top of page

Bitdefender Threat Debrief | Január 2025

Writer's picture: Jade BrownJade Brown


Vzhľadom na to, že ransomware zohráva v ekosystéme kybernetickej kriminality stále významnú úlohu, je dôležité porozumieť aktuálnym incidentom a vzorcom, ktoré sa objavujú v aktivitách skupín ransomvéru, TTP a trendoch u obetí. Skúmanie najnovších udalostí a identifikácia hlavných hrozieb v prostredí ransomvéru pomáha stanoviť priority a zdieľať informácie s cieľom zlepšiť povedomie o bezpečnosti, kybernetickú obranu a stratégie riešenia incidentov. Analyzovali sme údaje z webových stránok ransomwarových skupín od 1. do 31. decembra a identifikovali celkom 530 deklarovaných obetí.


Teraz preskúmame najvýznamnejšie novinky a zistenia, týkajúce sa ransomwaru, od nášho posledného vydania:


  • Znovuobnovenie Clopu posúva skupinu do Top 10 : Skupina ransomwaru Clop (označovaná tiež ako Cl0p) si v decembri 2024 vyžiadala najväčší počet obetí a predstihla RansomHub a Akira. Zatiaľ čo v roku 2023 sa skupina Clop preslávila narušeniami, ktoré využívala niekoľko zraniteľností MOVEIT, vrátane CVE-2023-34362 , a odmenou 10 miliónov dolárov , ktorú ponúkla americká vláda, teraz sa skupina zameriava na inú sadu zraniteľností.

  • CVE zneužité Clopom sa týkajú produktového radu Cleo : Clop v posledných mesiacoch získal prvý prístup do systémov obetí zneužitím zraniteľností v softvéri z produktového radu pre prenos súborov Cleo: Harmony, LexiCom a VLTransfer. CVE-2024-50623 je zraniteľnosť, ktorá umožňuje neobmedzené nahrávanie a sťahovanie súborov v postihnutých systémoch. Zneužitie tejto zraniteľnosti umožňuje útočníkovi vykonať vzdialené spustenie kódu so zvýšenými právami. CVE-2024-50623 sa týka verzií Cleo Harmony, LexiCom a VLTransfer, ktoré sú staršie ako 5.8.0.21 . Organizáciám, ktoré spravujú príslušné produkty, sa odporúča implementovať najnovšie záplaty. CVE-2024-55956 je ďalšia zraniteľnosť, ktorú Clop zneužíva na získanie počiatočného prístupu. Po jej zneužití môže neautentizovaný užívateľ zneužitím východzieho nastavenia adresára Autorun spúšťať príkazy, ktoré sa nachádzajú napríklad v skriptoch bash alebo PowerShell. CVE-2024-55956 sa týka verzií Cleo Harmony, LexiCom a VLTransfer, ktoré sú staršie ako 5.8.0.24 . Organizáciám, ktoré spravujú príslušné produkty, sa odporúča, aby ich opravili na verziu 5.8.0.24.


  • Rastislav Panev je obvinený z viac ako 40 obvinení z účasti na operáciách LockBitu : Panev, izraelsko-ruský autor, ktorý v rokoch 2018 až 2024 vytvoril niekoľko iterácií LockBitu , bol obvinený zo spáchania trestného činu. Panva bol zatknutý v Izraeli tento rok v auguste; a existujú dôkazy o jeho korešpondencii s Dmitrijom Jurjevičom Choroševom , aby napísali LockBit builder. Chorošev, ruský štátny príslušník a hlavný správca v operáciách RaaS skupiny LockBit, používal prezývku LockBitSupp. K obvineniu oboch podozrivých tento rok došlo v čase, keď USA pokračujú v spoločných operáciách zameraných na vyšetrovanie a likvidáciu skupiny LockBit.

  • LockBit oznamuje, čo sa chystá: LockBit 4.0 : Nedávny príspevok na stránkach LockBitu, zameraných na úniky dát s názvom LockBit 4.0, oznamuje vydanie plánované na február 2025 . Návštevníci stránok, ktorí majú záujem sa do projektu zapojiť, sú vyzvaní, aby sa prihlásili do partnerského programu. Pre začiatok sa užívateľ môže „zaregistrovať a začať (svoju) cestu miliardára...“. Či bude toto vydanie verzie 4.0 zahŕňať novú stránku pre únik dát, spolu s ďalšími vylepšeniami kódu ransomwaru LockBit, týkajúcimi sa prispôsobenia, funkcií šifrovania, vyhýbania sa obrane a ďalších súčastí, zatiaľ nie je jasné.

  • Prevádzkovateľ ransomvéru NetWalker dostal trest odňatia slobody : Daniel Cristian Hulea, známy kyberzločinec, ktorý podporoval operácie ransomvéru NetWalker, je teraz odsúdený na 20 rokov väzenia . Hulea sa podieľal na zneužívaní zraniteľností a vymáhaní výkupného od organizácií, ktoré sa stali obeťami, vrátane organizácií z kritických odvetví v USA, čo viedlo k tomu, že si NetWalker prišiel na viac ako 21 miliónov dolárov . NetWalker je ransomwarová skupina s reštriktívnym partnerským programom, takže toto odsúdenie ďalšieho kľúčového člena skupiny, viac ako dva roky po odsúdení prevádzkovateľa Sebastiana Vachon-Desjardinsa , je veľmi významné.


  • Black Basta a Fog patrí medzi 10 najlepších skupín ransomvéru : Black Basta a Fog sa umiestnili na šiestom a ôsmom mieste Top 10 Ransomware Groups. Nasledujú tak kampane, vrátane útokov, ktoré zahŕňali taktiky sociálneho inžinierstva, vrátane využitia služby Teams, ktorá sa vydávala za IT podporu .

  • Malware ZLoader je aktualizovaný tak, aby sťažoval detekciu a zmierňovanie následkov : ZLoader je typ malwaru, ktorý sa používa na doručovanie viacstupňových záťaží do systémov obetí, a zároveň poskytuje krytie proti bežným taktikám odhaľovania incidentov a analýzy malwaru. Najnovšia iterácia ZLoaderu, verzia 2.9.4.0, ponúka prispôsobenú schopnosť tunelovania DNS . Schopnosť tunelovania DNS je pre útočníkov cenným zdrojom; jedná sa o protokol, ktorý ponúka riešenie, ako komunikovať so serverom C2 a vyhnúť sa detekčným systémom, ktoré nemusia identifikovať pakety DNS alebo ich obsah, ak je prevádzka šifrovaná. Útočník môže využiť schopnosť tunelovania v kombinácii s interaktívnym shellom na exfiltráciu dát alebo prenos ďalších nástrojov. Skupina ransomwaru Black Basta nasadila ZLoader vo svojich cielených kampaniach sociálneho inžinierstva; malware je vysadený po pridaní payloadu GhostSocks do systému obete.

  • FunkSec je v pohybe : V nedávnych správach o obetiach, ktoré boli postihnuté krádežou dát a ransomwarom, bola identifikovaná skupina ransomvéru FunkSec. Napriek tomu, že sa informácie o viac ako osemdesiatich incidentoch, spojených s FunkSec, a povahe ich operácií stále rozpracovávajú, skupina sa môže pochváliť stránkou s informáciami o úniku dát a rastúcim počtom príspevkov, vrátane rôznych narušení, ku ktorým sa prihlásila v uplynulom mesiaci. Niekoľko zdrojov uvádza, že FunkSec vo svojich ransomwarových a hacktivistických kampaniach používa umelú inteligenciu , vrátane tých, ktoré sú spojené s hacktivistickými skupinami DesertStorm, El_farado a Bjorka.



TOP 10 rodín ransomvéru

Nástroj Bitdefender Threat Debrief analyzuje dáta z webov s únikmi ransomvéru, kde útočníci zverejňujú údajný počet napadnutých spoločností. Tento prístup poskytuje cenné informácie o celkovej aktivite na trhu RaaS. Je tu však určitý kompromis: odráža síce úspech, ktorý útočníci sami deklarujú, ale informácie pochádzajú priamo od zločincov a môžu byť nespoľahlivé. Táto metóda navyše zachytáva iba počet deklarovaných obetí, nie skutočný finančný vplyv týchto útokov.



TOP 10 krajín

Ransomwarové gangy si vyberajú ciele, z ktorých môžu potenciálne vytiahnuť najviac peňazí. To často znamená, že sa zameriavajú na vyspelé krajiny. Pozrime sa teraz na 10 krajín, ktoré tieto útoky zasiahli najviac.



O Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) je mesačný seriál analyzujúci novinky, trendy a výskumy hrozieb za predchádzajúci mesiac. Nenechajte si ujsť ďalšie vydanie BDTD. Všetky predchádzajúce vydania BDTD nájdete tu .


Bitdefender poskytuje riešenie kybernetickej bezpečnosti a pokročilú ochranu pred hrozbami stovkám miliónov koncových bodov po celom svete. Viac ako 180 technologických značiek získalo licenciu a pridalo technológiu Bitdefender do svojich produktov alebo služieb. Tento rozsiahly ekosystém OEM dopĺňa telemetrické údaje, ktoré už boli zhromaždené z našich podnikových a spotrebiteľských riešení. Pre predstavu o rozsahu: laboratóriá Bitdefender objavia každú minútu viac ako 400 nových hrozieb a denne overia 30 miliárd otázok na hrozby. To nám dáva jeden z najrozsiahlejších prehľadov o vyvíjajúcom sa prostredí hrozieb v reálnom čase.


Radi by sme poďakovali bitdefendrom Vladovi Craciunovi, Mihai Leonte, Andrei Mogage a Rares Radu (zoradené podľa abecedy) za pomoc pri zostavovaní tejto správy.




 

AUTOR

 


Jade Brown je špecialistka na výskum hrozieb v spoločnosti Bitdefender. Je vedúcou pracovníčkou v oblasti kybernetickej bezpečnosti, ktorá sa s nadšením podieľa na operáciách zahŕňajúcich stratégiu kybernetickej bezpečnosti a výskum hrozieb, a má tiež rozsiahle skúsenosti s analýzou a vyšetrovaním spravodajských informácií.





0 zobrazení0 komentárov

Posledné príspevky

Pozrieť si všetky

Comentarios


bitdefender-lb-footer-banner.png
Bitdefender_logo-white.png
map.png

Copyright © 1997 - 2023 Bitdefender. All rights reserved

IS4 security SK s.r.o.
Country Partner Bitdefender ČR/SK
Karadžičova 16, 821 08 Bratislava
Slovenská republika


      +421 907 727 354
      info@is4security.sk
bottom of page