Nạn nhân của ransomware gia tăng khi các tác nhân đe dọa chuyển sang khai thác Zero-Day

Số tổ chức trở thành nạn nhân của các cuộc tấn công bằng mã độc tống tiền đã tăng 143% trong khoảng thời gian từ quý 2022 năm XNUMX đến quý đầu tiên của năm nay, khi những kẻ tấn công ngày càng tận dụng các lỗ hổng zero-day và lỗ hổng một ngày để đột nhập vào mạng mục tiêu.

Trong nhiều cuộc tấn công này, các tác nhân đe dọa không bận tâm đến việc mã hóa dữ liệu thuộc về các tổ chức nạn nhân. Thay vào đó, họ chỉ tập trung vào việc đánh cắp dữ liệu nhạy cảm của mình và tống tiền nạn nhân bằng cách đe dọa bán hoặc tiết lộ dữ liệu cho người khác. Chiến thuật này khiến ngay cả những người có quy trình sao lưu và khôi phục mạnh mẽ cũng bị dồn vào một góc.

Số nạn nhân gia tăng

Các nhà nghiên cứu tại Akamai phát hiện ra các xu hướng khi gần đây họ đã phân tích dữ liệu được thu thập từ các trang web rò rỉ thuộc 90 nhóm ransomware. Các trang web rò rỉ là những địa điểm mà các nhóm mã độc tống tiền thường tiết lộ thông tin chi tiết về các cuộc tấn công, nạn nhân và bất kỳ dữ liệu nào mà chúng có thể đã mã hóa hoặc lấy cắp.

Phân tích của Akamai cho thấy một số quan niệm phổ biến về các cuộc tấn công ransomware không còn hoàn toàn đúng nữa. Theo công ty, một trong những điều quan trọng nhất là sự thay đổi từ lừa đảo như một vectơ truy cập ban đầu sang khai thác lỗ hổng. Akamai phát hiện ra rằng một số kẻ khai thác phần mềm tống tiền lớn đang tập trung vào việc thu thập các lỗ hổng zero-day — thông qua nghiên cứu nội bộ hoặc bằng cách mua nó từ các nguồn chợ đen — để sử dụng trong các cuộc tấn công của chúng.

Một ví dụ đáng chú ý là nhóm ransomware Cl0P, nhóm này đã lạm dụng lỗ hổng zero-day SQL-injection trong phần mềm GoAnywhere của Fortra (CVE-2023-0669) vào đầu năm nay để đột nhập vào nhiều công ty nổi tiếng. Vào tháng XNUMX, cùng một tác nhân đe dọa đã lạm dụng một lỗi zero-day khác mà nó đã phát hiện ra — lần này là trong ứng dụng chuyển tệp MOVEIt của Progress Software (CVE-2023-34362) — để thâm nhập vào hàng chục tổ chức lớn trên toàn cầu. Akamai nhận thấy số nạn nhân của Cl0p đã tăng gấp 2022 lần từ quý đầu tiên của năm XNUMX đến quý đầu tiên của năm nay sau khi nó bắt đầu khai thác lỗi zero-day.

Akamai cho biết, mặc dù việc tận dụng các lỗ hổng zero-day không phải là đặc biệt mới, nhưng xu hướng mới nổi giữa các tác nhân ransomware sử dụng chúng trong các cuộc tấn công quy mô lớn là rất đáng kể.

Eliad Kimhy, người đứng đầu nhóm CORE của nghiên cứu bảo mật Akamai cho biết: “Đặc biệt đáng lo ngại là sự phát triển nội bộ của các lỗ hổng zero-day. “Chúng tôi thấy điều này với Cl0p với hai cuộc tấn công lớn gần đây của họ và chúng tôi hy vọng các nhóm khác sẽ làm theo và tận dụng tài nguyên của họ để mua và cung cấp các loại lỗ hổng này.”

Trong các trường hợp khác, các phần mềm tống tiền lớn như LockBit và ALPHV (còn gọi là BlackCat) đã gây ra sự tàn phá bằng cách nhảy vào các lỗ hổng mới được tiết lộ trước khi các tổ chức có cơ hội áp dụng bản sửa lỗi của nhà cung cấp cho chúng. Ví dụ về các lỗ hổng “ngày đầu tiên” như vậy bao gồm Lỗ hổng PaperCut của tháng 2023 năm XNUMX (CVE-2023-27350 và CVE-2023-27351) và các lỗ hổng trong máy chủ ESXi của VMware mà người điều hành chiến dịch ESXiArgs đã khai thác.

Xoay vòng từ mã hóa sang lọc

Akamai cũng phát hiện ra rằng một số kẻ vận hành mã độc tống tiền — chẳng hạn như những kẻ đứng sau chiến dịch BianLian — đã xoay trục hoàn toàn khỏi mã hóa dữ liệu để tống tiền thông qua đánh cắp dữ liệu. Lý do chuyển đổi quan trọng là với mã hóa dữ liệu, các tổ chức có cơ hội truy xuất dữ liệu bị khóa của họ nếu họ có quy trình sao lưu và khôi phục dữ liệu đủ mạnh. Với hành vi trộm cắp dữ liệu, các tổ chức không có cơ hội đó và thay vào đó phải trả tiền hoặc có nguy cơ bị các tác nhân đe dọa làm rò rỉ công khai dữ liệu của họ — hoặc tệ hơn là bán dữ liệu đó cho người khác.

Kimhy nói rằng sự đa dạng hóa của các kỹ thuật tống tiền là rất đáng chú ý. Kimhy lưu ý: “Việc đánh cắp dữ liệu đã bắt đầu như một đòn bẩy bổ sung, theo một cách nào đó, là thứ yếu đối với việc mã hóa các tệp. “Ngày nay, chúng tôi thấy nó được sử dụng như một đòn bẩy chính để tống tiền, điều đó có nghĩa là sao lưu tệp, chẳng hạn, có thể không đủ.”

Hầu hết các nạn nhân trong bộ dữ liệu của Akamai — thực tế là khoảng 65% trong số họ — là các doanh nghiệp vừa và nhỏ với doanh thu được báo cáo lên tới 50 triệu USD. Các tổ chức lớn hơn, thường được coi là mục tiêu ransomware lớn nhất, thực sự chỉ chiếm 12% số nạn nhân. Các công ty sản xuất đã trải qua một tỷ lệ phần trăm các cuộc tấn công không tương xứng, tiếp theo là các tổ chức chăm sóc sức khỏe và các công ty dịch vụ tài chính. Đáng chú ý, Akamai nhận thấy rằng các tổ chức gặp phải cuộc tấn công ransomware có xác suất rất cao gặp phải cuộc tấn công thứ hai trong vòng ba tháng kể từ cuộc tấn công đầu tiên.

Kimhy nói, điều quan trọng cần nhấn mạnh là lừa đảo vẫn rất quan trọng để chống lại. Đồng thời, các tổ chức cần ưu tiên vá các lỗ hổng mới được tiết lộ. Anh ấy nói thêm, “[T]các khuyến nghị tương tự mà chúng tôi đã đưa ra vẫn được áp dụng, chẳng hạn như hiểu về kẻ thù, các bề mặt của mối đe dọa, các kỹ thuật được sử dụng, ưa chuộng và phát triển, và đặc biệt là những sản phẩm, quy trình và con người nào bạn cần phát triển để ngăn chặn một cuộc tấn công ransomware hiện đại.”

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/threat-intelligence/ransomware-victims-surge-as-threat-actors-pivot-to-zero-day-exploits