top of page

Bitdefender Threat Debrief | Leden 2025

Obrázek autora: Jade BrownJade Brown

Aktualizováno: 28. 1.



Vzhledem k tomu, že ransomware hraje v ekosystému kybernetické kriminality stále významnou roli, je důležité porozumět aktuálním incidentům a vzorcům, které se objevují v aktivitách skupin ransomwaru, TTP a trendech u obětí. Zkoumání nejnovějších událostí a identifikace hlavních hrozeb v prostředí ransomwaru pomáhá stanovit priority a sdílet informace s cílem zlepšit povědomí o bezpečnosti, kybernetickou obranu a strategie řešení incidentů. Analyzovali jsme údaje z webových stránek ransomwarových skupin od 1. do 31. prosince a identifikovali celkem 530 deklarovaných obětí.


Nyní prozkoumáme nejvýznamnější novinky a zjištění, týkající se ransomwaru, od našeho posledního vydání:


  • Znovuobnovení Clopu posouvá skupinu do Top 10: Skupina ransomwaru Clop (označovaná také jako Cl0p) si v prosinci 2024 vyžádala největší počet obětí a předstihla RansomHub a Akira. Zatímco v roce 2023 se skupina Clop proslavila narušeními, která využívala několik zranitelností MOVEIT, včetně CVE-2023-34362, a odměnou 10 milionů dolarů, kterou nabídla americká vláda, nyní se skupina zaměřuje na jinou sadu zranitelností.

  • CVE zneužité Clopem se týkají produktové řady Cleo: Clop v posledních měsících získal první přístup do systémů obětí zneužitím zranitelností v softwaru z produktové řady pro přenos souborů Cleo: Harmony, LexiCom a VLTransfer. CVE-2024-50623 je zranitelnost, která umožňuje neomezené nahrávání a stahování souborů v postižených systémech. Zneužití této zranitelnosti umožňuje útočníkovi provést vzdálené spuštění kódu se zvýšenými právy. CVE-2024-50623 se týká verzí Cleo Harmony, LexiCom a VLTransfer, které jsou starší než 5.8.0.21. Organizacím, které spravují dotčené produkty, se doporučuje implementovat nejnovější záplaty. CVE-2024-55956 je další zranitelnost, kterou Clop zneužívá k získání počátečního přístupu. Po jejím zneužití může neautentizovaný uživatel zneužitím výchozího nastavení adresáře Autorun spouštět příkazy, které se nacházejí například ve skriptech bash nebo PowerShell. CVE-2024-55956 se týká verzí Cleo Harmony, LexiCom a VLTransfer, které jsou starší než 5.8.0.24. Organizacím, které spravují dotčené produkty, se doporučuje, aby je opravily na verzi 5.8.0.24.


  • Rostislav Panev je obviněn z více než 40 obvinění z účasti na operacích LockBitu: Panev, izraelsko-ruský vývojář, který v letech 2018 až 2024 vytvořil několik iterací LockBitu, byl obviněn ze spáchání trestného činu. Panev byl zatčen v Izraeli letos v srpnu; a existují důkazy o jeho korespondenci s Dmitrijem Jurjevičem Choroševem, aby napsali LockBit builder. Chorošev, ruský státní příslušník a hlavní správce v operacích RaaS skupiny LockBit, používal přezdívku LockBitSupp. K obvinění obou podezřelých letos došlo v době, kdy USA pokračují ve společných operacích zaměřených na vyšetřování a likvidaci skupiny LockBit.

  • LockBit oznamuje, co se chystá: LockBit 4.0: Nedávný příspěvek na stránkách LockBitu, zaměřených na úniky dat s názvem LockBit 4.0, oznamuje vydání plánované na únor 2025. Návštěvníci stránek, kteří mají zájem se do projektu zapojit, jsou vyzváni, aby se přihlásili do partnerského programu. Pro začátek se uživatel může „zaregistrovat a začít (svou) cestu miliardáře...“. Zda bude toto vydání verze 4.0 zahrnovat novou stránku pro únik dat, spolu s dalšími vylepšeními kódu ransomwaru LockBit, týkajícími se přizpůsobení, funkcí šifrování, vyhýbání se obraně a dalších součástí, zatím není jasné.

  • Provozovatel ransomwaru NetWalker dostal trest odnětí svobody: Daniel Cristian Hulea, známý kyberzločinec, který podporoval operace ransomwaru NetWalker, je nyní odsouzen k 20 letům vězení. Hulea se podílel na zneužívání zranitelností a vymáhání výkupného od organizací, které se staly oběťmi, včetně organizací z kritických odvětví v USA, což vedlo k tomu, že si NetWalker přišel na více než 21 milionů dolarů. NetWalker je ransomwarová skupina s restriktivním partnerským programem, takže toto odsouzení dalšího klíčového člena skupiny, více než dva roky po odsouzení provozovatele Sebastiana Vachon-Desjardinse, je velmi významné.


