Οι ομάδες ransomware εστιάζουν σημαντικά στις τακτικές αμυντικής αποφυγής για να αυξήσουν τον χρόνο παραμονής στα δίκτυα θυμάτων, σύμφωνα με μια νέα έκθεση της Cisco Talos.
Δείτε επίσης: Η STORMOUS Ransomware ισχυρίζεται παραβίαση της HITC Telecom
Αυτή η τάση είναι αποτέλεσμα της στροφής προς το μοντέλο ransomware με διπλό εκβιασμό, στο οποίο οι εισβολείς κλέβουν ευαίσθητα δεδομένα για να απειλήσουν να τα δημοσιεύσουν στο διαδίκτυο παράλληλα με το κλείδωμα των συστημάτων των θυμάτων.
Οι ομάδες ransomware πρέπει να αποκτήσουν επίμονη πρόσβαση για να κατανοήσουν τη δομή ενός δικτύου, να εντοπίσουν πόρους που μπορούν να υποστηρίξουν την επίθεση και να εντοπίσουν δεδομένα αξίας που μπορούν να κλαπούν, γι αυτό εστιάζουν πλέον στην αμυντική αποφυγή.
Η έκθεση Cisco Talos ανέλυσε τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) των 14 πιο ενεργών ομάδων ransomware μεταξύ 2023 και 2024.
Κατά τη διάρκεια του Infosecurity Europe 2024, οι ειδικοί τόνισαν πώς η διείσδυση δεδομένων είναι πλέον ο κύριος τρόπος με τον οποίο οι ομάδες ransomware εκβιάζουν θύματα. Οι hacker βλέπουν τώρα την κρυπτογράφηση ως πρόσθετο ή δεν ασχολούνται καθόλου με το κλείδωμα των δεδομένων.
Η έκθεση της Cisco υπογράμμισε μια σειρά τεχνικών που έχουν αναπτυχθεί από ομάδες ransomware για να αποφύγουν τον εντοπισμό και να μετακινηθούν πλευρικά σε ένα δίκτυο μετά την αρχική πρόσβαση.
Οι πιο εξέχουσες ομάδες ransomware επικεντρώνονται γρήγορα σε τεχνικές αμυντικής αποφυγής, όπως:
- Απενεργοποίηση και τροποποίηση λογισμικού ασφαλείας, όπως προγράμματα προστασίας από ιούς, λύσεις ανίχνευσης τελικού σημείου ή δυνατότητες ασφαλείας στο λειτουργικό σύστημα για την αποτροπή του εντοπισμού του ωφέλιμου φορτίου ransomware
- Απόκρυψη του κακόβουλου λογισμικού πακετάροντας και συμπιέζοντας τον κώδικα, αποσυσκευάζοντάς το τελικά στη μνήμη όταν εκτελεστεί
- Τροποποίηση του μητρώου συστήματος για να απενεργοποιήσουν τις ειδοποιήσεις ασφαλείας
- Διαμόρφωση του λογισμικού για εκτέλεση κατά την εκκίνηση
- Αποκλεισμός ορισμένων επιλογών ανάκτησης για χρήστες
Δείτε ακόμα: Eldorado ransomware: Νέα απειλή – Στοχεύει VMware ESXi και Windows
Στη συνέχεια, οι ομάδες ransomware θα προσπαθήσουν να δημιουργήσουν μακροπρόθεσμη πρόσβαση, διασφαλίζοντας ότι οι δραστηριότητές τους είναι επιτυχείς ακόμη και αν ανακαλυφθεί και αποκατασταθεί η αρχική τους εισβολή, χρησιμοποιώντας τεχνικές αμυντικής αποφυγής.
Αυτές οι τεχνικές επιμονής περιλαμβάνουν τη χρήση αυτοματοποιημένων μηχανισμών επιμονής κακόβουλου λογισμικού, όπως η εκτέλεση AutoStart κατά την εκκίνηση του συστήματος και η δημιουργία εργαλείων λογισμικού απομακρυσμένης πρόσβασης.
Μετά την επίτευξη μόνιμης πρόσβασης, οι φορείς απειλών θα προσπαθήσουν να μετακινηθούν πλευρικά στο δίκτυο και να εντοπίσουν ευαίσθητα δεδομένα πριν από την ανάπτυξη του ωφέλιμου φορτίου ransomware.
Συχνά προσπαθούν να εκμεταλλευτούν αδύναμους ελέγχους πρόσβασης και να αυξήσουν τα προνόμια σε επίπεδο διαχειριστή, για να προχωρήσουν περαιτέρω κατά μήκος της αλυσίδας επίθεσης χρησιμοποιώντας διάφορα τοπικά βοηθητικά προγράμματα και νόμιμες υπηρεσίες.
Αυτές οι τεχνικές «living-off-the-land» έχουν σχεδιαστεί για να συνδυάζονται με τυπικές λειτουργίες λειτουργικού συστήματος. Συχνά περιλαμβάνουν τη χρήση βοηθητικών προγραμμάτων σαρωτή δικτύου σε συνδυασμό με εργαλεία και βοηθητικά προγράμματα τοπικού λειτουργικού συστήματος, όπως Certutil, Wevtutil, Net, Nltes και Netsh.
Δείτε επίσης: Το BianLian Ransomware χτυπά μεγάλες εταιρείες των ΗΠΑ
Το Ransomware αποτελεί μία από τις πιο σοβαρές απειλές στον τομέα της κυβερνοασφάλειας. Πρόκειται για κακόβουλο λογισμικό που εμποδίζει την πρόσβαση σε βασικά αρχεία ή συστήματα λόγω κρυπτογράφησης, απαιτώντας λύτρα για την αποκατάστασή τους. Συνήθως διαδίδεται μέσω επιβλαβών συνημμένων emails, ψευδών ειδοποιήσεων λογισμικού ή παραβιασμένων ιστότοπων. Η προστασία από ransomware απαιτεί πολυεπίπεδη προσέγγιση, συνδυάζοντας τακτικά εφεδρικά αντίγραφα, εκπαίδευση χρηστών, και ισχυρή ασφάλεια λογισμικού.
Πηγή: infosecurity
