Bitdefender Threat Debrief – Grudzień 2024

Ponieważ organizacje stają w obliczu rosnącej aktywności ransomware w ostatnich miesiącach 2024 r., znaczenie utrzymywania solidnych strategii cyberbezpieczeństwa nigdy nie było bardziej oczywiste. Zrozumienie, w jaki sposób aktorzy zagrożeń rozwijają swoje taktyki, ma kluczowe znaczenie dla ochrony krytycznych danych i systemów. W tym miesiącu w Threat Debrief przeanalizowano aktywność grup ransomware od 1 do 30 listopada, odkrywając 647 domniemanych ofiar w ich witrynach wycieków.

Najnowsze cyberzagrożenia

Przyjrzyjmy się teraz niektórym ważnym wiadomościom i wydarzeniom, które miały miejsce od czasu naszego ostatniego wydania:

Aresztowanie w związku z cyberatakami na krytyczną infrastrukturę USA

Michaił Pawłowicz Matwiejew, twórca ransomware’u powiązany z operacjami LockBit i Babuk, został aresztowany przez rosyjskie władze. Matejew był przedmiotem intensywnych poszukiwań trwających prawie dwa lata. FBI wcześniej ogłosiło znaczną nagrodę w wysokości 10 milionów dolarów za jego schwytanie, powołując się na zarzuty włamania do komputera i spisku. Ponieważ cyberprzestępca stoi teraz w obliczu uwięzienia w Rosji, niektórzy spekulują, czy jego wyrok będzie porównywalny lub surowszy niż wyroki członków grupy REvIl skazanych na początku tego roku, którzy otrzymali kary więzienia od czterech do sześciu lat.

Głośne sukcesy Interpolu

INTERPOL przeprowadził kilka znaczących operacji w celu zwalczania cyberprzestępczości w 2024 r., w tym Operation HAECHI V. Operacja ta skutecznie zidentyfikowała tysiące cyberprzestępców, w tym osoby z Chin i Korei Północnej zamieszane w oszustwa phishingowe i schematy kompromitacji e-maili biznesowych. Odkryto również przypadki oszustw finansowych, w tym oszustwa stablecoin. Ten schemat przypisuje stałą wartość wirtualnej walucie, aby zachęcić ofiary do zakładania kont za pośrednictwem linków phishingowych, umożliwiając atakującym dostęp do ich funduszy.

Ymir Ransomware stosuje unikalne taktyki wykonywania

Ymir ransomware wykazuje nietypowe podejście do wykonywania w porównaniu z innymi rodzinami ransomware. Wykorzystuje funkcje zarządzania pamięcią, takie jak malloc, memmove, i memcmpdo wykonywania swojego kodu, zmniejszając w ten sposób prawdopodobieństwo wykrycia przez tradycyjne rozwiązania antywirusowe i wykrywania i reagowania na punkty końcowe (EDR), które często polegają na identyfikowaniu sygnatur i procesów opartych na dyskach. Ymir jest zazwyczaj wdrażany po tym, jak RustyStealer naruszy systemy, kradnąc poświadczenia i umożliwiając dalsze ataki. Ransomware wykorzystuje algorytm szyfrowania ChaCha20 i dodaje rozszerzenie .6C5oy2dVr6do dotkniętych plików.

Akira przeprowadza rekordową liczbę ataków w listopadzie

Ransomware Akira doświadczyło gwałtownego wzrostu aktywności w zeszłym miesiącu, a Bitdefender udokumentował 90 ofiar w samym listopadzie — znacznie przekraczając poprzedni miesięczny szczyt 30 ataków w lipcu. Aktywna od marca 2023 r. Akira jest szybko rozwijającą się grupą zagrożeń z potencjałem znacznego wzrostu w nadchodzącym roku.

CyberVolk przyjmuje model RaaS

CyberVolk, powiązana z Rosją grupa hakerów, rozszerzyła swoją działalność, przyjmując model Ransomware-as-a-Service (RaaS). Oprócz ransomware, grupa przeprowadziła ataki DDoS na wybrane organizacje. Pomimo powiązań geopolitycznych z interesami rosyjskimi, niektóre raporty sugerują, że działania CyberVolk mogą również obejmować cyberprzestępców w Indiach.

