Bitdefender Threat Debrief | Listopad 2024

Útoky ransomwaru stále způsobují organizacím značné škody, které vedou k finančním a provozním výpadkům, jež jsou často závažné a jimž lze předejít. Přístup k aktuálním údajům o hlavních hrozbách ransomwaru je nezbytný pro identifikaci trendů v profilech obětí, taktikách útoků a dalších prvcích, které utvářejí prostředí hrozeb. V období od 1. října do 1. listopadu odhalila naše analýza webových stránek skupin ransomwaru celkem 593 deklarovaných obětí.

Nyní prozkoumáme nejvýznamnější novinky a zjištění, týkající se ransomwaru, od našeho posledního vydání:

• Zločinci ze skupiny REvil dostávají tresty odnětí svobody: Ruský soud vynesl konečný rozsudek nad čtyřmi členy REvilu, kteří byli shledáni vinnými z distribuce malwaru a praní špinavých peněz. Aktéři hrozby byli odsouzeni k trestům v rozmezí od čtyř a půl do šesti let, přičemž nejdelší trest si odpyká vůdce REvilu Daniil Puzyrevsky. Vyšetřování, které předcházelo zatčení členů REvilu, a úsilí, které vyvinulo státní zastupitelství, jsou významnými milníky v rámci potírání ruské kybernetické kriminality. Panuje však nejistota ohledně stavu operací REvilu a ohledně toho, zda se skupina v očekávání zásahu orgánů činných v trestním řízení rozhodla reorganizovat nebo změnit značku.

  
  

• RansomHub si vyžádal více obětí než LockBit: Od prvních zpráv o incidentech RansomHubu v únoru 2024 nashromáždil RansomHub více než 450 obětí. Skupina si udržuje stabilní počet měsíčních útoků. Pro srovnání, počet obětí skupiny LockBit v průběhu času klesal. Očekávaný pokles lze přičíst úspěšnému zabavení domény LockBit orgány činnými v trestním řízení na začátku tohoto roku.
  

• Operace Jump Pices podporovaná Play: Jump Pices, pokročilá perzistentní hrozba (APT), byla spojena se skupinou ransomwaru Play. Jump Pices je státem sponzorovaná severokorejská kybernetická skupina. Podle nedávných zpráv úspěšně zahájila sérii útoků přístupem ke kompromitovaným uživatelským účtům, zdokonalením dalších procesů sběru pověření a následným nasazením ransomwaru Play a nástrojů exploitačního rámce. Zda byl navázán partnerský typ vztahu, který by Jump Pices umožnil používat Play, není známo.

  
  

• Black Basta vymýšlí útoky přes Microsoft Teams: Black Basta používá taktiku sociálního inženýrství, kdy se v e-mailech a zprávách zasílaných obětem přes Microsoft Teams vydává za „Help Desk“. Jakmile skupina útočníků nabídne podporu při řešení problémů se spamem a přesvědčí koncové uživatele, aby klikli na odkaz, stáhne se AnyDesk. Bylo také zaznamenáno použití nástroje QuickAssist ke spuštění payloadů s názvy antispamového softwaru, včetně názvů AntispamAccount a Antispam Update. A Black Basta používá Cobalt Strike k vytvoření laterálního pohybu.
  

• Noví operátoři ve světě dvojitého vydírání: Oběti si v poslední době vyžádaly nové skupiny ransomwaru, jako jsou InterLOck, HellCat a KillSec. I když je počet jejich obětí ve srovnání se skupinami se zavedenou historií nižší, ukazují tyto varianty důležité ponaučení. Většina skupin, které jsou schopny provádět zásadní průzkum, infiltrovat sítě obětí, spouštět ransomware a provozovat stránky s uniklými daty, je značně nebezpečná a má potenciál stát se časem ještě většími hrozbami.

  
  

• PaidMemes zavádí BabyLockerKZ: BabyLockerKZ je varianta ransomwaru odvozená od MedusaLocker. BabyLockerKZ je spojen s útoky na malé a střední podniky, zejména v Jižní Americe. Varianta MedusaLocker je spojena s PaidMemes, který funguje jako Access Broker; stejný název má i jedinečný klíč spuštění. První incidenty spojené s PaidMemes naznačují, že skupina byla aktivní od roku 2022; téměř o rok později, koncem roku 2023, zahájila vzorec útoků, který využíval BabyLockerKZ.

