Bitdefender Threat Debrief Wrzesień 2024

Zagrożenia ransomware nadal stanowią wyzwanie dla specjalistów ds. bezpieczeństwa, wymagając ciągłej czujności. Dzięki ścisłemu śledzeniu zmian w profilach ofiar, technikach ataków i celach branżowych odkrywamy kluczowe informacje na temat sposobu działania tych cyberprzestępców. W comiesięcznym raporcie Bitdefender Threat Debrief została przedstawiona aktywność grup ransomware od 1 do 31 sierpnia 2024 r., kiedy to publicznie zgłoszono 414 ofiar w różnych branżach.

Przyjrzyjmy się teraz najważniejszym wiadomościom i odkryciom na temat oprogramowania ransomware od czasu ostatniego Threat Debrief

RansomHub pozostawia po sobie więcej ofiar: RansomHub, grupa, która utrzymywała pozycję w pierwszej dziesiątce grup ransomware Bitdefender, pochłonęła ponad 200 ofiar w swojej kampanii przeciwko sektorom prywatnym i krytycznym. Działania RansomHub zostały zidentyfikowane przez wiele agencji śledczych w lutym 2024 r.; CISA niedawno opublikowała wspólny poradnik dokumentujący TTP i praktyki łagodzenia RansomHub. RansomHub włączył EDRKillShifter do swoich technik omijania EDR; narzędzie jest wykorzystywane w oparciu o koncepcję BYOVD. Wyodrębnianych jest kilka ładunków w celu zidentyfikowania zaufanych sterowników, które są zgodne z podatnymi na ataki sterownikami w systemie ofiary, wykorzystania luk w celu uzyskania uprzywilejowanego dostępu i zatrzymania procesów EDR.

Ransomware Cicada3301 pojawia się w cieniu BlackCat: Grupa ransomware znana jako Cicada3301 (również Cicada) pochłonęła ponad 15 ofiar w ciągu ostatniego miesiąca. Różne raporty określają Cicada jako wariant rodziny BlackCat, ponieważ aspekty jej kodu są podobne. Możliwe jest również, że Cicada to przemianowana grupa, która działa pod nową nazwą zamiast BlackCat. Cicada ma wspólne cechy, które są zgodne z TTP BlackCat, w tym ruch boczny, unikanie obrony i hamowanie środków odzyskiwania systemu.

Meow Ransoms Persist: Meow, grupa ransomware o zasięgu globalnym, pochłonęła ponad 30 ofiar w sierpniu. Wraz ze wzrostem liczby postów na ich stronie wycieku danych, Meow pozostaje poważnym zagrożeniem. Przewidujemy, że Meow znajdzie się w przyszłym miesiącu w pierwszej dziesiątce grup ransomware wśród pięciu najgroźniejszych rodzajów.

Zakłócona międzynarodowa operacja ransomware: Operacja ransomware zorganizowana przez Dispossesor (Radar), znanego również jako Brain, została przerwana po przejęciu 24 serwerów i 9 domen przez agencje międzynarodowe. W międzynarodowym dochodzeniu brało udział wiele agencji wywiadowczych, w tym siły z siedzibą w Stanach Zjednoczonych, Wielkiej Brytanii i Niemczech.

Kampanie UNC757 zostały zidentyfikowane jako ataki sponsorowane przez państwo: Ataki ransomware przeprowadzone przez irańską grupę UNC757 pochłonęły szereg ofiar, w tym organizacje w Stanach Zjednoczonych i na Bliskim Wschodzie. CISA poinformowało, że chociaż UNC757, znany również jako Br0k3r i xplfinder, działa od 2017 r., w ostatnich latach ich ataki były wspierane przez rząd Iranu (GOI).

Zgłoszono lukę w zabezpieczeniach Jenkins: CVE-2024-23897 zgłoszono jako wektor infekcji dla grup ransomware, takich jak RansomExx i IntelBroker. Luka w zabezpieczeniach Jenkins to problem z przemierzaniem ścieżki. Atakujący wykorzystują ją do odczytywania plików z dotkniętego serwera Jenkins i zdalnego wykonywania kodu.

Wariant Protona rozwija możliwości poprzednika: Zola, ransomware związany z rodziną Proton, pojawił się z ulepszonymi możliwościami; wyłącznik awaryjny Zoli oparty na klawiaturze, schemat szyfrowania ChaCha20 i nadpisywanie wolnej przestrzeni to kluczowe cechy ilustrujące ewolucję szczepu. Wolna przestrzeń lub luz na dysku to niewykorzystany obszar przestrzeni dyskowej, który zawiera segmenty danych; nadpisanie wolnego miejsca na dysku może zniweczyć próby odzyskania usuniętych elementów.

10 najpopularniejszych rodzajów ransomware

Threat Debrief firmy Bitdefender analizuje dane z witryn wycieków ransomware, gdzie grupy atakujących publikują rzekomą liczbę naruszonych firm. To podejście zapewnia cenne informacje na temat ogólnej aktywności rynku RaaS. Istnieje jednak pewien kompromis: podczas gdy odzwierciedla ono samodeklarowany sukces atakujących, informacje pochodzą bezpośrednio od przestępców i mogą być niewiarygodne. Ponadto ta metoda rejestruje tylko liczbę rzekomych ofiar, a nie rzeczywisty wpływ finansowy tych ataków.

10 najczęściej atakowanych krajów

Gangi ransomware priorytetowo traktują cele, na których potencjalnie mogą wycisnąć najwięcej pieniędzy ze swoich ofiar. Często oznacza to skupienie się na krajach rozwiniętych. Teraz zobaczmy 10 krajów, które najbardziej ucierpiały w wyniku tych ataków.

O raporcie Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) to miesięczny cykl analizujący wiadomości o zagrożeniach, trendy i badania z poprzedniego miesiąca. Nie przegap kolejnego wydania BDTD, obserwuj nas na Facebooku i LinkedIn.

Bitdefender zapewnia rozwiązania cyberbezpieczeństwa i zaawansowaną ochronę przed zagrożeniami dla setek milionów punktów końcowych na całym świecie. Ponad 180 marek technologicznych uzyskało licencję i dodało technologię Bitdefender do swoich produktów lub usług. Ten rozległy ekosystem OEM uzupełnia dane telemetryczne już zebrane z naszych rozwiązań biznesowych i konsumenckich. Aby dać Ci pojęcie o skali, laboratoria Bitdefender odkrywają ponad 400 nowych zagrożeń co minutę i weryfikują 30 miliardów zapytań o zagrożenia dziennie. Daje nam to jeden z najbardziej rozbudowanych w branży widoków w czasie rzeczywistym na ewoluujący krajobraz zagrożeń.

Jeśli chcesz poznać możliwości systemów antywirusowych z linii Bitdefender GravityZone, to sprawdź tę stronę.