
Vzhľadom na to, že organizácia v posledných mesiacoch roku 2024 čelí rastúcej aktivite ransomwaru, dôležitosť udržiavania robustných stratégií kybernetickej bezpečnosti nebola nikdy taká dôležitá. mesiace sme skúmali aktivitu skupín ransomwaru od 1. do 30. novembra a odhalili 647 deklarovaných obetí naprieč ich úniky.
Teraz preskúmame najvýznamnejšie novinky a zistenia, týkajúce sa ransomwaru, od nášho posledného vydania:
Zatknutie v súvislosti s kybernetickými útokmi na kritickú infraštruktúru USA :
Ruské úrady zatkli Michaila Pavloviča Matvejeva, tvorcu ransomwaru spojeného s operáciami LockBit a Babuk. Po Matejovi bolo takmer dva roky vedené intenzívne pátranie. FBI už skôr vypísala za jeho dolapenie značnú odmenu vo výške 10 miliónov dolárov a uviedla obvinenia z počítačových útokov a sprisahania . Vzhľadom na to, že kyberzločinci teraz v Rusku hrozí väzenie, niektorí špekulujú, či bude jeho trest porovnateľný alebo prísnejší ako trest členov skupiny REvIl, odsúdených na začiatku tohto roka, ktorí dostali tresty odňatia slobody v rozmedzí od štyroch do šiestich rokov.
Operácia INTERPOLu zabavila cez 400 miliónov dolárov :
Táto operácia úspešne identifikovala tisíce kyberzločincov, vrátane osôb z Číny a Severnej Kórey, ktorí sa podieľali na phishingových podvodoch a kompromitačných schémach firemných e-mailov . Odhalené boli aj prípady finančných podvodov, vrátane podvodov so stablecoiny . Táto schéma priraďuje virtuálnej mene pevnú hodnotu, aby nalákalo obete na založenie účtov prostredníctvom phishingových odkazov a umožnilo útočníkom prístup k ich finančným prostriedkom.
Ransomware Ymir používa unikátnu taktiku spustenia :
Ymir ransomware vykazuje v porovnaní s inými rodinami ransomware neobvyklý prístup k jeho spusteniu. Na spustenie svojho kódu využíva funkcie správy pamäte , ako sú malloc, memmove a memcmp, čím znižuje pravdepodobnosť detekcie tradičnými antivírusovými riešeniami a riešeniami pre detekciu a reakciu na koncové body (EDR), ktoré sa často spoliehajú na identifikáciu signatúr a procesov na disku. Ymir je obvykle nasadený potom, čo RustyStealer kompromituje systémy , ukradne prihlasovacie údaje a umožní ďalšie útoky. Ransomware používa šifrovací algoritmus ChaCha20 ak napadnutým súborom pripája príponu .6C5oy2dVr6.
Akira v novembri vykonala rekordný počet útokov : Bitdefender len v novembri zaznamenal 90 obetí, čo je oveľa viac ako predchádzajúce mesačné maximum 30 útokov z júla. Akira je aktívna od marca 2023 a predstavuje rýchlo sa rozvíjajúcu skupinu hrozieb s potenciálom výrazného rastu v budúcom roku.
CyberVolk využíva model RaaS : CyberVolk, ruská hacktivistická skupina, rozšírila svoje aktivity a prijala model Ransomware-as-a-Service (RaaS). Okrem ransomwaru skupina začala útoky DDoS proti cieľovým organizáciám. Napriek geopolitickým väzbám na ruské záujmy niektoré správy naznačujú, že do aktivít skupiny CyberVolk sa môžu zapojiť aj aktéri v Indii .
KillSec a SafePay sa dostali medzi 10 najúspešnejších skupín ransomwaru : KillSec a SafePay sú dve skupiny ransomwaru, ktoré sa dostávajú do popredia KillSec, ruská hackerská skupina, ktorá tento rok v lete spustila program RaaS , ponúka aj služby, ako je penetračné testovanie a zber OSINT. Medzitým SafePay, ktorá používa ransomware podobný LockBitu , využíva pre svoje operácie tvorcu LockBitu. Skupina využíva ďalšie techniky, ako je používanie WinRAR a FileZilla pre exfiltráciu dát, a taktiky „ living off the land “, vrátane spúšťania SystemSettingsAdminFlows na deaktiváciu obranných systémov.
BianLian Pivots od Encryption : BianLian, ktorý je aktívny od roku 2022, sa zameral zo šifrovania súborov obetí na exfiltráciu dát. Nedávne útoky už nezahŕňajú pripájanie prípony .bianlian k napadnutým súborom. Namiesto toho BianLian využíva na krádežu dát skripty PowerShell a Rclone. Nedávne upozornenie organizácie CISA poukazuje na aktualizovanú taktiku skupiny.
Variant ransomwaru Helldown sa zameriava na systémy Linux : Helldown, skupina ransomvéru aktívna od augusta 2024, vyvinula nový variant pre Linux. Skupina využíva zraniteľnosti v produktoch Zyxel VPN a firewalloch, vrátane zraniteľnosti CVE-2024-42057, ktorá umožňuje útoky typu command injection . Operácie Helldown zahŕňajú aj krádeže poverenia. Používateľom produktov Zyxel dôrazne odporúčame, aby aplikovali najnovšie záplaty a uplatňovali dôkladné zásady pre používanie hesiel, vrátane ich pravidelnej aktualizácie.
TOP 10 rodín ransomvéru
Nástroj Bitdefender Threat Debrief analyzuje dáta z webov s únikmi ransomvéru, kde útočníci zverejňujú údajný počet napadnutých spoločností. Tento prístup poskytuje cenné informácie o celkovej aktivite na trhu RaaS. Je tu však určitý kompromis: odráža síce úspech, ktorý útočníci sami deklarujú, ale informácie pochádzajú priamo od zločincov a môžu byť nespoľahlivé. Táto metóda navyše zachytáva iba počet deklarovaných obetí, nie skutočný finančný vplyv týchto útokov.

TOP 10 krajín
Ransomwarové gangy si vyberajú ciele, z ktorých môžu potenciálne vytiahnuť najviac peňazí. To často znamená, že sa zameriavajú na vyspelé krajiny. Pozrime sa teraz na 10 krajín, ktoré tieto útoky zasiahli najviac.

O Bitdefender Threat Debrief
Bitdefender Threat Debrief (BDTD) je mesačný seriál analyzujúci novinky, trendy a výskumy hrozieb za predchádzajúci mesiac. Nenechajte si ujsť ďalšie vydanie BDTD. Všetky predchádzajúce vydania BDTD nájdete tu .
Bitdefender poskytuje riešenie kybernetickej bezpečnosti a pokročilú ochranu pred hrozbami stovkám miliónov koncových bodov po celom svete. Viac ako 180 technologických značiek získalo licenciu a pridalo technológiu Bitdefender do svojich produktov alebo služieb. Tento rozsiahly ekosystém OEM dopĺňa telemetrické údaje, ktoré už boli zhromaždené z našich podnikových a spotrebiteľských riešení. Pre predstavu o rozsahu: laboratóriá Bitdefender objavia každú minútu viac ako 400 nových hrozieb a denne overia 30 miliárd otázok na hrozby. To nám dáva jeden z najrozsiahlejších prehľadov o vyvíjajúcom sa prostredí hrozieb v reálnom čase.
Radi by sme poďakovali bitdefendrom Vladovi Craciunovi, Mihai Leonte, Andrei Mogage a Rares Radu (zoradené podľa abecedy) za pomoc pri zostavovaní tejto správy.
AUTOR
![]() | Jade Brown je špecialistka na výskum hrozieb v spoločnosti Bitdefender. Je vedúcou pracovníčkou v oblasti kybernetickej bezpečnosti, ktorá sa s nadšením podieľa na operáciách zahŕňajúcich stratégiu kybernetickej bezpečnosti a výskum hrozieb, a má tiež rozsiahle skúsenosti s analýzou a vyšetrovaním spravodajských informácií. |
Comments