanligtvis släpper information om sina attacker, offer och all data som de kan ha krypterat eller exfiltrerat.

Akamais analys visade att flera populära föreställningar om ransomware-attacker inte längre är helt sanna. En av de viktigaste, enligt företaget, är ett skifte från nätfiske som en initial åtkomstvektor till exploatering av sårbarheter. Akamai fann att flera stora ransomware-operatörer är fokuserade på att skaffa sig nolldagars sårbarheter – antingen genom intern forskning eller genom att skaffa det från gråmarknadskällor – för att använda i sina attacker.

Ett anmärkningsvärt exempel är Cl0P ransomware-gruppen, som missbrukade en nolldagars SQL-injektionssårbarhet i Fortras GoAnywhere-programvara (CVE-2023-0669) tidigare i år för att bryta sig in i många högprofilerade företag. I maj missbrukade samma hotaktör en annan nolldagarsbugg som den upptäckte – den här gången i Progress Softwares filöverföringsapplikation MOVEIt (CVE-2023-34362) — att infiltrera dussintals stora organisationer globalt. Akamai fann att antalet offer för Cl0p ökade niofaldigt mellan första kvartalet 2022 och första kvartalet i år efter att det började utnyttja nolldagsbuggar.

Även om det inte är särskilt nytt att utnyttja nolldagssårbarheter, är den framväxande trenden bland ransomware-aktörer att använda dem i storskaliga attacker betydande, sa Akamai.

"Särskilt oroande är den interna utvecklingen av nolldagssårbarheter", säger Eliad Kimhy, chef för Akamais säkerhetsforsknings CORE-team. "Vi ser det här med Cl0p med deras två senaste stora attacker, och vi förväntar oss att andra grupper följer efter och utnyttjar sina resurser för att köpa och hämta dessa typer av sårbarheter."

I andra fall orsakade stora ransomware-outfits som LockBit och ALPHV (alias BlackCat) kaos genom att hoppa på nyligen avslöjade sårbarheter innan organisationer hade en chans att tillämpa leverantörens fix för dem. Exempel på sådana "dag ett"-sårbarheter inkluderar PaperCut-sårbarheter från april 2023 (CVE-2023-27350 och CVE-2023-27351) och sårbarheter i VMwares ESXi-servrar som operatören för ESXiArgs-kampanjen utnyttjade.

Pivotering från kryptering till exfiltrering

Akamai fann också att vissa ransomware-operatörer – som de bakom BianLian-kampanjen – helt har svängt från datakryptering till utpressning genom datastöld. Anledningen till att bytet är betydande är att med datakryptering hade organisationer en chans att hämta sina låsta data om de hade en tillräckligt robust datasäkerhetskopiering och -återställningsprocess. Med datastöld har organisationer inte den möjligheten utan måste istället antingen betala eller riskera att hotaktörerna offentligt läcker sin data – eller ännu värre, säljer den till andra.

Diversifieringen av utpressningstekniker är anmärkningsvärd, säger Kimhy. "Exfiltreringen av data hade börjat som ytterligare hävstångseffekt som på vissa sätt var sekundär till kryptering av filer," noterar Kimhy. "Nuförtiden ser vi att det används som en primär hävstång för utpressning, vilket innebär att till exempel säkerhetskopiering av filer kanske inte är tillräcklig."

De flesta av offren i Akamais datauppsättning – ungefär 65 % av dem faktiskt – var små till medelstora företag med rapporterade intäkter på upp till 50 miljoner dollar. Större organisationer, ofta uppfattade som de största ransomware-målen, utgjorde faktiskt bara 12 % av offren. Tillverkningsföretag upplevde en oproportionerligt stor andel av attackerna, följt av sjukvårdsenheter och finansiella tjänsteföretag. Betecknande nog fann Akamai att organisationer som upplever en ransomware-attack hade en mycket hög sannolikhet att uppleva en andra attack inom tre månader efter den första attacken.

Det är viktigt att betona att nätfiske fortfarande är väldigt viktigt att försvara sig mot, säger Kimhy. Samtidigt måste organisationer prioritera korrigering av nyligen avslöjade sårbarheter. Han tillägger, "[S]samma rekommendationer som vi har gjort gäller fortfarande, som att förstå motståndaren, hotytor, tekniker som används, gynnas och utvecklas, och särskilt vilka produkter, processer och människor du behöver utveckla för att stoppa en modern ransomware-attack."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Fordon / elbilar, Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• BlockOffsets. Modernisera miljökompensation ägande. Tillgång här.
• Källa: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits