Bitdefender Threat Debrief – Styczeń 2025

Ponieważ ransomware nadal odgrywa znaczącą rolę w ekosystemie cyberprzestępczości, zrozumienie bieżących incydentów i wzorców, które pojawiają się w działaniach grup ransomware, TTP i trendach dotyczących ofiar, jest ważne. Badanie najnowszych wydarzeń i identyfikacja największych zagrożeń w krajobrazie ransomware pomaga w ustalaniu priorytetów i udostępnianiu informacji w celu poprawy świadomości bezpieczeństwa, cyberobrony i strategii obsługi incydentów. Zespół Bitdefender przeanalizował dane z witryn internetowych grup ransomware od 1 do 31 grudnia, identyfikując łącznie 530 zgłoszonych ofiar.

Przyjrzyjmy się teraz najważniejszym nowinom i odkryciom od czasu ostatniego Bitdefender Threat Debrief

Odrodzenie Clop wprowadza grupę do pierwszej dziesiątki największych zagrożeń: Grupa ransomware Clop (pokazywana również jako Cl0p) pochłonęła największą liczbę ofiar w grudniu 2024 r., przewyższając RansomHub i Akirę. Podczas gdy Clop zyskał rozgłos w 2023 r. za naruszenia, które wykorzystywały kilka luk MOVEIT, w tym CVE-2023-34362 i nagrodę w wysokości 10 milionów dolarów oferowaną przez rząd USA, grupa ta obecnie koncentruje się na innym zestawie luk.

Luki CVE wykorzystywane przez Clop dotyczą linii produktów Cleo: Clop w ostatnich miesiącach uzyskał wstępny dostęp do systemów ofiar, wykorzystując luki w oprogramowaniu z linii produktów do transferu plików Cleo: produkty Harmony, LexiCom i VLTransfer. CVE-2024-50623 to luka, która umożliwia przesyłanie i pobieranie plików na dotkniętych systemach bez ograniczeń. Wykorzystanie tej luki pozwala sprawcy zagrożenia na zdalne wykonywanie kodu z podwyższonymi uprawnieniami. CVE-2024-50623 dotyczy wersji Cleo Harmony, LexiCom i VLTransfer starszych niż 5.8.0.21. Organizacjom zarządzającym dotkniętymi produktami zaleca się wdrożenie najnowszych poprawek. CVE-2024-55956 to kolejna luka, którą Clop wykorzystuje do uzyskania wstępnego dostępu. Po wykorzystaniu tej luki, nieuwierzytelniony użytkownik może wykonywać polecenia, takie jak te znalezione w skryptach bash lub PowerShell, nadużywając domyślnych ustawień katalogu Autorun. CVE-2024-55956 dotyczy wersji Cleo Harmony, LexiCom i VLTransfer starszych niż 5.8.0.24. Organizacje zarządzające tymi produktami powinny zainstalować w nich poprawki do wersji 5.8.0.24.

Rostislav Panev jest oskarżony o ponad 40 zarzutów za udział w operacjach LockBit: Departament Sprawiedliwości Stanów Zjednoczonych ujawnił zarzuty postawione Panevowi, izraelsko-rosyjskiemu deweloperowi, który stworzył kilka wersji LockBit w latach 2018-2024. Panev został aresztowany w Izraelu w sierpniu tego roku; istnieją dowody na jego korespondencję z Dmitrijem Jurjewiczem Khoroshevem w celu napisania konstruktora LockBit. Khoroshev jest obywatelem Rosji i głównym administratorem operacji RaaS LockBit; używał uchwytu LockBitSupp. Oskarżenie obu podejrzanych w tym roku pojawia się, gdy Stany Zjednoczone kontynuują wspólne operacje mające na celu zbadanie i usunięcie LockBit.

LockBit zapowiada nadchodzące zmiany: LockBit 4.0: Ostatni wpis na stronie LockBit o wyciekach danych zatytułowany LockBit 4.0 zapowiada wydanie zaplanowane na luty 2025 r. Odwiedzający witrynę zainteresowani zaangażowaniem się są zachęcani do dołączenia do programu partnerskiego. Aby rozpocząć, użytkownik może „zarejestrować się i rozpocząć (swoją) podróż pentest billionare…” Nie wiadomo, czy ta wersja 4.0 będzie obejmować nową stronę o wyciekach danych wraz z dodatkowymi ulepszeniami kodu ransomware LockBit dotyczącymi dostosowywania, funkcjonalności szyfrowania, unikania obrony i innych komponentów.