  
  

• Pracovníci zabývající se výzkumem hrozeb odhalili partnerskou platformu Cicada3301: Výzkumníci z Group-IB identifikovali komunikaci skupiny Cicada3301 na ruském fóru Anonymous Markekerplace. Vývojáři si s aktérem hrozby dopisovali, pronikli do jeho prostředí a získali přístup ke klíčovým informacím, včetně partnerského panelu skupiny Cicada3301 a možností přizpůsobení ransomwaru. Od léta letošního roku, kdy bylo zaznamenáno několik prvních incidentů, bylo ransomwarem Cicada3301 zasaženo více organizací. I nadále se jedná o skupinu, kterou je třeba sledovat, protože zavádí pro rozvoj svých operací zajímavé taktiky.

  
  

• Varianta Qilin má utajené schopnosti: B, varianta ransomwaru Qilin, byla spojena s útoky na zdravotnické organizace. Varianta Qilin.B se od své předchozí iterace liší metodami obcházení obrany a možnostmi šifrování, včetně AES-256-CTR. Tento kmen ransomwaru využívá více payloadů a sdílí některé podobnosti s ransomwarem Embargo. Jednou z takových podobností je použití nástroje MS4Killer, který Qilin.B používá k narušení činnosti EDR; jedná se o nástroj napsaný v jazyce Rust a spouští se po spuštění loaderu s názvem MDeployer.

  
  

• Crypt Ghouls nasazuje prominentní ransomware: Crypt Ghouls je skupina ransomwaru, která v minulosti zneužívala běžné nástroje k doručování payloadů a úpravě infrastruktury obětí, jako je PowerShell a škodlivé RMM. Nedávné zprávy však naznačují, že útočník spouští ransomware jako LockBit 3.o a Babuk. Crypt Ghouls má za sebou kampaně proti ruským organizacím. Bez ohledu na to, zda má Crypt Ghouls aktivní spojení s pobočkou LockBit, nebo zda vytváří ransomwarové payload-založené na uniklém kódu LockBit, LockBit nepřestal být využíván.

  
  

• NotLockBit se zaměřuje na jiné systémy než Windows: NotLockBit provedl útoky na systémy s macOS. Mezi vlastnosti ransomwaru patří možnost zjišťování a průzkumu systému a asymetrické šifrování. Po spuštění se na infikovaných zařízeních také načte téma pracovní plochy LockBit 2.0. Ačkoli se kdysi předpokládalo, že NotLockBit používá kód z nástroje LockBit builder, toto tvrzení je nyní považováno za nepravdivé. Útoky NotLockBit začaly na jaře roku 2022. Vzhledem ke zprávám o významném útočníkovi, který zasáhl systémy macOS, je pravděpodobné, že dojde k dalšímu vývoji v oblasti útoků na macOS.

  
  

TOP 10 rodin ransomwaru

Nástroj Bitdefender Threat Debrief analyzuje data z webů s úniky ransomwaru, kde útočníci zveřejňují údajný počet napadených společností. Tento přístup poskytuje cenné informace o celkové aktivitě na trhu RaaS. Je zde však určitý kompromis: odráží sice úspěch, který útočníci sami deklarují, ale informace pocházejí přímo od zločinců a mohou být nespolehlivé. Tato metoda navíc zachycuje pouze počet deklarovaných obětí, nikoli skutečný finanční dopad těchto útoků.

TOP 10 zemí

Ransomwarové gangy si vybírají cíle, ze kterých mohou potenciálně vytáhnout nejvíce peněz. To často znamená, že se zaměřují na vyspělé země. Podívejme se nyní na 10 zemí, které tyto útoky zasáhly nejvíce.

O Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) je měsíční seriál analyzující novinky, trendy a výzkumy hrozeb za předchozí měsíc. Nenechte si ujít další vydání BDTD. Všechna předchozí vydání BDTD naleznete zde.

Bitdefender poskytuje řešení kybernetické bezpečnosti a pokročilou ochranu před hrozbami stovkám milionů koncových bodů po celém světě. Více než 180 technologických značek získalo licenci a přidalo technologii Bitdefender do svých produktů nebo služeb. Tento rozsáhlý ekosystém OEM doplňuje telemetrické údaje, které již byly shromážděny z našich podnikových a spotřebitelských řešení. Pro představu o rozsahu: laboratoře Bitdefender objeví každou minutu více než 400 nových hrozeb a denně ověří 30 miliard dotazů na hrozby. To nám dává jeden z nejrozsáhlejších přehledů o vyvíjejícím se prostředí hrozeb v reálném čase.

Rádi bychom poděkovali bitdefenderům Vladovi Craciunovi, Mihai Leonte, Andrei Mogage a Rares Radu (seřazeno podle abecedy) za pomoc při sestavování této zprávy.

AUTOR