KillSec i SafePay wspięły się do pierwszej dziesiątki grup ransomware

KillSec i SafePay to dwie grupy ransomware zyskujące na coraz większej popularności. KillSec, rosyjska grupa hacktivistów, która uruchomiła program RaaS tego lata, sprzedaje również usługi takie jak testy penetracyjne i zbieranie OSINT. Tymczasem SafePay, która używa ransomware podobnego do LockBit, wykorzystuje technologię LockBit do swoich operacji. Grupa stosuje dodatkowe techniki, takie jak używanie WinRAR i FileZilla do eksfiltracji danych i taktyki „życia z ziemi”, w tym uruchamianie SystemSettingsAdminFlowsw celu wyłączenia obrony.

BianLian Pivots from Encryption

Działający od 2022 r. BianLian przesunął swoje zainteresowanie z szyfrowania plików ofiar na eksfiltrację danych. Ostatnie ataki nie obejmują już dodawania rozszerzeń .bianlian do zagrożonych plików. Zamiast tego BianLian wykorzystuje skrypty PowerShell i Rclone do kradzieży danych. Niedawny komunikat CISA podkreśla zaktualizowaną taktykę grupy.

Wariant ransomware Helldown atakuje systemy Linux

Helldown, grupa ransomware działająca od sierpnia 2024 r., opracowała nowy wariant Linuksa. Grupa wykorzystuje luki w zabezpieczeniach produktów VPN i zapór sieciowych Zyxel, w tym CVE-2024-42057, który umożliwia ataki polegające na wstrzykiwaniu poleceń. Działania Helldown obejmują również kradzież danych uwierzytelniających. Użytkownikom produktów Zyxel zdecydowanie zaleca się stosowanie najnowszych poprawek i egzekwowanie solidnych zasad dotyczących haseł, w tym regularnych aktualizacji haseł.

10 najpopularniejszych rodzajów ransomware

Threat Debrief firmy Bitdefender analizuje dane z witryn wycieków ransomware, gdzie grupy atakujących publikują swoje domniemane liczby naruszonych firm. To podejście zapewnia cenne informacje na temat ogólnej aktywności rynku RaaS. Istnieje jednak pewien kompromis; podczas gdy odzwierciedla ono samodeklarowany sukces atakujących, informacje pochodzą bezpośrednio od przestępców i mogą być niewiarygodne. Ponadto ta metoda rejestruje tylko liczbę domniemanych ofiar, a nie rzeczywisty wpływ finansowy tych ataków.

10 najczęściej atakowanych krajów

Gangi ransomware priorytetowo traktują cele, na których potencjalnie mogą wycisnąć najwięcej pieniędzy ze swoich ofiar. Często oznacza to skupienie się na krajach rozwiniętych. Teraz zobaczmy 10 krajów, które najbardziej ucierpiały w wyniku tych ataków.

O raporcie Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) to miesięczny cykl analizujący wiadomości o zagrożeniach, trendach i badaniach z poprzedniego miesiąca. Bitdefender zapewnia rozwiązania cyberbezpieczeństwa i zaawansowaną ochronę przed zagrożeniami dla setek milionów punktów końcowych na całym świecie. Ponad 180 marek technologicznych uzyskało licencję i dodało technologię Bitdefender do swoich produktów lub usług. Ten rozległy ekosystem OEM uzupełnia dane telemetryczne już zebrane z naszych rozwiązań biznesowych i konsumenckich. Aby dać Ci pojęcie o skali, laboratoria Bitdefender odkrywają ponad 400 nowych zagrożeń co minutę i codziennie weryfikują 30 miliardów zapytań o zagrożenia. Daje nam to jeden z najbardziej rozbudowanych w branży widoków w czasie rzeczywistym na ewoluujący krajobraz zagrożeń.
Jeśli chcesz poznać więcej możliwości, które zapewnią Ci produkty z linii Bitdefender GravityZone, to sprawdź tę stronę.