Företagssäkerhetsteam kan lägga till ytterligare tre ransomware-varianter till den ständigt växande listan över ransomware-hot som de behöver övervaka.
De tre varianterna – Vohuk, ScareCrow och AESRT – som de flesta ransomware-verktyg, riktar sig till Windows-system och verkar spridas relativt snabbt på system som tillhör användare i flera länder. Säkerhetsforskare vid Fortinets FortiGuard Labs som spårar hoten den här veckan beskrev ransomware-proverna som att de vinner inslag i företagets ransomware-databas.
Fortinets analys av de tre hoten visade att de var standardverktyg för ransomware av det slag som ändå har varit mycket effektiva för att kryptera data på komprometterade system. Fortinets varning identifierade inte hur operatörerna av de nya ransomware-proverna distribuerar sin skadliga programvara, men den noterade att nätfiske-e-post vanligtvis har varit den vanligaste vektorn för ransomware-infektioner.
Ett växande antal varianter
"Om tillväxten av ransomware under 2022 indikerar vad framtiden har att erbjuda, bör säkerhetsteam överallt förvänta sig att se denna attackvektor bli ännu mer populär under 2023", säger Fred Gutierrez, senior säkerhetsingenjör vid Fortinets FortiGuard Labs.
Bara under första halvåret 2022 ökade antalet nya ransomware-varianter som FortiGuard Labs identifierade med nästan 100 % jämfört med föregående sexmånadersperiod, säger han. FortiGuard Labs-teamet dokumenterade 10,666 2022 nya ransomware-varianter under första halvåret 5,400 jämfört med bara 2021 XNUMX under andra halvan av XNUMX.
"Denna tillväxt av nya ransomware-varianter är främst tack vare att fler angripare utnyttjar ransomware-as-a-service (RaaS) på Dark Web", säger han.
Han tillägger: "Dessutom är den kanske mest oroande aspekten att vi ser en ökning av mer destruktiva ransomware-attacker i stor skala och över praktiskt taget alla sektortyper, vilket vi förväntar oss kommer att fortsätta in i 2023."
Standard men effektiva Ransomware-stammar
Vohuk ransomware-varianten som Fortinet-forskare analyserade verkade vara i sin tredje iteration, vilket tyder på att dess författare aktivt utvecklar den.
Skadlig programvara släpper en lösennota, "README.txt," på komprometterade system som ber offren att kontakta angriparen via e-post med ett unikt ID, sa Fortinet. Anteckningen informerar offret om att angriparen inte är politiskt motiverad utan bara är intresserad av ekonomisk vinning – förmodligen för att försäkra offren att de skulle få tillbaka sina uppgifter om de betalade den begärda lösen.
Samtidigt, "ScareCrow är en annan typisk ransomware som krypterar filer på offrens maskiner," sa Fortinet. "Dess lösennota, även kallad 'readme.txt', innehåller tre Telegram-kanaler som offren kan använda för att prata med angriparen."
Även om lösennotan inte innehåller några specifika ekonomiska krav, är det säkert att anta att offren kommer att behöva betala en lösensumma för att återställa filer som var krypterade, sa Fortinet.
Säkerhetsleverantörens forskning visade också en viss överlappning mellan ScareCrow och den ökända Conti ransomware-variant, ett av de mest produktiva ransomware-verktygen någonsin. Båda använder till exempel samma algoritm för att kryptera filer, och precis som Conti tar ScareCrow bort skuggkopior med hjälp av WMI:s kommandoradsverktyg (wmic) för att göra data omöjlig att återställa på infekterade system.
Inlämningar till VirusTotal tyder på att ScareCrow har infekterat system i USA, Tyskland, Italien, Indien, Filippinerna och Ryssland.
Och slutligen, AESRT, den tredje nya ransomware-familjen som Fortinet nyligen upptäckte i naturen, har funktionalitet som liknar de två andra hoten. Den största skillnaden är att istället för att lämna en lösennota, levererar den skadliga programvaran ett popup-fönster med angriparens e-postadress och ett fält som visar en nyckel för att dekryptera krypterade filer när offret har betalat upp den begärda lösen.
Kommer kryptokollaps att sakta ner hotet om ransomware?
De färska varianterna lägger till den långa – och ständigt växande – listan över ransomware-hot som organisationer nu måste hantera dagligen, eftersom ransomware-operatörer obevekligt fortsätter att hamra på företagsorganisationer.
Data om ransomware-attacker som LookingGlass analyserade tidigare i år visade att det fanns några 1,133 XNUMX bekräftade ransomware-attacker bara under första halvåret 2022 — mer än hälften (52 %) påverkade amerikanska företag. LookingGlass fann att den mest aktiva ransomware-gruppen var den bakom LockBit-varianten, följt av grupper bakom Conti, Black Basta och Alphy ransomware.
Aktivitetstakten är dock inte stabil. Vissa säkerhetsleverantörer rapporterade att de observerade en liten nedgång i ransomware-aktiviteten under vissa delar av året.
I en halvårsrapport sa SecureWorks, till exempel, att deras ingripanden i maj och juni antydde att takten med vilken framgångsrika nya ransomware-attacker inträffade hade saktat ner en aning.
SecureWorks identifierade trenden som sannolikt att ha att göra, åtminstone delvis, med störningen av Conti RaaS-verksamheten i år och andra faktorer som t.ex. störande effekt av kriget i Ukraina på ransomware-gäng.
En annan rapport, från Identity Theft Resource Center (ITRC), rapporterade en 20% minskning av ransomware-attacker som resulterade i ett brott under andra kvartalet 2022 jämfört med årets första kvartal. ITRC, liksom SecureWorks, identifierade nedgången som att ha att göra med kriget i Ukraina och, avsevärt, med kollapsen av kryptovalutor som ransomware-operatörer gynnar för betalningar.
Bryan Ware, vd för LookingGlass, säger att han tror att kryptokollapsen kan hindra ransomware-operatörer 2023.
"Den senaste FTX-skandalen har spridit sig till kryptovalutor, och detta påverkar intäktsgenereringen av ransomware och gör den i grunden oförutsägbar", säger han. "Detta bådar inte gott för ransomware-operatörer eftersom de kommer att behöva överväga andra former av intäktsgenerering på lång sikt."
Ware säger trender kring kryptovalutor har några ransomware-grupper som överväger att använda sina egna kryptovalutor: "Vi är osäkra på att detta kommer att förverkligas, men totalt sett är ransomware-grupper oroliga för hur de kommer att tjäna pengar och bibehålla en viss grad av anonymitet framöver."
