Αν και τα αποτελέσματα των ενεργειών των αρχών επιβολής του νόμου κατά των ομάδων ransomware-as-a-service Alphv/BlackCat και LockBit δεν έχουν ακόμα πλήρως διαμορφωθεί, η αναστολή του Qakbot botnet τον Αύγουστο του 2023 είχε ένα εμφανές αποτέλεσμα: οι συνεργάτες του ransomware έχουν μεταβεί στην εκμετάλλευση ευπαθειών ως την κύρια μέθοδο παράδοσης του κακόβουλου λογισμικού.
Δείτε επίσης: Microsoft Teams: Μεσίτης πρόσβασης ransomware κλέβει λογαριασμούς μέσω phishing
Η αλλαγή είναι προφανής για την Ομάδα της Symantec, αλλά δυστυχώς δεν συνοδεύτηκε από μείωση του αριθμού των θυμάτων από ransomware.
Ανάλυση δεδομένων από ιστότοπους διαρροής ransomware αποκαλύπτει ότι οι επιτιθέμενοι κατάφεραν να πλήξουν σημαντικά περισσότερα θύματα το περασμένο έτος (4,700) σε σύγκριση με το 2022 (2,800), όπως επεσήμαναν.
Συνεχώς μεταβαλλόμενες τεχνικές
Ένα από τα χαρακτηριστικά των επιτυχημένων ομάδων ransomware, είναι η ικανότητά τους να προσαρμόζουν τις τεχνικές τους στις μεταβαλλόμενες συνθήκες. Όταν μία πόρτα κλείνει, αναζητούν – και βρίσκουν – μία άλλη.
Για παράδειγμα, τα κακόβουλα macro-enabled έγγραφα είχαν για καιρό το ρόλο του κύριου μέσου παράδοσης ransomware, μέχρι που η Microsoft εφάρμοσε προεπιλεγμένες προστασίες που καθιστούσαν αυτήν την προσέγγιση σημαντικά λιγότερο επιτυχημένη και τους ανάγκασε να την αλλάξουν.
Οι ερευνητές επεσήμαναν άλλες τρέχουσες τάσεις που σχετίζονται με επιθέσεις ransomware: η χρήση ευάλωτων οδηγών από τους επιτιθέμενους (π.χ., για απενεργοποίηση λογισμικού ασφαλείας), νόμιμα εργαλεία απομακρυσμένης επιφάνειας εργασίας (AnyDesk, Atera κ.λπ.), εξατομικευμένα εργαλεία κλοπής δεδομένων (π.χ., το StealBit του Lockbit), και κατάχρηση ενσωματωμένων εργαλείων των Windows (π.χ., Esentutl, DPAPI) για την κλοπή διαπιστευτηρίων.
Δείτε ακόμα: Η ομάδα ransomware BianLian έκλεψε data από την οργάνωση Save The Children
Οι ανιχνευτές απειλών της Symantec παρατήρησαν επίσης ένα περίεργο φαινόμενο που υποδηλώνει μια ανισορροπία στις δεξιότητες μεταξύ των συνεργατών των Lockbit και Alphv/Blackcat.
Η Alphv/BlackCat φαίνεται να εφαρμόζει μια απάτη εξόδου και να εξαπατά μερικούς από τους συνεργάτες της, ενώ ο κύριος χειριστής της ομάδας ransomware LockBit, προσπαθεί να διαβεβαιώσει τους συνεργάτες που τρομοκρατήθηκαν από τη δράση των αρχών επιβολής νόμου, να παραμείνουν και να συνεχίσουν τη συνεργασία τους.
Στο μεταξύ, το (σχετικό) κενό στο τοπίο των επιχειρήσεων ransomware, που δημιουργήθηκε από τα προβλήματα των δύο παραπάνω ομάδων, σύμφωνα με την εταιρεία κυβερνοασφάλειας RedSense, έχει μερικώς καλυφθεί από το Akira ransomware και συναφείς ομάδες όπως οι Zeon.
“Τον Δεκέμβριο, αποκτήσαμε αξιόπιστη πρωτογενή πληροφορία από πηγές (…), που υποδηλώνει ότι η Zeon λειτουργεί ως μια ελίτ ομάδα pentesters τόσο για την Akira όσο και για την LockBit, με την τελευταία να είναι ο βασικός τους στόχος“, δήλωσε ο συνιδρυτής της RedSense, Yelisey Bohuslavskiy.
Δείτε επίσης: Epic Games: Οι hackers Mogilevich λένε ότι έκλεψαν δεδομένα
Ποιες είναι οι βασικές λειτουργίες του Ransomware-as-a-Service;
Το Ransomware-as-a-Service (RaaS) είναι ένα μοντέλο που χρησιμοποιείται στον κυβερνοχώρο, όπου οι ομάδες hacking παρέχουν υπηρεσίες ransomware σε τρίτους. Οι βασικές λειτουργίες του RaaS περιλαμβάνουν τη δημιουργία, τη διανομή και τη διαχείριση επιθέσεων ransomware. Η δημιουργία αναφέρεται στην ανάπτυξη του λογισμικού ransomware. Οι πάροχοι RaaS δημιουργούν και παρέχουν προσαρμοσμένο λογισμικό ransomware που μπορεί να χρησιμοποιηθεί για επιθέσεις. Αυτό το λογισμικό είναι συχνά εύκολο στη χρήση και δεν απαιτεί εξειδικευμένες γνώσεις. Οι πάροχοι RaaS μπορούν να χρησιμοποιήσουν διάφορες τεχνικές, όπως τα phishing emails, τα κακόβουλα downloads και τα drive-by downloads, για να διανείμουν το λογισμικό στα θύματα. Οι πάροχοι RaaS παρέχουν επίσης εργαλεία και υπηρεσίες για την παρακολούθηση της απόδοσης των επιθέσεων, τη διαχείριση των λύτρων και την επικοινωνία με τα θύματα.
Πηγή: helpnetsecurity
