Рансъмуер групите отново променят тактиките си
Появили се още през 80-те години на предишния век, криптовирусите или така наречен „ рансъмуер “ (от англ.: ransom – „ откуп “ и software – „ програмен продукт – б.а.) “, просто отхвърлят да си тръгнат. И без значение, че съществуват съвсем половин век, криптовирусите влязоха като желано оръжие на нарушителите преди десетина години. Конвенционално решение против тях няма и не се вижда края на опасността от тях. Самите киберпрестъпници непрекъснато усъвършенстват тактиките си, актуализират стратегиите, взаимодействат си с други представители на подземното пространство. Наскоро оповестен отчет на компанията за сигурност и отбрана Trend Micro показва, че рансъмуер операторите постепенно стартират да трансформират своите тактики и по-точно целите си.
Ако преди десетина години измежду киберпрестъпниците, разпространяващи рансъмуер желана тактичност за привличане на жертви бяха масираните акции, търсещи количество и брой пред качеството, то в последните години наблюдавахме фокус над комплицирани, търпеливи и целенасочени офанзиви към единични, огромни предприятия и организации. Но все по-често се избират дребни и междинни бизнеси, чиито мрежи не са по този начин добре предпазени, колкото на огромните корпорации и в този смисъл, атакуването им изисква по-малко старания.
В реалност, Trend Micro са записали през тази година нарастване с 47% спрямо втората половина на 2022 на офанзиви точно към такива по-дребни и по-слабо предпазени организации. Така да вземем за пример, през първата половина на тази година над половината (57%) от жертвите на разпространителите на LockBit, виновни за високопрофилни офанзиви, като тези към Кралските пощи на Англия и към мрежите на TSMC са били точно организации и бизнеси с под 200 индивида личен състав. Близо половината също (45%) през въпросния регистриран интервал на друга известна рансъмуер тайфа – BlackCat са били също такива организации. При Cl0p обаче такава наклонност по-скоро не се вижда: едвам 27% от жертвите на рансъмуера са дребни и междинни бизнеси, а половината от задачите им са били огромни предприятия и компании.
И през първата половина на 2023 се резервира възходящата наклонност на нарастване на жертвите на рансъмуер офанзиви. Trend Micro регистрират нарастване с 45.27% на сполучливите офанзиви в съпоставяне със същия интервал на предходната година.
По време на особено събитие, проведено от Trend Micro в края на предходната седмица, Дейвид Санчо, старши анализатор в компанията, обрисува и някои други нови трендове тук. Като да вземем за пример смяна в броя и йерархията на сходни незаконни групи. „ Където преди наблюдавахме от три до пет огромни групи и „ опашка “ от по-малки, то през днешния ден имаме три огромни и една доста дълга „ опашка “, споделя Санчо. Според него, повода за това се крие в приключването на изходния код на LockBit и Conti, което е разрешило на други нарушители да основат на тяхна основа нови разновидности на заканите. И нещо друго, все по-често новите играчи на сцената тук дори и не криптират данните на жертвите си. Те пробиват мрежата и системите на дадена компания, крадат сензитивна информация и заплашват, че в случай че не им се заплати избрана сума пари, ще разгласяват данните обществено. Една друга неприятна наклонност, маркирана в отчета се явява нарастването на RaaS (ransomware-as-a-service) групите до 69. RaaS е бизнес модел в ъндърграунд пространството, при който основателите на дадена опасност отдават код и сървърна поддръжка на не толкоз умели и проведени нарушители против % от възможния откуп, който ще им бъде заплатен след офанзивата. Тази скица прави работата на проверяващите органи сложна в търсенето на им на главните играчи на киберпрестъпната скица, защото при нея анонимността им е обезпечена, както и облагата.
Повече за откритията в отчета и главните способи за предприятията да се оправят със заканите в Интернет през днешния ден, може да прочетете тук.