Bitdefender Threat Debrief Październik 2024

Ransomware pojawiające się na pierwszych stronach gazet może wydawać się normą w dzisiejszych czasach, ale dla firm i zespołów ds. bezpieczeństwa jest to poważne zagrożenie, z którym mierzą się codziennie. Każda nowa taktyka ujawnia nieco więcej na temat sposobu działania tych atakujących — i daje szansę na wzmocnienie naszych zabezpieczeń. Analizując aktywność ransomware z września, odkryliśmy nowe wzorce w sposobie, w jaki cyberprzestępcy atakują ofiary i branże.

Szczegółowa analiza Bitdefender ujawnia, że w ostatnim miesiącu grupy zajmujące się oprogramowaniem ransomware przyznały się do 434 ofiar. Każdy z tych przypadków to przypomnienie, że walka z cyberprzestępczością jest daleka od zakończenia.

Przyjrzyjmy się teraz najważniejszym wiadomościom i odkryciom na temat ransomware, jakie pojawiły się od ostatniego wydania Bitdefender Threat Debrief:

Operacja Chronos przerywa kampanie Evil Corp: Evil Corp, grupa powiązana z Kremlem, wdrożyła Dridex i REvil w swoich kampaniach ransomware-as-a-service (RaaS). Używali również ransomware LockBit z pomocą podmiotu stowarzyszonego LockBit. Zlikwidowanie przez organy ścigania doprowadziło do zidentyfikowania ponad 25 pracowników Evil Corp, w tym członków, pośredników i innych zwolenników. Aresztowano ponad czterech członków stowarzyszonych LockBit, w tym lidera i programistę LockBit. Jeden z organów odpowiedzialnych za śledztwo, National Crime Agency (NCA), stwierdził, że ransomware LockBit 3,0 nie powoduje usunięcia danych ofiary.

Operacje DragonForce wykorzystują warianty LockBit i Conti: DragonForce wykorzystuje zmodyfikowane narzędzia w swoich atakach ransomware. Cyberprzestępcy wykonali ładunki zawierające dostosowane elementy LockBit i Contiv3. DragonForce wdraża również narzędzia takie jak backdoor SystemBC i Cobalt Strike. Członkowie stowarzyszeni, którzy wspierają DragonForce, mogą otrzymać 80% zysków uzyskanych w swoich operacjach RaaS.

Cicada nadal atakuje środowiska VMWare ESXi: Ataki ransomware Cicada3301 wpływają na środowiska VMWare ESXI zarówno na hostach Windows, jak i Linux. Powiązania tego ransomware z inną grupą RaaS, ALPHV, i dystrybutorem Repellent Scorpius odnotowały znaczące zmiany.

CosmicBeetle łączy siły z RansomHub: CosmicBeetle lub NONAME działa jako podmiot stowarzyszony RansomHub. CosmicBeetle był kiedyś znany z używania złośliwych narzędzi, takich jak Spacecolon i wykonywania ładunków, które uruchamiały ransomware Scarab; jednak teraz używają Scransom i RansomHub CosmicBeetle przeprowadził ataki na organizacje w Europie i Azji w sektorach produkcji, technologii, finansów oraz zdrowia i nauki.

RansomHub wdraża inną taktykę unikania obrony: RansomHub, grupa, która wcześniej używała EDRKillShifter, przyjęła inną metodę zatrzymywania usług EDR. Grupa ostatnio użyła legalnej usługi o nazwie TDSSKiller. Narzędzie to wchodzi w interakcję z procesami na poziomie jądra po uruchomieniu, np. poprzez wykonanie pliku wsadowego; RansomHub używa TDSSKiller do identyfikowania i kończenia aktywnych usług EDR.

Krytyczna luka w zabezpieczeniach SonicWall wykorzystywana przez grupy ransomware: CVE-2024-40766 to luka w zabezpieczeniach, która dotyczy urządzeń SonicWall Gen 5, Gen 6 i Gen 7 z systemem SonicOS 7.0.1-5035 i starszymi wersjami systemu operacyjnego. Luka powoduje nieautoryzowany dostęp do dotkniętego systemu i może spowodować awarię zapory; Akira jest jedną z większych grup ransomware, która wykorzystała tę lukę w celu zdalnego wykonania kodu. Organizacje, których produkty są dotknięte tą luką, powinny wyłączyć funkcję zarządzania siecią WAN włączoną przez Internet w zaporze i usłudze SSL-VPN, ograniczyć dostęp do zaufanych użytkowników i urządzeń oraz wymusić uwierzytelnianie wieloskładnikowe (MFA).

