
Vzhledem k tomu, že organizace v posledních měsících roku 2024 čelí rostoucí aktivitě ransomwaru, důležitost udržování robustních strategií kybernetické bezpečnosti nebyla nikdy tak důležitá. Pochopení toho, jak aktéři hrozeb vyvíjejí své taktiky, je pro ochranu kritických dat a systémů klíčové. V přehledu hrozeb tohoto měsíce jsme zkoumali aktivitu skupin ransomwaru od 1. do 30. listopadu a odhalili 647 deklarovaných obětí napříč jejich úniky.
Nyní prozkoumáme nejvýznamnější novinky a zjištění, týkající se ransomwaru, od našeho posledního vydání:
Zatčení v souvislosti s kybernetickými útoky na kritickou infrastrukturu USA:
Ruské úřady zatkly Michaila Pavloviče Matvejeva, tvůrce ransomwaru spojeného s operacemi LockBit a Babuk. Po Matějevovi bylo téměř dva roky vedeno intenzivní pátrání. FBI již dříve vypsala za jeho dopadení značnou odměnu ve výši 10 milionů dolarů a uvedla obvinění z počítačových útoků a spiknutí. Vzhledem k tomu, že kyberzločinci nyní v Rusku hrozí vězení, někteří spekulují, zda bude jeho trest srovnatelný nebo přísnější než trest členů skupiny REvIl, odsouzených na začátku tohoto roku, kteří dostali tresty odnětí svobody v rozmezí od čtyř do šesti let.
Operace INTERPOLu zabavila přes 400 milionů dolarů:
Tato operace úspěšně identifikovala tisíce kyberzločinců, včetně osob z Číny a Severní Koreje, kteří se podíleli na phishingových podvodech a kompromitačních schématech firemních e-mailů. Odhaleny byly také případy finančních podvodů, včetně podvodů se stablecoiny. Toto schéma přiřazuje virtuální měně pevnou hodnotu, aby nalákalo oběti k založení účtů prostřednictvím phishingových odkazů a umožnilo útočníkům přístup k jejich finančním prostředkům.
Ransomware Ymir používá unikátní taktiku spuštění:
Ymir ransomware vykazuje ve srovnání s jinými rodinami ransomwaru neobvyklý přístup k jeho spuštění. Ke spuštění svého kódu využívá funkce správy paměti, jako jsou malloc, memmove a memcmp, čímž snižuje pravděpodobnost detekce tradičními antivirovými řešeními a řešeními pro detekci a reakci na koncové body (EDR), která se často spoléhají na identifikaci signatur a procesů na disku. Ymir je obvykle nasazen poté, co RustyStealer kompromituje systémy, ukradne přihlašovací údaje a umožní další útoky. Ransomware používá šifrovací algoritmus ChaCha20 a k napadeným souborům připojuje příponu .6C5oy2dVr6.
Akira v listopadu provedla rekordní počet útoků: Bitdefender jen v listopadu zaznamenal 90 obětí, což je mnohem více než předchozí měsíční maximum 30 útoků z července. Akira je aktivní od března 2023 a představuje rychle se rozvíjející skupinu hrozeb s potenciálem výrazného růstu v příštím roce.
CyberVolk využívá model RaaS: CyberVolk, ruská hacktivistická skupina, rozšířila své aktivity a přijala model Ransomware-as-a-Service (RaaS). Kromě ransomwaru skupina zahájila útoky DDoS proti cílovým organizacím. Navzdory geopolitickým vazbám na ruské zájmy některé zprávy naznačují, že do aktivit skupiny CyberVolk se mohou zapojit i aktéři v Indii.
KillSec a SafePay se dostaly mezi 10 nejúspěšnějších skupin ransomwaru: KillSec a SafePay jsou dvě skupiny ransomwaru, které se dostávají do popředí. KillSec, ruská hackerská skupina, která letos v létě spustila program RaaS, nabízí také služby, jako je penetrační testování a sběr informací OSINT. Mezitím SafePay, která používá ransomware podobný LockBitu, využívá pro své operace tvůrce LockBitu. Skupina využívá další techniky, jako je používání WinRAR a FileZilla pro exfiltraci dat, a taktiky „living off the land“, včetně spouštění SystemSettingsAdminFlows k deaktivaci obranných systémů.
BianLian Pivots od Encryption: BianLian, který je aktivní od roku 2022, se zaměřil ze šifrování souborů obětí na exfiltraci dat. Nedávné útoky již nezahrnují připojování přípony .bianlian k napadeným souborům. Místo toho BianLian využívá ke krádeži dat skripty PowerShell a Rclone. Nedávné upozornění organizace CISA poukazuje na aktualizovanou taktiku skupiny.
Varianta ransomwaru Helldown se zaměřuje na systémy Linux: Helldown, skupina ransomwaru aktivní od srpna 2024, vyvinula novou variantu pro Linux. Skupina využívá zranitelnosti v produktech Zyxel VPN a firewallech, včetně zranitelnosti CVE-2024-42057, která umožňuje útoky typu command injection. Operace Helldown zahrnují také krádeže pověření. Uživatelům produktů Zyxel důrazně doporučujeme, aby aplikovali nejnovější záplaty a uplatňovali důkladné zásady pro používání hesel, včetně jejich pravidelné aktualizace.
TOP 10 rodin ransomwaru
Nástroj Bitdefender Threat Debrief analyzuje data z webů s úniky ransomwaru, kde útočníci zveřejňují údajný počet napadených společností. Tento přístup poskytuje cenné informace o celkové aktivitě na trhu RaaS. Je zde však určitý kompromis: odráží sice úspěch, který útočníci sami deklarují, ale informace pocházejí přímo od zločinců a mohou být nespolehlivé. Tato metoda navíc zachycuje pouze počet deklarovaných obětí, nikoli skutečný finanční dopad těchto útoků.

TOP 10 zemí
Ransomwarové gangy si vybírají cíle, ze kterých mohou potenciálně vytáhnout nejvíce peněz. To často znamená, že se zaměřují na vyspělé země. Podívejme se nyní na 10 zemí, které tyto útoky zasáhly nejvíce.

O Bitdefender Threat Debrief
Bitdefender Threat Debrief (BDTD) je měsíční seriál analyzující novinky, trendy a výzkumy hrozeb za předchozí měsíc. Nenechte si ujít další vydání BDTD. Všechna předchozí vydání BDTD naleznete zde.
Bitdefender poskytuje řešení kybernetické bezpečnosti a pokročilou ochranu před hrozbami stovkám milionů koncových bodů po celém světě. Více než 180 technologických značek získalo licenci a přidalo technologii Bitdefender do svých produktů nebo služeb. Tento rozsáhlý ekosystém OEM doplňuje telemetrické údaje, které již byly shromážděny z našich podnikových a spotřebitelských řešení. Pro představu o rozsahu: laboratoře Bitdefender objeví každou minutu více než 400 nových hrozeb a denně ověří 30 miliard dotazů na hrozby. To nám dává jeden z nejrozsáhlejších přehledů o vyvíjejícím se prostředí hrozeb v reálném čase.
Rádi bychom poděkovali bitdefenderům Vladovi Craciunovi, Mihai Leonte, Andrei Mogage a Rares Radu (seřazeno podle abecedy) za pomoc při sestavování této zprávy.
AUTOR
![]() | Jade Brown je specialistka na výzkum hrozeb ve společnosti Bitdefender. Je vedoucí pracovnicí v oblasti kybernetické bezpečnosti, která se s nadšením podílí na operacích zahrnujících strategii kybernetické bezpečnosti a výzkum hrozeb, a má také rozsáhlé zkušenosti s analýzou a vyšetřováním zpravodajských informací. |
Comments