Кількість жертв програм-вимагачів різко зростає, оскільки суб’єкти загрози звертаються до експлойтів нульового дня

Кількість організацій, які стали жертвами атак програм-вимагачів, зросла на 143% між першим кварталом 2022 року та першим кварталом цього року, оскільки зловмисники все частіше використовували вразливості нульового дня та одноденні недоліки для проникнення в цільові мережі.

У багатьох із цих атак зловмисники навіть не намагалися зашифрувати дані організацій-жертв. Натомість вони зосередилися виключно на крадіжці їхніх конфіденційних даних і вимаганні жертв, погрожуючи продати або передати дані іншим. Ця тактика залишила в кутку навіть тих, у кого в іншому випадку були надійні процеси резервного копіювання та відновлення.

Сплеск жертв

Дослідники з Akamai виявив тенденції коли вони нещодавно проаналізували дані, зібрані з сайтів витоку, що належать до 90 груп програм-вимагачів. Сайти витоків — це місця, де групи програм-вимагачів зазвичай оприлюднюють деталі про свої атаки, жертв і будь-які дані, які вони могли зашифрувати або викрасти.

Аналіз Akamai показав, що кілька популярних уявлень про атаки програм-вимагачів більше не відповідають дійсності. Одним із найбільш значущих, на думку компанії, є перехід від фішингу як початкового вектора доступу до використання вразливостей. Akamai виявила, що кілька великих операторів програм-вимагачів зосереджені на отриманні вразливостей нульового дня — шляхом власних досліджень або шляхом отримання їх із джерел сірого ринку — для використання у своїх атаках.

Одним із помітних прикладів є група програм-вимагачів Cl0P, яка зловжила вразливістю SQL-ін’єкції нульового дня в програмному забезпеченні Fortra GoAnywhere (CVE-2023-0669) на початку цього року, щоб проникнути в численні компанії високого рівня. У травні той самий загрозник використав іншу виявлену помилку нульового дня — цього разу в додатку для передачі файлів MOVEIt від Progress Software (CVE-2023-34362) — щоб проникнути в десятки великих організацій у всьому світі. Akamai виявила, що кількість жертв Cl0p зросла в дев’ять разів між першим кварталом 2022 року та першим кварталом цього року після того, як він почав використовувати помилки нульового дня.

Хоча використання вразливостей нульового дня не є чимось новим, тенденція, що з’являється серед учасників програм-вимагачів використовувати їх у великомасштабних атаках, є значною, сказав Акамаі.

«Особливе занепокоєння викликає власна розробка вразливостей нульового дня», — каже Еліад Кімхі, керівник групи CORE з досліджень безпеки Akamai. «Ми бачимо це з Cl0p з їхніми двома недавніми великими атаками, і ми очікуємо, що інші групи наслідуватимуть цей приклад і використовуватимуть свої ресурси для придбання та джерела таких типів уразливостей».

В інших випадках такі великі програми-вимагачі, як-от LockBit і ALPHV (він же BlackCat), спричинили хаос, перескочивши на нещодавно виявлені вразливості, перш ніж організації мали можливість застосувати для них виправлення постачальника. Приклади таких уразливостей «першого дня» включають Уразливості PaperCut квітня 2023 року (CVE-2023-27350 і CVE-2023-27351) і вразливості в серверах ESXi VMware, якими скористався оператор кампанії ESXiArgs.

Перехід від шифрування до ексфільтрації

Akamai також виявила, що деякі оператори програм-вимагачів, наприклад ті, хто стоїть за кампанією BianLian, повністю відмовилися від шифрування даних. до вимагання через крадіжку даних. Причина важливого перемикання полягає в тому, що завдяки шифруванню даних організації мали шанс відновити свої заблоковані дані, якщо мали достатньо надійний процес резервного копіювання та відновлення даних. З крадіжкою даних організації не мають такої можливості, а натомість повинні або платити, або ризикувати тим, що зловмисники публічно розкриють їхні дані — або, що ще гірше, продадуть їх іншим.

Диверсифікація методів вимагання помітна, каже Кімхі. «Викрадання даних почалося як додатковий важіль, який певною мірою був вторинним щодо шифрування файлів», — зазначає Кімхі. «Зараз ми бачимо, що це використовується як основний важіль для вимагання, що означає, наприклад, резервне копіювання файлів може бути недостатнім».

Більшість жертв у наборі даних Akamai — фактично близько 65% — були малими та середніми підприємствами з доходами до 50 мільйонів доларів США. Більші організації, які часто сприймаються як найбільші мішені програм-вимагачів, насправді становили лише 12% жертв. Виробничі компанії зазнали непропорційно великого відсотка атак, за ними йдуть установи охорони здоров’я та компанії, що надають фінансові послуги. Важливо, що Akamai виявив, що організації, які зазнали атаки програм-вимагачів, мали дуже високу ймовірність зазнати другої атаки протягом трьох місяців після першої атаки.

Важливо підкреслити, що захищатися від фішингу все ще дуже важливо, каже Кімхі. У той же час організаціям необхідно визначити пріоритети для виправлення нещодавно виявлених уразливостей. Він додає: «Ті самі рекомендації, які ми робили, досі діють, як-от розуміння супротивника, поверхонь загрози, використовуваних, улюблених і розроблених методів, а також, зокрема, які продукти, процеси та людей вам потрібно розробити, щоб зупинити сучасну атаку програм-вимагачів».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• PlatoData.Network Vertical Generative Ai. Додайте собі сили. Доступ тут.
• PlatoAiStream. Web3 Intelligence. Розширення знань. Доступ тут.
• ПлатонЕСГ. Автомобільні / електромобілі, вуглець, CleanTech, Енергія, Навколишнє середовище, Сонячна, Поводження з відходами. Доступ тут.
• BlockOffsets. Модернізація екологічної компенсаційної власності. Доступ тут.
• джерело: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits