Bitdefender Threat Debrief | február 2025

Je tu nový rok a ransomvér je v prostredí hrozieb naďalej silne zastúpený. V roku 2025 môžeme očakávať, že útočníci sa budú naďalej zlepšovať. V dôsledku toho je dôležité, aby si organizácie udržiavali povedomie o aktuálnych hrozbách, nových trendoch a potenciálnom vplyve, ktorý tieto hrozby môžu mať na ich aktíva a informačné systémy. Takýto proces pomáha organizácii prijímať informované rozhodnutia pri identifikácii relevantných rizík pre jej prostredie a prijímať opatrenia na ich zmiernenie. Analyzovali sme údaje z webových stránok skupiny ransomvéru od 1. januára do 31. januára a identifikovali sme celkovo 522 deklarovaných obetí.

Teraz sa venujeme najvýznamnejším novinkám a zisteniam týkajúcim sa ransomvéru od nášho posledného vydania:

• Najviac obetí si Akira vyžiadala v Januári: v roku 2024 si ransomvér vyžiadal viac ako 300 obetí a do konca roka 2025 by ich mohlo byť rovnako veľa (ak nie viac). Keďže sa Akira blíži k počtu 575 obetí, postupne doháňa RansomHub s viac ako 665 obeťami.
  

• Clop zostáva v prvej desiatke: Clop je skupina ransomvéru, ktorá naďalej využíva CVE-2024-50623 a CVE-2024-55956, ktoré ovplyvňujú produkty Harmony, LexiCom a VLTransfer. Organizáciám odporúčame, aby si prešli odporúčané preventívne opatrenia pre tieto zraniteľnosti a uistili sa, že softvér, ktorý používajú, je najnovšia opravená verzia. V čase vydania tejto správy si Clop vyžiadal celkovo viac ako 660 obetí. Hoci na prvý pohľad môže tento prístup pomôcť preukázať, že počet obetí Clopu sa blíži k počtu obetí RansomHubu a/alebo ho pravdepodobne prekoná, tento predpoklad je pochybný a možno ho prehodnotiť. Niektoré z obetí Clopu sa totiž prihlásili a popreli tvrdenia o akýchkoľvek útokoch.
  

• Operácia Talent viedla k zabaveniu kritických trhovísk: medzinárodné vyšetrovanie v januári viedlo k zabaveniu trhovísk Nulled a Cracked. Tieto trhoviská, ktoré boli založené v rokoch 2015 a 2016, sa používali na výmenu nelegálneho tovaru, ako sú ukradnuté údaje, malvér a iné materiály. Na vyšetrovacom úsilí sa s podporou Europolu podieľalo niekoľko federálnych subjektov vrátane ministerstva spravodlivosti USA, Federálneho úradu pre vyšetrovanie, generálneho inšpektora rumunskej polície a nemeckého Spolkového kriminálneho úradu. Operácia Talent vyvrcholila zaistením 17 serverov a majetku v celkovej hodnote 300 000 EUR, teda 312 480 USD, a zatknutím dvoch podozrivých osôb.
  

• GD LockerSec sa hlási k zodpovednosti za viaceré narušenia: skupina GD LockerSec bola spojená s incidentmi, ktoré postihli organizácie vo vládnom, vzdelávacom a technologickom sektore. Informácie o schopnostiach skupiny GD LockerSec sú obmedzené a počet nahlásených incidentov je malý. Existujú však určité pravidlá činnosti, ktoré sú definované v poznámke skupiny k ransomvéru. GD LockerSec tvrdí, že zakazuje útoky na nasledujúcich územiach: Čína, Spoločenstvo nezávislých štátov, Kuba a Severná Kórea. Skupina sa údajne zdržiava útokov na neziskové organizácie, ako sú nemocnice. Časom, keď bude zverejnených viac aktualizácií o akciách GD LockerSec, by sledovanie ich tvrdení a vyhodnocovanie toho, ako ich zásady korešpondujú s pretrvávajúcimi vzormi vo viktimológii alebo TTP, mohlo priniesť zaujímavé výsledky.

  
  

• Taktika AWS Living Off the Land znamená problémy pre bucketov Amazon S3: Codefinger bol spojený s kampaňami, ktoré používajú poverenia účtu Amazon Web Services a šifrovaciu schému na strane servera AWS na kompromitáciu bucketov S3. Útočník najprv získa prístup k účtu obete a identifikuje kľúče Customer Provided, ktoré majú povolené oprávnenia na zápis a čítanie pre buckety S3. Útočník tieto vedrá zašifruje; po spustení šifrovania sa kľúč nezachová spôsobom, ktorý by umožnil obeti ho extrahovať a dešifrovať. Kľúč je upravený a reprezentovaný ako kód na overovanie správ založený na hashovaní. Do všetkých adresárov sa potom pridá požiadavka na výkupné a rozhranie API na správu životného cyklu objektov S3 sa nakonfiguruje tak, aby do jedného týždňa odstránilo bucketov S3. Organizáciám sa odporúča prijať kritické opatrenia na zabránenie tomuto typu útoku; to možno dosiahnuť preskúmaním politík IAM a vypnutím nastavení šifrovania na strane servera (SSE-C) pre bucketov S3.

  
  

• GhostGPT dáva útočníkom ďalší nástroj umelej inteligencie na hranie: generatívne nástroje umelej inteligencie, ktoré sú určené na automatizáciu rôznych fáz kybernetického útoku, sú v hre už roky. GhostGPT zaujal svoje miesto popri nástrojoch ako WormGPT a HackerGPT. Používateľ môže do nástroja GhostGPT zadávať pokyny bez toho, aby pociťoval obvyklé obmedzenia otázok, a generovať odpovede na návrh šablón na vykonanie kompromitácie obchodnej elektronickej pošty (BEC) a iných podvodov. GhostGPT poskytuje funkcie, ktoré podporujú nielen vytváranie škodlivých skriptov a e-mailov sociálneho inžinierstva, ale aj prístup k botom Telegramu.
  

• Chyba v aplikácii 7-Zip umožňuje používateľom obísť MOTW a otvoriť súbory uložené v archívoch: Značka webu (MOTW) je atribút v metadátach súboru, ktorý označuje, či súbor pochádza z prostredia mimo používateľa alebo z internetu. Táto vlastnosť, ktorá je vlastná systému Windows, sa vyhodnocuje pri určovaní spôsobu spustenia súboru. Keď používateľ otvorí súbor, zistí sa MOTW, ktorý umožní zobrazenie vyskakovacieho okna. Používateľ potom potvrdí, či chce pokračovať v otváraní súboru; ak je súbor kompatibilný s balíkom Microsoft Office, zobrazí sa v chránenom zobrazení. CVE-2025-0411 je zraniteľnosť, ktorá umožňuje používateľovi otvoriť obsah archívneho súboru bez overenia prítomnosti MOTW. Útočník môže používateľovi poslať škodlivý archívny súbor. Používateľ potom k archívu pristupuje pomocou kompromitovanej verzie programu 7-Zip. Po rozbalení a spustení archívu sa v jeho obsahu nezachová atribút MOTW. Používateľom sa odporúča aktualizovať aplikáciu 7-Zip na najnovšiu verziu 24.09, aby sa táto zraniteľnosť odstránila.
  

• Predstavujeme partnerský panel Lynx: Lynx je skupina ransomvéru, ktorá sa od leta 2024 zaoberá dvojitým vydieraním. Partnerský panel skupiny bol nedávno odhalený tímom bezpečnostných výskumníkov, ktorí odhalili, že vysoké percento (80 %) finančných prostriedkov skupiny je poskytovaných partnerom Lynx. Panel je jedinečný v tom, že obsahuje funkciu stuffers, ktorá umožňuje pobočkám zdieľať jedinečnú metódu overovania ostatných, s ktorými môžu spolupracovať pri vykonávaní útokov. Partnerský panel Lynx obsahuje aj množstvo binárnych súborov, ktoré možno vybrať v kampaniach zameraných na operačné systémy Windows a Linux. Iterácie Lynx pre Windows a Linux majú funkcie, ktoré sa zhodujú s významnou časťou kódu INC Ransom. Ransomvér Lynx navyše používa šifrovanie Curve25519 Donna a AES-128.

  
  

TOP 10 rodín ransomvéru

Nástroj Bitdefender Threat Debrief analyzuje údaje zo stránok s únikom ransomvéru, kde útočníci zverejňujú údajný počet napadnutých spoločností. Tento prístup poskytuje cenné informácie o celkovej aktivite na trhu RaaS. Je tu však kompromis: hoci odráža vlastný deklarovaný úspech útočníkov, informácie pochádzajú priamo od zločincov a môžu byť nespoľahlivé. Okrem toho táto metóda zachytáva len počet deklarovaných obetí, nie skutočný finančný dosah týchto útokov.

TOP 10 krajín

Ransomvérové gangy si vyberajú ciele, z ktorých môžu potenciálne získať najviac peňazí. To často znamená, že sa zameriavajú na rozvinuté krajiny. Pozrime sa teraz na 10 krajín, ktoré boli týmito útokmi zasiahnuté najviac.

O Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) je mesačný seriál analyzujúci novinky, trendy a výskum hrozieb za predchádzajúci mesiac. Nenechajte si ujsť ďalšie vydanie BDTD. Všetky predchádzajúce vydania BDTD nájdete tu.

Spoločnosť Bitdefender poskytuje riešenia kybernetickej bezpečnosti a pokročilú ochranu pred hrozbami stovkám miliónov koncových bodov na celom svete. Viac ako 180 technologických značiek získalo licenciu a pridalo technológiu Bitdefender do svojich produktov alebo služieb. Tento rozsiahly ekosystém OEM dopĺňa telemetrické údaje, ktoré už boli zhromaždené z našich podnikových a spotrebiteľských riešení. Aby ste si vedeli predstaviť rozsah, laboratóriá Bitdefender objavia viac ako 400 nových hrozieb každú minútu a overia 30 miliárd dotazov na hrozby denne. To nám poskytuje jeden z najrozsiahlejších pohľadov na vyvíjajúce sa prostredie hrozieb v reálnom čase.

Radi by sme poďakovali bitdefenderom Vladovi Craciunovi, Mihai Leonte, Andrei Mogage a Rares Radu (v abecednom poradí) za pomoc pri zostavovaní tejto správy.

AUTOR