Bitdefender Threat Debrief | Říjen 2024

Ransomware, který se dostává na titulní stránky novin, se může zdát v dnešní době normou, ale pro firmy a bezpečnostní týmy je to vážná každodenní realita. Každá nová taktika odhaluje o něco více o tom, jak tito útočníci operují - a nabízí příležitost posílit naši obranu. Analýzou aktivity ransomwaru ze září jsme odhalili nové vzorce, jak se kyberzločinci zaměřují na oběti a odvětví.

Náš podrobný průzkum odhalil 434 obětí, které si v tomto období připsaly ransomwarové skupiny, a každá z nich připomíná, že boj proti kybernetické kriminalitě ještě zdaleka neskončil.

Nyní prozkoumáme nejvýznamnější novinky a zjištění, týkající se ransomwaru, od našeho posledního vydání:

• Operace Chronos narušuje kampaně skupiny Evil Corp: Skupina Evil Corp, která má vazby na Kreml, nasadila Dridex a REvil v rámci svých kampaní ransomwaru jako služby (RaaS). S pomocí pobočky skupiny LockBit používala také ransomware LockBit. Výsledkem zásahu orgánů činných v trestním řízení byla identifikace více než 25 zaměstnanců skupiny Evil Corp, kterou tvořili členové, zprostředkovatelé a další podporovatelé. Více než čtyři členové přidružené skupiny LockBit byli zatčeni, včetně vedoucího a vývojáře LockBit. Jeden z orgánů pověřených vyšetřováním, Národní agentura pro boj proti trestné činnosti (NCA), dospěl k závěru, že ransomware LockBit 3,0 nemá za následek vymazání dat obětí.
  

• Operace DragonForce využívají varianty LockBit a Conti: DragonForce využívá při svých útocích ransomware modifikované nástroje. Spouštějí payloady obsahující upravené prvky nástrojů LockBit a Contiv3. DragonForce také nasazuje nástroje, jako jsou backdoor SystemBC a Cobalt Strike. Partneři, kteří podporují společnost DragonForce, mohou získat 80 % zisků získaných při RaaS operacích.
  

• Cicada nadále zasahuje prostředí VMWare ESXi: Útoky ransomwaru Cicada3301 zasahují prostředí VMWare ESXI na hostitelích se systémem Windows i Linux. Spojení tohoto ransomwaru s další skupinou RaaS, ALPHV, a distributorem Repellent Scorpius, zaznamenalo významný vývoj.
  

• CosmicBeetle spojuje síly s RansomHub: CosmicBeetle, nebo také NONAME, působí jako pobočka RansomHubu. CosmicBeetle byl kdysi známý používáním škodlivých nástrojů jako Spacecolon a spouštěním payloadů, které spouštěly ransomware Scarab; nyní však používá Scransom a RansomHub CosmicBeetle zahájil útoky proti organizacím v Evropě a Asii v odvětvích výroby, technologií, financí a zdravotnictví a vědy.
  

• RansomHub zavádí další taktiku obcházení obrany: RansomHub, skupina, která dříve používala EDRKillShifter, nasadila jinou metodu k zablokování služeb EDR. Skupina nedávno použila legitimní službu nazvanou TDSSKiller. Tento nástroj po spuštění interaguje s procesy na úrovni jádra, např. prostřednictvím spuštění dávkového souboru; RansomHub používá TDSSKiller k identifikaci a ukončení aktivních služeb EDR.
  

• Kritická chyba SonicWall zneužitá skupinami ransomwaru: CVE-2024-40766 je bezpečnostní chyba, která se týká zařízení SonicWall Gen 5, Gen 6 a Gen 7 se systémem SonicOS 7.0.1-5035 a staršími verzemi OS. Chyba vede k neoprávněnému přístupu k postiženému systému, a může způsobit pád brány firewall; Akira je jednou z větších skupin ransomwaru, která tuto chybu zneužila ke vzdálenému spuštění kódu. Organizacím, jejichž produkty jsou touto zranitelností ovlivněny, se doporučuje zakázat funkci správy WAN povolenou přes internet na bráně firewall a službě SSL-VPN, omezit přístup na důvěryhodné uživatele a zařízení a vynutit si systém MFA.
  