Operator ransomware NetWalker otrzymuje wyrok więzienia: Daniel Cristian Hulea, znany cyberprzestępca, który wspierał operacje ransomware NetWalker, teraz grozi mu 20 lat więzienia. Rola Hulei w wykorzystywaniu luk i wystawianiu żądań okupu przeciwko organizacjom będącym ofiarami, w tym tym z sektorów krytycznych w USA, spowodowała, że NetWalker zgromadził ponad 21 milionów dolarów. NetWalker to grupa ransomware z restrykcyjnym programem partnerskim, więc to skazanie kolejnego kluczowego członka grupy, ponad dwa lata po skazaniu operatora Sebastiana Vachon-Desjardinsa, jest wysoce znaczące.

Black Basta i Fog plasują się w pierwszej dziesiątce grup Ransomware: Black Basta i Fog zajęły szóste i ósme miejsce w pierwszej dziesiątce grup Ransomware. Jest to zgodne ze schematem kampanii, w tym ataków, które obejmowały taktyki inżynierii społecznej, w tym używanie Teams do maskowania się jako IT Support.

Złośliwe oprogramowanie ZLoader zostało zaktualizowane, aby utrudnić wykrywanie i łagodzenie skutków: ZLoader to typ złośliwego oprogramowania używanego do dostarczania wieloetapowych ładunków do systemów ofiar, zapewniając jednocześnie ochronę przed typowymi taktykami wykrywania incydentów i analizy złośliwego oprogramowania. Ostatnia iteracja ZLoadera, wersja 2.9.4.0, oferuje dostosowaną funkcję tunelowania DNS. Możliwość tunelowania DNS jest cennym zasobem dla atakujących; jest to protokół, który oferuje obejście umożliwiające interakcję z serwerem C2 i unikanie systemów wykrywania, które mogą nie identyfikować pakietów DNS lub ich zawartości, jeśli ruch jest szyfrowany. Atakujący może użyć funkcji tunelowania w połączeniu z powłoką interaktywną, aby wydobyć dane lub przesłać inne narzędzia. Grupa ransomware Black Basta wdrożyła ZLoader w swoich ukierunkowanych kampaniach inżynierii społecznej; złośliwe oprogramowanie jest usuwane po dodaniu ładunku GhostSocks do systemu ofiary.

FunkSec w ruchu: Grupa ransomware FunkSec została zidentyfikowana w ostatnich raportach dotyczących ofiar kradzieży danych i ransomware. Podczas gdy informacje na temat ponad osiemdziesięciu incydentów związanych z FunkSec i charakterem ich działalności wciąż się rozwijają, grupa szczyci się stroną wycieku danych i rosnącą liczbą postów, w tym różnymi naruszeniami, które zgłosiła w ciągu ostatniego miesiąca. Kilka źródeł zauważa, że FunkSec wykorzystuje sztuczną inteligencję w swoich kampaniach ransomware i hacktivist, w tym tych powiązanych z grupami hacktivist DesertStorm, El_farado i Bjorka.

10 najpopularniejszych rodzajów ransomware

Threat Debrief firmy Bitdefender analizuje dane z witryn wycieków ransomware, gdzie grupy atakujących publikują deklarowaną liczbę naruszonych firm. To podejście zapewnia cenne informacje na temat ogólnej aktywności rynku RaaS. Istnieje jednak pewien kompromis: podczas gdy odzwierciedla ono samodeklarowany sukces atakujących, informacje pochodzą bezpośrednio od przestępców i mogą być niewiarygodne. Ponadto ta metoda rejestruje tylko liczbę deklarowanych ofiar, a nie rzeczywisty wpływ finansowy tych ataków.

10 najczęściej atakowanych krajów

Gangi ransomware priorytetowo traktują cele, na których potencjalnie mogą wycisnąć najwięcej pieniędzy ze swoich ofiar. Często oznacza to skupienie się na krajach rozwiniętych. Teraz zobaczmy 10 krajów, które najbardziej ucierpiały w wyniku tych ataków.

O raporcie Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) to miesięczny cykl analizujący wiadomości o zagrożeniach, trendach i badaniach z poprzedniego miesiąca. Bitdefender zapewnia rozwiązania cyberbezpieczeństwa i zaawansowaną ochronę przed zagrożeniami dla setek milionów punktów końcowych na całym świecie. Ponad 180 marek technologicznych uzyskało licencję i dodało technologię Bitdefender do swoich produktów lub usług. Ten rozległy ekosystem OEM uzupełnia dane telemetryczne już zebrane z naszych rozwiązań biznesowych i konsumenckich. Aby dać Ci pojęcie o skali, laboratoria Bitdefender odkrywają ponad 400 nowych zagrożeń co minutę i codziennie weryfikują 30 miliardów zapytań o zagrożenia. Daje nam to jeden z najbardziej rozbudowanych w branży widoków w czasie rzeczywistym na ewoluujący krajobraz zagrożeń.