Рансъмуерът губи актуалност сред киберпрестъпниците
Без криптиране бандите по-лесно заобикалят от радара на вниманието
Киберизнудването без криптиране взема връх в света на киберпрестъпленията (снимка: CC0 Public Domain)
Случаите на директна кражба на данни и изнудване към този момент наподобяват по-разпространена опасност спрямо рансъмуера. Те се трансформират в най-чест тип нахлуване през второто календарно тримесечие на 2023 година, съгласно данни, оповестени тази седмица от откриватели.
Според телеметрията за реакция при произшествия на Cisco Talos, случаите с кражба на данни и изнудване, които не включват никаква форма на криптиране на данни или внедряване на рансъмуер, са нарастнали с 25% от 1 април до края на юни. Това съставлява 30% от случаите, следени от откривателите. Рансъмуерът към момента е втората най-често следена опасност със 17% от случаите.
Кой стои зад киберизнудванията
Много от тези произшествия с изнудване евентуално произтичат от разнообразни офанзиви, проведени от киберпрестъпния картел Clop, считат анализаторите. Но Clop не е единствената група, която се отдръпва от метода с криптирането. Групата BianLian също наподобява е спряла да организира рансъмуер интервенции в интерес на „ чисто “ изнудване, учредено на ексфилтрация. Други групи, в това число Karakurt и RansomHouse, също следват наклонността.
„ Изнудването поради кражба на данни не е ново събитие, само че броят на случаите през това тримесечие допуска, че финансово стимулираните участници в заканите от ден на ден виждат метода като жизнеспособно средство за приемане на погашение “, написа създателят на отчета Никол Хофман.
още по темата
„ Извършването на офанзиви с рансъмуер евентуално става все по-предизвикателно заради напъните на световното правоприлагане, както и използването на отбрани – такива като разширените благоприятни условия за разкриване на нетипично държание и решения за разкриване и реагиране в последна точка (EDR) “, добавя Хофман.
В случая с Clop и техните офанзиви създателят отбелязва, че е „ доста извънредно “ група за рансъмуер да се занимава толкоз поредно с това да експлоатира заканите вид „ нулев ден “, като се има поради голямото количество време, старания и запаси, нужни за създаване на експлойти. Това значи, че Clop евентуално има мощна финансова поддръжка, т.е. някой има интерес и финансира бандата.
В надалеч по- “традиционния “ свят на рансъмуера Cisco Talos следи напредък на нови формирования като 8Base и MoneyMessage, в допълнение към одобрени и „ плодовити “ играчи като LockBit. 8Base е дейна от март 2022 година, бидейки „ персонализирана версия на рансъмуера Phobos “, който първо краде данни от ИТ системите на жертвата, а едвам по-късно криптира данните из всички носители на пострадалата организация. Въпреки че е на близо 18 месеца, групата стана известна едвам от юни 2023 година
Междувременно MoneyMessage е следена за първи път през март 2023 година и продължава да работи по към момента сполучливия модел на двойно изнудване (криптиране плюс кражба на данни). Кодиран на C++, техният програмен продукт употребява редица функционалности за криптиране, обичани на рансъмуер бандите.
По-бързи и по-големи облаги
Същата наклонност – за отбягване на метода на криптирането – откри и най-новият отчет на Zscaler, оповестен на 4 юли. В него се приказва за насочването на кибербандитите към обществени субекти и организации с киберзастраховки, напредък на „ рансъмуер като услуга “ (RaaS) и напредък на изнудването без криптиране.
„ Авторите на рансъмуер все по-често остават отвън радара на внимание, като започват офанзиви без криптиране, залагайки на ексфилтриране на данни, “ уточни Дийпен Десай, световен CISO и началник на отдела за проучвания на сигурността в Zscaler. За сметка на неналичието на криптиране групите ползват двойно или множествено ексфилтриране.
Тази тактичност води до по-бързи и по-големи облаги за рансъмуер бандите, тъй като се отстраняват циклите за разработка на програмен продукт и поддръжката за декриптиране. Освен това въпросните офанзиви са по-трудни за разкриване и получават по-малко внимание от правоохранителните органи, защото не блокират основни файлове и системи и не предизвикват спиране на активността на организацията-жертва.