• Ruské kryptoměnové burzy podléhají sankcím: Úřad pro kontrolu zahraničních aktiv Ministerstva financí Spojených států uznal, že ruské gangy a skupiny zabývající se výkupným, se podílejí na praní špinavých peněz. Tyto organizace si vyměňovaly virtuální měnu a hromadily finanční aktiva v řádech milionů. V důsledku toho Ministerstvo financí USA uvalilo sankce na společnosti Cryptex a PM2BTC, dvě významné ruské burzy kryptoměn, aby zmrazilo aktiva, k nimž mají přístup zločinci, zabránilo toku majetku z nezákonných transakcí do zahraničních institucí a získalo podporu orgánů činných v trestním řízení pro vyšetřování všech zúčastněných stran.
  

• Zátah FBI narušuje tržiště provozované ruskými/kazachstánskými zločinci: Operace vedená FBI zlikvidovala tržiště WWH Club. Tržiště sloužilo k prodeji ukradených informací a dalších zdrojů zločineckým syndikátům, například nástrojů k provádění kybernetických útoků a informací k páchání podvodů, a obcházení orgánů činných v trestním řízení.
  

• INC Ransomware útočí na zdravotnické systémy: Šíření varianty ransomwaru INC vedlo k útokům na zdravotnický sektor. Hlavními aktéry hrozeb, zapojenými do těchto operací, jsou Vanilla Tempest a Storm-0494. Tyto skupiny pravděpodobně zakoupily kód ransomwaru INC od aktéra hrozeb salfetka. Mezi běžné vektory útoku, využívané při těchto útocích, patří veřejně přístupné služby, připojené k internetu, neaktualizované systémy a zachování výchozích privilegovaných pověření.
  

• New Ransomware Group, Valencia: V září si ransomware Valencia vyžádal několik obětí, které exfiltrovaly data, jako jsou osobní údaje a další citlivé informace. Skupina provozuje stránky zaměřené na únik dat, a může mít spojení s hackerskou osobou známou jako LoadingQ.
  

• Hrozby zneužívají nástroje AD k exfiltraci dat: Azure Storage Explorer, a nástroj příkazového řádku AzCopy, jsou nástroje integrované do cloudu AD, které umožňují uživateli přenášet data a spravovat prostředky úložiště. Skupiny ransomwaru BianLian a Rhysida instalují tyto nástroje do prostředí obětí, aby nahrály data do úložiště blob. Použití nástroje, jako je Azure Storage Explorer, je pro aktéra hrozby výhodné, protože může nahrát velký objem dat; pravděpodobnost rychlého odhalení se může také snížit, protože aktér hrozby používá službu, která má IP adresu společnosti Microsoft.

  
  

TOP 10 rodin ransomwaru

Nástroj Bitdefender Threat Debrief analyzuje data z webů s úniky ransomwaru, kde útočníci zveřejňují údajný počet napadených společností. Tento přístup poskytuje cenné informace o celkové aktivitě na trhu RaaS. Je zde však určitý kompromis: odráží sice úspěch, který útočníci sami deklarují, ale informace pocházejí přímo od zločinců a mohou být nespolehlivé. Tato metoda navíc zachycuje pouze počet deklarovaných obětí, nikoli skutečný finanční dopad těchto útoků.

TOP 10 zemí

Ransomwarové gangy si vybírají cíle, ze kterých mohou potenciálně vytáhnout nejvíce peněz. To často znamená, že se zaměřují na vyspělé země. Podívejme se nyní na 10 zemí, které tyto útoky zasáhly nejvíce.

O Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) je měsíční seriál analyzující novinky, trendy a výzkumy hrozeb za předchozí měsíc. Nenechte si ujít další vydání BDTD. Všechna předchozí vydání BDTD naleznete zde.

Bitdefender poskytuje řešení kybernetické bezpečnosti a pokročilou ochranu před hrozbami stovkám milionů koncových bodů po celém světě. Více než 180 technologických značek získalo licenci a přidalo technologii Bitdefender do svých produktů nebo služeb. Tento rozsáhlý ekosystém OEM doplňuje telemetrické údaje, které již byly shromážděny z našich podnikových a spotřebitelských řešení. Pro představu o rozsahu: laboratoře Bitdefender objeví každou minutu více než 400 nových hrozeb a denně ověří 30 miliard dotazů na hrozby. To nám dává jeden z nejrozsáhlejších přehledů o vyvíjejícím se prostředí hrozeb v reálném čase.

Rádi bychom poděkovali bitdefenderům Vladovi Craciunovi, Mihai Leonte, Andrei Mogage a Rares Radu (seřazeno podle abecedy) za pomoc při sestavování této zprávy.

AUTOR