Rosyjskie giełdy kryptowalut objęte sankcjami: Biuro Kontroli Aktywów Zagranicznych Skarbu Państwa Stanów Zjednoczonych uznało, że rosyjskie gangi i grupy ransomware zajmowały się praniem pieniędzy. Organizacje te wymieniały wirtualną walutę i gromadziły aktywa finansowe w milionach. W rezultacie Skarb Państwa USA nałożył sankcje na Cryptex i PM2BTC, dwie czołowe rosyjskie giełdy kryptowalut, aby zamrozić aktywa, do których uzyskali dostęp przestępcy, zapobiec przepływowi aktywów z nielegalnych transakcji do zagranicznych instytucji i uzyskać wsparcie organów ścigania w celu zbadania wszelkich zaangażowanych stron.

Akcja FBI dezorganizuje rynek prowadzony przez rosyjskich/kazachskich przestępców: Operacja prowadzona przez FBI zlikwidowała rynek WWH Club. Rynek był używany do sprzedaży skradzionych informacji i innych zasobów syndykatom przestępczym, takich jak narzędzia do przeprowadzania cyberataków i informacje do popełniania oszustw i unikania organów ścigania.

Szczep INC Ransomware atakuje systemy opieki zdrowotnej: Dystrybucja wariantu INC ransomware doprowadziła do ataków na sektor opieki zdrowotnej. Głównymi aktorami zagrożeń zaangażowanymi w te operacje są Vanilla Tempest i Storm-0494. Grupy te prawdopodobnie kupiły kod INC ransomware od aktora zagrożeń salfetka. Typowe wektory ataków wykorzystywane w tych atakach obejmują usługi publiczne połączone z Internetem, niezałatane systemy i zachowywanie domyślnych uprzywilejowanych poświadczeń.

Nowa grupa ransomware, Valencia: Ransomware Valencia pochłonęło kilka ofiar we wrześniu, wykradając dane, takie jak PII i inne poufne informacje. Grupa prowadzi witrynę wycieku danych i może mieć powiązania z hakerem znanym jako LoadingQ.

Aktorzy zagrożeń wykorzystują narzędzia AD do eksfiltracji danych: Azure Storage Explorer i narzędzie wiersza poleceń AzCopy to zintegrowane z chmurą narzędzia AD, które umożliwiają użytkownikowi przesyłanie danych i zarządzanie zasobami pamięci masowej. Grupy ransomware BianLian i Rhysida instalują narzędzia w środowiskach ofiar, aby przesyłać dane do magazynu obiektów blob. Korzystanie z narzędzia takiego jak Azure Storage Explorer jest korzystne dla aktora zagrożeń, ponieważ może on przesyłać dużą ilość danych; szanse na szybkie wykrycie mogą być również zmniejszone, ponieważ aktor zagrożeń korzysta z usługi, która ma adres IP firmy Microsoft.

10 najpopularniejszych rodzajów ransomware

Threat Debrief firmy Bitdefender analizuje dane z witryn wycieków ransomware, gdzie grupy atakujących publikują rzekomą liczbę naruszonych firm. To podejście zapewnia cenne informacje na temat ogólnej aktywności rynku RaaS. Istnieje jednak pewien kompromis: podczas gdy odzwierciedla ono samodeklarowany sukces atakujących, informacje pochodzą bezpośrednio od przestępców i mogą być niewiarygodne. Ponadto ta metoda rejestruje tylko liczbę rzekomych ofiar, a nie rzeczywisty wpływ finansowy tych ataków.

10 najczęściej atakowanych krajów

Gangi ransomware priorytetowo traktują cele, na których potencjalnie mogą wycisnąć najwięcej pieniędzy ze swoich ofiar. Często oznacza to skupienie się na krajach rozwiniętych. Teraz zobaczmy 10 krajów, które najbardziej ucierpiały w wyniku tych ataków.

O raporcie Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) to miesięczny cykl analizujący wiadomości o zagrożeniach, trendy i badania z poprzedniego miesiąca. Nie przegap kolejnego wydania BDTD i obserwuj nas na Facebooku i LinkedIn.

Bitdefender zapewnia rozwiązania cyberbezpieczeństwa i zaawansowaną ochronę przed zagrożeniami dla setek milionów punktów końcowych na całym świecie. Ponad 180 marek technologicznych uzyskało licencję i dodało technologię Bitdefender do swoich produktów lub usług. Ten rozległy ekosystem OEM uzupełnia dane telemetryczne już zebrane z naszych rozwiązań biznesowych i konsumenckich. Aby dać Ci pojęcie o skali, laboratoria Bitdefender odkrywają ponad 400 nowych zagrożeń co minutę i weryfikują 30 miliardów zapytań o zagrożenia dziennie. Daje nam to jeden z najbardziej rozbudowanych w branży widoków w czasie rzeczywistym na ewoluujący krajobraz zagrożeń.

Jeśli chcesz poznać więcej możliwości, które zapewniają systemy antywirusowe Bitdefender, to sprawdź tę stronę.