top of page

Bitdefender Threat Debrief | November 2024

Writer's picture: Jade BrownJade Brown


Útoky ransomwaru stále spôsobujú organizáciám značné škody, ktoré vedú k finančným a prevádzkovým výpadkom, ktoré sú často závažné a ktorým sa dá predísť. Prístup k aktuálnym údajom o hlavných hrozbách ransomvéru je nevyhnutný pre identifikáciu trendov v profiloch obetí, taktikách útokov a ďalších prvkoch, ktoré utvárajú prostredie hrozieb. V období od 1. októbra do 1. novembra odhalila naša analýza webových stránok skupín ransomvéru celkom 593 deklarovaných obetí.


Teraz preskúmame najvýznamnejšie novinky a zistenia, týkajúce sa ransomwaru, od nášho posledného vydania:


  • Zločinci zo skupiny REvil dostávajú tresty odňatia slobody : Ruský súd vyniesol konečný rozsudok nad štyrmi členmi REvilu, ktorí boli uznaní vinnými z distribúcie malwaru a prania špinavých peňazí . Aktéri hrozby boli odsúdení na tresty v rozmedzí od štyroch a pol do šiestich rokov , pričom najdlhší trest si odpyká vodca REvilu Daniil Puzyrevsky. Vyšetrovanie, ktoré predchádzalo zatknutiu členov REvilu, a úsilie, ktoré vyvinulo štátne zastupiteľstvo, sú významnými míľnikmi v rámci boja proti ruskej kybernetickej kriminalite. Panuje však neistota ohľadom stavu operácií REvilu a ohľadom toho, či sa skupina v očakávaní zásahu orgánov činných v trestnom konaní rozhodla reorganizovať alebo zmeniť značku.


  • RansomHub si vyžiadal viac obetí ako LockBit : Od prvých správ o incidentoch RansomHubu vo februári 2024 nazhromaždil RansomHub viac ako 450 obetí. Skupina si udržuje stabilný počet mesačných útokov. Pre porovnanie, počet obetí skupiny LockBit v priebehu času klesal. Očakávaný pokles možno pripísať úspešnému zabaveniu domény LockBit orgánmi činnými v trestnom konaní na začiatku tohto roka.

  • Operácia Jump Pices podporovaná Play : Jump Pices, pokročilá perzistentná hrozba (APT), bola spojená so skupinou ransomvéru Play. Jump Pices je štátom sponzorovaná severokórejská kybernetická skupina . Podľa nedávnych správ úspešne začala sériu útokov prístupom ku kompromitovaným používateľským účtom, zdokonalením ďalších procesov zberu poverení a následným nasadením ransomvéru Play a nástrojov exploitačného rámca. Či bol nadviazaný partnerský typ vzťahu, ktorý by Jump Pices umožnil používať Play, nie je známe.


  • Black Basta vymýšľa útoky cez Microsoft Teams : Black Basta používa taktiku sociálneho inžinierstva, kedy sa v e-mailoch a správach zasielaných obetiam cez Microsoft Teams vydáva za „Help Desk“ . Akonáhle skupina útočníkov ponúkne podporu pri riešení problémov so spamom a presvedčí koncových užívateľov, aby klikli na odkaz, stiahne sa AnyDesk. Bolo tiež zaznamenané použitie nástroja QuickAssist na spustenie payloadov s názvami antispamového softvéru, vrátane názvov AntispamAccount a Antispam Update. A Black Basta používa Cobalt Strike na vytvorenie laterálneho pohybu.

  • Noví operátori vo svete dvojitého vydierania : Obete si v poslednej dobe vyžiadali nové skupiny ransomwaru, ako sú InterLOck, HellCat a KillSec. Aj keď je počet ich obetí v porovnaní so skupinami so zavedenou históriou nižší, tieto varianty ukazujú dôležité ponaučenie. Väčšina skupín, ktoré sú schopné vykonávať zásadný prieskum, infiltrovať siete obetí, spúšťať ransomware a prevádzkovať stránky s uniknutými dátami, je značne nebezpečná a má potenciál stať sa časom ešte väčšími hrozbami.


  • PaidMemes zavádza BabyLockerKZ : BabyLockerKZ je variant ransomwaru odvodený od MedusaLocker. BabyLockerKZ je spojený s útokmi na malé a stredné podniky, najmä v Južnej Amerike. Variant MedusaLocker je spojená s PaidMemes , ktorý funguje ako Access Broker; rovnaký názov má aj jedinečný kľúč spustenia. Prvé incidenty spojené s PaidMemes naznačujú, že skupina bola aktívna od roku 2022 ; takmer o rok neskôr, koncom roka 2023, začala vzorec útokov, ktorý využíval BabyLockerKZ.


  • Pracovníci zaoberajúci sa výskumom hrozieb odhalili partnerskú platformu Cicada3301 : Výskumníci z Group-IB identifikovali komunikáciu skupiny Cicada3301 na ruskom fóre Anonymous Markekerplace . Vývojári si s aktérom hrozby dopisovali, prenikli do jeho prostredia a získali prístup ku kľúčovým informáciám, vrátane partnerského panelu skupiny Cicada3301 a možností prispôsobenia ransomwaru. Od leta tohto roku, kedy bolo zaznamenaných niekoľko prvých incidentov, bolo ransomwarom Cicada3301 zasiahnutých viacero organizácií. Aj naďalej sa jedná o skupinu, ktorú treba sledovať, pretože zavádza pre rozvoj svojich operácií zaujímavé taktiky.


  • Variant Qilin má utajené schopnosti : B, variant ransomwaru Qilin, bola spojená s útokmi na zdravotnícke organizácie. Variant Qilin.B sa od svojej predchádzajúcej iterácie líši metódami obchádzania obrany a možnosťami šifrovania, vrátane AES-256-CTR. Tento kmeň ransomwaru využíva viacero payloadov a zdieľa niektoré podobnosti s ransomwarom Embargo . Jednou z takýchto podobností je použitie nástroja MS4Killer, ktorý Qilin.B používa na narušenie činnosti EDR ; jedná sa o nástroj napísaný v jazyku Rust a spúšťa sa po spustení loadera s názvom MDeployer.


  • Crypt Ghouls nasadzuje prominentný ransomware : Crypt Ghouls je skupina ransomvéru, ktorá v minulosti zneužívala bežné nástroje na doručovanie payloadov a úpravu infraštruktúry obetí, ako je PowerShell a škodlivé RMM . Nedávne správy však naznačujú, že útočník spúšťa ransomware ako LockBit 3.oa Babuk. Crypt Ghouls má za sebou kampane proti ruským organizáciám . Bez ohľadu na to, či má Crypt Ghouls aktívne spojenie s pobočkou LockBit, alebo či vytvára ransomwarové payload-založené na uniknutom kóde LockBit, LockBit neprestal byť využívaný.


  • NotLockBit sa zameriava na iné systémy ako Windows : NotLockBit vykonal útoky na systémy s macOS. Medzi vlastnosti ransomwaru patrí možnosť zisťovania a prieskumu systému a asymetrické šifrovanie. Po spustení sa na infikovaných zariadeniach tiež načíta tému pracovnej plochy LockBit 2.0 . Hoci sa kedysi predpokladalo, že NotLockBit používa kód z nástroja LockBit builder , toto tvrdenie je teraz považované za nepravdivé. Útoky NotLockBit sa začali na jar roku 2022. Vzhľadom na správy o významnom útočníkovi, ktorý zasiahol systémy macOS, je pravdepodobné, že dôjde k ďalšiemu vývoju v oblasti útokov na macOS.



TOP 10 rodín ransomvéru

Nástroj Bitdefender Threat Debrief analyzuje dáta z webov s únikmi ransomvéru, kde útočníci zverejňujú údajný počet napadnutých spoločností. Tento prístup poskytuje cenné informácie o celkovej aktivite na trhu RaaS. Je tu však určitý kompromis: odráža síce úspech, ktorý útočníci sami deklarujú, ale informácie pochádzajú priamo od zločincov a môžu byť nespoľahlivé. Táto metóda navyše zachytáva iba počet deklarovaných obetí, nie skutočný finančný vplyv týchto útokov.



TOP 10 krajín

Ransomwarové gangy si vyberajú ciele, z ktorých môžu potenciálne vytiahnuť najviac peňazí. To často znamená, že sa zameriavajú na vyspelé krajiny. Pozrime sa teraz na 10 krajín, ktoré tieto útoky zasiahli najviac.



O Bitdefender Threat Debrief

Bitdefender Threat Debrief (BDTD) je mesačný seriál analyzujúci novinky, trendy a výskumy hrozieb za predchádzajúci mesiac. Nenechajte si ujsť ďalšie vydanie BDTD. Všetky predchádzajúce vydania BDTD nájdete tu .


Bitdefender poskytuje riešenie kybernetickej bezpečnosti a pokročilú ochranu pred hrozbami stovkám miliónov koncových bodov po celom svete. Viac ako 180 technologických značiek získalo licenciu a pridalo technológiu Bitdefender do svojich produktov alebo služieb. Tento rozsiahly ekosystém OEM dopĺňa telemetrické údaje, ktoré už boli zhromaždené z našich podnikových a spotrebiteľských riešení. Pre predstavu o rozsahu: laboratóriá Bitdefender objavia každú minútu viac ako 400 nových hrozieb a denne overia 30 miliárd otázok na hrozby. To nám dáva jeden z najrozsiahlejších prehľadov o vyvíjajúcom sa prostredí hrozieb v reálnom čase.


Radi by sme poďakovali bitdefendrom Vladovi Craciunovi, Mihai Leonte, Andrei Mogage a Rares Radu (zoradené podľa abecedy) za pomoc pri zostavovaní tejto správy.




 

AUTOR

 


Jade Brown je špecialistka na výskum hrozieb v spoločnosti Bitdefender. Je vedúcou pracovníčkou v oblasti kybernetickej bezpečnosti, ktorá sa s nadšením podieľa na operáciách zahŕňajúcich stratégiu kybernetickej bezpečnosti a výskum hrozieb, a má tiež rozsiahle skúsenosti s analýzou a vyšetrovaním spravodajských informácií.





0 zobrazení0 komentárov

Posledné príspevky

Pozrieť si všetky

Comentarios


bitdefender-lb-footer-banner.png
Bitdefender_logo-white.png
map.png

Copyright © 1997 - 2023 Bitdefender. All rights reserved

IS4 security SK s.r.o.
Country Partner Bitdefender ČR/SK
Karadžičova 16, 821 08 Bratislava
Slovenská republika


      +421 907 727 354
      info@is4security.sk
bottom of page