Киберизнудването без криптиране взема връх в света на киберпрестъпленията (снимка: CC0 Public Domain)
Случаите на директна кражба на данни и изнудване към този момент наподобяват по-разпространена опасност спрямо рансъмуера. Те се трансформират в най-чест тип нахлуване през второто календарно тримесечие на 2023 година, съгласно данни, оповестени тази седмица от откриватели.
Според телеметрията за реакция при произшествия на Cisco Talos, случаите с кражба на данни и изнудване, които не включват никаква форма на криптиране на данни или внедряване на рансъмуер, са нарастнали с 25% от 1 април до края на юни. Това съставлява 30% от случаите, следени от откривателите. Рансъмуерът към момента е втората най-често следена опасност със 17% от случаите.
Кой стои зад киберизнудванията
Много от тези произшествия с изнудване евентуално произтичат от разнообразни офанзиви, проведени от киберпрестъпния картел Clop, считат анализаторите. Но Clop не е единствената група, която се отдръпва от метода с криптирането. Групата BianLian също наподобява е спряла да организира рансъмуер интервенции в интерес на „ чисто “ изнудване, учредено на ексфилтрация. Други групи, в това число Karakurt и RansomHouse, също следват наклонността.
„ Изнудването поради кражба на данни не е ново събитие, само че броят на случаите през това тримесечие допуска, че финансово стимулираните участници в заканите от ден на ден виждат метода като жизнеспособно средство за приемане на погашение “, написа създателят на отчета Никол Хофман.
още по темата
„ Извършването на офанзиви с рансъмуер евентуално става все по-предизвикателно заради напъните на световното правоприлагане, както и използването на отбрани – такива като разширените благоприятни условия за разкриване на нетипично държание и решения за разкриване и реагиране в последна точка (EDR) “, добавя Хофман.
В случая с Clop и техните офанзиви създателят отбелязва, че е „ доста извънредно “ група за рансъмуер да се занимава толкоз поредно с това да експлоатира заканите вид „ нулев ден “, като се има поради голямото количество време, старания и запаси, нужни за създаване на експлойти. Това значи, че Clop евентуално има мощна финансова поддръжка, т.е. някой има интерес и финансира бандата.
В надалеч по- “традиционния “ свят на рансъмуера Cisco Talos следи напредък на нови формирования като 8Base и MoneyMessage, в допълнение към одобрени и „ плодовити “ играчи като LockBit. 8Base е дейна от март 2022 година, бидейки „ персонализирана версия на рансъмуера Phobos “, който първо краде данни от ИТ системите на жертвата, а едвам по-късно криптира данните из всички носители на пострадалата организация. Въпреки че е на близо 18 месеца, групата стана известна едвам от юни 2023 година
Междувременно MoneyMessage е следена за първи път през март 2023 година и продължава да работи по към момента сполучливия модел на двойно изнудване (криптиране плюс кражба на данни). Кодиран на C++, техният програмен продукт употребява редица функционалности за криптиране, обичани на рансъмуер бандите.
По-бързи и по-големи облаги
Същата наклонност – за отбягване на метода на криптирането – откри и най-новият отчет на Zscaler, оповестен на 4 юли. В него се приказва за насочването на кибербандитите към обществени субекти и организации с киберзастраховки, напредък на „ рансъмуер като услуга “ (RaaS) и напредък на изнудването без криптиране.
„ Авторите на рансъмуер все по-често остават отвън радара на внимание, като започват офанзиви без криптиране, залагайки на ексфилтриране на данни, “ уточни Дийпен Десай, световен CISO и началник на отдела за проучвания на сигурността в Zscaler. За сметка на неналичието на криптиране групите ползват двойно или множествено ексфилтриране.
Тази тактичност води до по-бързи и по-големи облаги за рансъмуер бандите, тъй като се отстраняват циклите за разработка на програмен продукт и поддръжката за декриптиране. Освен това въпросните офанзиви са по-трудни за разкриване и получават по-малко внимание от правоохранителните органи, защото не блокират основни файлове и системи и не предизвикват спиране на активността на организацията-жертва.
Източник: technews.bg
КОМЕНТАРИ