  • Black Basta a Fog patří mezi 10 nejlepších skupin ransomwaru: Black Basta a Fog se umístily na šestém a osmém místě Top 10 Ransomware Groups. Následují tak kampaně, včetně útoků, které zahrnovaly taktiky sociálního inženýrství, včetně využití služby Teams, která se vydávala za IT podporu.

  • Malware ZLoader je aktualizován tak, aby ztěžoval detekci a zmírňování následků: ZLoader je typ malwaru, který se používá k doručování vícestupňových zátěží do systémů obětí, a zároveň poskytuje krytí proti běžným taktikám odhalování incidentů a analýzy malwaru. Nejnovější iterace ZLoaderu, verze 2.9.4.0, nabízí přizpůsobenou schopnost tunelování DNS. Schopnost tunelování DNS je pro útočníky cenným zdrojem; jedná se o protokol, který nabízí řešení, jak komunikovat se serverem C2 a vyhnout se detekčním systémům, které nemusí identifikovat pakety DNS nebo jejich obsah, pokud je provoz šifrovaný. Útočník může využít schopnost tunelování v kombinaci s interaktivním shellem k exfiltraci dat nebo přenosu dalších nástrojů. Skupina ransomwaru Black Basta nasadila ZLoader ve svých cílených kampaních sociálního inženýrství; malware je vysazen po přidání payloadu GhostSocks do systému oběti.

  • FunkSec je v pohybu: V nedávných zprávách o obětech, které byly postiženy krádeží dat a ransomwarem, byla identifikována skupina ransomwaru FunkSec. Přestože se informace o více než osmdesáti incidentech, spojených s FunkSec, a povaze jejich operací stále rozpracovávají, skupina se může pochlubit stránkou s informacemi o úniku dat a rostoucím počtem příspěvků, včetně různých narušení, ke kterým se přihlásila v uplynulém měsíci. Několik zdrojů uvádí, že FunkSec ve svých ransomwarových a hacktivistických kampaních používá umělou inteligenci, včetně těch, které jsou spojeny s hacktivistickými skupinami DesertStorm, El_farado a Bjorka.



TOP 10 rodin ransomwaru

Nástroj Bitdefender Threat Debrief analyzuje data z webů s úniky ransomwaru, kde útočníci zveřejňují údajný počet napadených společností. Tento přístup poskytuje cenné informace o celkové aktivitě na trhu RaaS. Je zde však určitý kompromis: odráží sice úspěch, který útočníci sami deklarují, ale informace pocházejí přímo od zločinců a mohou být nespolehlivé. Tato metoda navíc zachycuje pouze počet deklarovaných obětí, nikoli skutečný finanční dopad těchto útoků.



TOP 10 zemí

Ransomwarové gangy si vybírají cíle, ze kterých mohou potenciálně vytáhnout nejvíce peněz. To často znamená, že se zaměřují na vyspělé země. Podívejme se nyní na 10 zemí, které tyto útoky zasáhly nejvíce.



O Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) je měsíční seriál analyzující novinky, trendy a výzkumy hrozeb za předchozí měsíc. Nenechte si ujít další vydání BDTD. Všechna předchozí vydání BDTD naleznete zde.


Bitdefender poskytuje řešení kybernetické bezpečnosti a pokročilou ochranu před hrozbami stovkám milionů koncových bodů po celém světě. Více než 180 technologických značek získalo licenci a přidalo technologii Bitdefender do svých produktů nebo služeb. Tento rozsáhlý ekosystém OEM doplňuje telemetrické údaje, které již byly shromážděny z našich podnikových a spotřebitelských řešení. Pro představu o rozsahu: laboratoře Bitdefender objeví každou minutu více než 400 nových hrozeb a denně ověří 30 miliard dotazů na hrozby. To nám dává jeden z nejrozsáhlejších přehledů o vyvíjejícím se prostředí hrozeb v reálném čase.


Rádi bychom poděkovali bitdefenderům Vladovi Craciunovi, Mihai Leonte, Andrei Mogage a Rares Radu (seřazeno podle abecedy) za pomoc při sestavování této zprávy.




 

AUTOR

 


Jade Brown je specialistka na výzkum hrozeb ve společnosti Bitdefender. Je vedoucí pracovnicí v oblasti kybernetické bezpečnosti, která se s nadšením podílí na operacích zahrnujících strategii kybernetické bezpečnosti a výzkum hrozeb, a má také rozsáhlé zkušenosti s analýzou a vyšetřováním zpravodajských informací.





3 zobrazení0 komentářů

Nejnovější příspěvky

Zobrazit vše

Comments


bottom of page