Bitdefender Threat Debrief | Október 2024

Ransomware, ktorý sa dostáva na titulné stránky novín, sa môže zdať v dnešnej dobe normou, ale pre firmy a bezpečnostné tímy je to vážna každodenná realita. Každá nová taktika odhaľuje o niečo viac o tom, ako títo útočníci operujú – a ponúka príležitosť posilniť našu obranu. Analýzou aktivity ransomwaru zo septembra sme odhalili nové vzorce, ako sa kyberzločinci zameriavajú na obete a odvetvia.

Náš podrobný prieskum odhalil 434 obetí, ktoré si v tomto období pripísali ransomwarové skupiny, a každá z nich pripomína, že boj proti kybernetickej kriminalite ešte zďaleka neskončil.

Teraz preskúmame najvýznamnejšie novinky a zistenia, týkajúce sa ransomwaru, od nášho posledného vydania:

• Operácia Chronos narúša kampane skupiny Evil Corp : Skupina Evil Corp, ktorá má väzby na Kremeľ , nasadila Dridex a REvil v rámci svojich kampaní ransomwaru ako služby (RaaS). S pomocou pobočky skupiny LockBit používala aj ransomware LockBit. Výsledkom zásahu orgánov činných v trestnom konaní bola identifikácia viac ako 25 zamestnancov skupiny Evil Corp , ktorú tvorili členovia, sprostredkovatelia a ďalší podporovatelia. Viac ako štyria členovia pridruženej skupiny LockBit boli zatknutí, vrátane vedúceho a vývojárov LockBit. Jeden z orgánov poverených vyšetrovaním, Národná agentúra pre boj proti trestnej činnosti (NCA), dospel k záveru, že ransomware LockBit 3,0 nemá za následok vymazanie dát obetí .

• Operácie DragonForce využívajú varianty LockBit a Conti : DragonForce využíva pri svojich útokoch ransomware modifikované nástroje. Spúšťajú payloady obsahujúce upravené prvky nástrojovLockBit a Contiv3 . DragonForce tiež nasadzuje nástroje, ako sú backdoorSystemBC a Cobalt Strike . Partneri, ktorí podporujú spoločnosť DragonForce, môžu získať80% ziskov získaných pri RaaS operáciách.

• Cicada naďalej zasahuje prostredie VMWare ESXi : Útoky ransomvéru Cicada3301 zasahujú prostredie VMWare ESXI na hostiteľoch so systémom Windows aj Linux. Spojenie tohto ransomwaru s ďalšou skupinou RaaS, ALPHV, a distribútorom Repellent Scorpius , zaznamenalo významný vývoj.

• CosmicBeetle spája sily s RansomHub : CosmicBeetle, alebo tiež NONAME, pôsobí ako pobočka RansomHubu . CosmicBeetle bol kedysi známy používaním škodlivých nástrojov ako Spacecolon a spúšťaním payloadov, ktoré spúšťali ransomware Scarab; teraz však používa Scransom a RansomHub CosmicBeetle začal útoky proti organizáciám v Európe a Ázii v odvetviach výroby, technológií, financií a zdravotníctva a vedy.

• RansomHub zavádza ďalšiu taktiku obchádzania obrany : RansomHub, skupina, ktorá predtým používala EDRKillShifter, nasadila inú metódu na zablokovanie služieb EDR. Skupina nedávno použila legitímnu službu nazvanú TDSSKiller . Tento nástroj po spustení interaguje s procesmi na úrovni jadra, napr. prostredníctvom spustenia dávkového súboru; RansomHub používa TDSSKiller na identifikáciu a ukončenie aktívnych služieb EDR.

• Kritická chyba SonicWall zneužitá skupinami ransomvéru : CVE-2024-40766 je bezpečnostná chyba, ktorá sa týka zariadení SonicWall Gen 5, Gen 6 a Gen 7 so systémom SonicOS 7.0.1-5035 a staršími verziami OS. Chyba vedie k neoprávnenému prístupu k postihnutému systému, a môže spôsobiť pád brány firewall ; Akira je jednou z väčších skupín ransomvéru, ktorá túto chybu zneužila na vzdialené spustenie kódu. Organizáciám, ktorých produkty sú touto zraniteľnosťou ovplyvnené, sa odporúča zakázať funkciu správy WAN povolenú cez internet na bráne firewall a službe SSL-VPN, obmedziť prístup na dôveryhodných užívateľov a zariadení a vynútiť si systém MFA.

• Ruské kryptomenové burzy podliehajú sankciám : Úrad pre kontrolu zahraničných aktív Ministerstva financií Spojených štátov uznal, že ruské gangy a skupiny zaoberajúce sa výkupným, sa podieľajú na praní špinavých peňazí. Tieto organizácie si vymieňali virtuálnu menu a hromadili finančné aktíva v rádoch miliónov. V dôsledku toho Ministerstvo financií USA uvalilo sankcie na spoločnosti Cryptex a PM2BTC , dve významné ruské burzy kryptomien, aby zmrazilo aktíva, ku ktorým majú prístup zločinci, zabránilo toku majetku z nezákonných transakcií do zahraničných inštitúcií a získalo podporu orgánov činných v trestnom konaní pre čin zúčastnených strán.

• Záťah FBI narúša trhovisko prevádzkované ruskými/kazachstanskými zločincami : Operácia vedená FBI zlikvidovala trhovisko WWH Club . Trhovisko slúžilo na predaj ukradnutých informácií a ďalších zdrojov zločineckým syndikátom, napríklad nástrojov na vykonávanie kybernetických útokov a informácií na páchanie podvodov , a obchádzanie orgánov činných v trestnom konaní.

• INC Ransomware útočí na zdravotnícke systémy : Šírenie variantu ransomvéru INC viedlo k útokom na zdravotnícky sektor . Hlavnými aktérmi hrozieb, zapojenými do týchto operácií, sú Vanilla Tempest a Storm-0494 . Tieto skupiny pravdepodobne zakúpili kód ransomvéru INC od aktéra hrozieb salfetka. Medzi bežné vektory útoku, využívané pri týchto útokoch, patria verejne prístupné služby, pripojené k internetu, neaktualizované systémy a zachovanie východiskových privilegovaných poverení.

• New Ransomware Group, Valencia : V septembri si ransomware Valencia vyžiadal niekoľko obetí, ktoré exfiltrovali dáta, ako sú osobné údaje a ďalšie citlivé informácie. Skupina prevádzkuje stránky zamerané na únik dát, a môže mať spojenie s hackerskou osobou známou ako LoadingQ .

• Hrozby zneužívajú nástroje AD na exfiltráciu dát : Azure Storage Explorer, a nástroj príkazového riadka AzCopy , sú nástroje integrované do cloudu AD, ktoré umožňujú užívateľovi prenášať dáta a spravovať prostriedky úložiska. Skupiny ransomwaru BianLian a Rhysida inštalujú tieto nástroje do prostredia obetí, aby nahrali dáta do úložiska blob. Použitie nástroja, ako je Azure Storage Explorer, je pre aktéra hrozby výhodné, pretože môže nahrať veľký objem dát ; pravdepodobnosť rýchleho odhalenia sa môže tiež znížiť, pretože aktér hrozby používa službu, ktorá má IP adresu spoločnosti Microsoft.

  
  

TOP 10 rodín ransomvéru

Nástroj Bitdefender Threat Debrief analyzuje dáta z webov s únikmi ransomvéru, kde útočníci zverejňujú údajný počet napadnutých spoločností. Tento prístup poskytuje cenné informácie o celkovej aktivite na trhu RaaS. Je tu však určitý kompromis: odráža síce úspech, ktorý útočníci sami deklarujú, ale informácie pochádzajú priamo od zločincov a môžu byť nespoľahlivé. Táto metóda navyše zachytáva iba počet deklarovaných obetí, nie skutočný finančný vplyv týchto útokov.

TOP 10 krajín

Ransomwarové gangy si vyberajú ciele, z ktorých môžu potenciálne vytiahnuť najviac peňazí. To často znamená, že sa zameriavajú na vyspelé krajiny. Pozrime sa teraz na 10 krajín, ktoré tieto útoky zasiahli najviac.

O Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) je mesačný seriál analyzujúci novinky, trendy a výskumy hrozieb za predchádzajúci mesiac. Nenechajte si ujsť ďalšie vydanie BDTD. Všetky predchádzajúce vydania BDTD nájdete tu .

Bitdefender poskytuje riešenie kybernetickej bezpečnosti a pokročilú ochranu pred hrozbami stovkám miliónov koncových bodov po celom svete. Viac ako 180 technologických značiek získalo licenciu a pridalo technológiu Bitdefender do svojich produktov alebo služieb. Tento rozsiahly ekosystém OEM dopĺňa telemetrické údaje, ktoré už boli zhromaždené z našich podnikových a spotrebiteľských riešení. Pre predstavu o rozsahu: laboratóriá Bitdefender objavia každú minútu viac ako 400 nových hrozieb a denne overia 30 miliárd otázok na hrozby. To nám dáva jeden z najrozsiahlejších prehľadov o vyvíjajúcom sa prostredí hrozieb v reálnom čase.

Radi by sme poďakovali bitdefendrom Vladovi Craciunovi, Mihai Leonte, Andrei Mogage a Rares Radu (zoradené podľa abecedy) za pomoc pri zostavovaní tejto správy.

AUTOR