Пореден връх в рансъмуер атаките
Криптовирусите или така наречен „ рансъмуер “ са тук и наподобява не мислят скоро да си вървят. Всяка година и дори всеки месец към този момент четем за голямо нарастване на рансъмуер офанзивите и тази есен не е изключение от това предписание. Това сочат данните на NCC Group и неотдавна оповестен от тях отчет, посочващ септември като рекорден за рансъмуер офанзивите в световен проект. В съответни цифри, става въпрос за нарастване със 153% на годишна база.
Макар и опасност, която към този момент наближава 40 години (първите криптовируси датират от средата на 80-те години на предишния век), криптовирусите не изчезват, а посредством нововъведения от страна на техните създатели, офанзивите посредством тях се усилват непрекъснато. Без подозрение една наклонност, зародила в последните години е измежду огромните фактори за тяхното все по-голямо разпространяване. Става дума за нов бизнес модел – така наречен „ рансъмуер като услуга “, при който професионални хакери, нормално създателите на рансъмуер заканите, отдават „ чартърен “ кодова база и командната конструкция за осъществяване на офанзивите на други хакери против % от откупа. За страдание, схемата работи безотказно. Профилирането и професионализирането на киберпрестъпната сцена също способства за този растеж, като през днешния ден има хакерски групи (т.нар. „ брокери на първичен достъп “, Initial Access Brokers, IABs), професионализирали се в кражбата на записи за вход в корпоративни мрежи, VPN-и и сървъри, които по-късно те продават на въпросните рансъмуер банди. Засилващото се взаимоотношение сред другите киберпрестъпни групи също дава резултат, като разпространителите на закани, като Qakbot, Emotet и други си сътрудничат сполучливо с тези рансъмуер банди.
По отношение на отчета на NCC в него се регистрират 514 извършени рансъмуер офанзиви, което е нарастване по отношение на втория най-успешен месец тук за тях – юли с 502 офанзиви. Атаките с двойно изнудване (такива, при които хакерите извличат сензитивна информация, криптират данните, а по-късно желаят откуп за декриптиране на информацията и за това да не я разгласяват онлайн) бележат растеж също – със 76% на годишна база.
По отношение на географското систематизиране на офанзивите, Съединени американски щати са били цел номер едно на хакерите с 50% от общия брой нападения, следвани от Европа (30%) и Азия (20%).
Що се отнася до рансъмуер фамилиите, посредством които са провеждани тези офанзиви, то най-често употребен е LockBit 3.0, следван от LostTrust, BlackCat и един от новите играчи на рансъмуер сцената – RansomedVC. Прави усещане отсъствието на Cl0p, рансъмуер тайфа, нашумяла с офанзивите си над високопрофилни цели посредством експлоатирането на накърнимост в MOVEit Transfer от по-рано тази година. Според експертите, изгубването на Cl0P е предстоящо поради всичкия звук, вдигнал се към тях. Според NCC е доста евентуално те да изчакват да мине известно време, с цел да се появят още веднъж.
Впечатление вършат новопоявилата се група на RansomedVC, които внасят изобретение в обичайните рансъмуер офанзиви. Те освен доставят рансъмуер, само че и вършат в допълнение разузнаване в мрежата и софтуерната среда на жертвата, търсят уязвимости и заплашват въпросната компания, че ще бъде докладвана на съответните органи поради пропуските им в сигурността. Големите компании обичайно подлежат на наказания по GDPR, в случай че са позволили такива.
Повече за откритията на NCC Group в отчета им за рансъмуер сцената през септември, може да прочетете тук (pdf).
