Η Microsoft λέει ότι η συμμορία εγκλήματος στον κυβερνοχώρο Scattered Spider έχει προσθέσει το Qilin ransomware στο οπλοστάσιό της και τώρα το χρησιμοποιεί σε επιθέσεις.
Δείτε επίσης: Το SEXi ransomware μετονομάζεται σε APT INC – Επιθέσεις σε VMware ESXi servers
«Το δεύτερο τρίμηνο του 2024, η ομάδα hacking με οικονομικά κίνητρα Octo Tempest, πρόσθεσε το RansomHub και το Qilin στα ωφέλιμα φορτία ransomware σε καμπάνιες», δήλωσε η Microsoft τη Δευτέρα.
Αφού εμφανίστηκε στις αρχές του 2022, αυτή η ομάδα απειλών (επίσης γνωστή ως Octo Tempest, UNC3944 και 0ktapus) έγινε γνωστή μετά την καμπάνια 0ktapus που στόχευε πάνω από 130 οργανισμούς υψηλού προφίλ, συμπεριλαμβανομένων των Microsoft, Binance, CoinBase, T-Mobile, Verizon Wireless, AT&T, Slack, Twitter, Epic Games, Riot Games και Best Buy.
Η αγγλόφωνη συμμορία έχει επίσης κρυπτογραφήσει τα συστήματα των MGM Resorts αφού εντάχθηκε στο ransomware BlackCat/ALPHV ως θυγατρική στα μέσα του 2023 και συνδέθηκε από τη Symantec με το RansomHub ransomware-as-a-service.
Τον Νοέμβριο, το FBI και η CISA εξέδωσαν μια συμβουλευτική επισήμανση των τακτικών, των τεχνικών και των διαδικασιών της Scattered Spider (TTP). Αυτά περιλαμβάνουν την πλαστοπροσωπία υπαλλήλων πληροφορικής για να εξαπατήσουν το προσωπικό εξυπηρέτησης πελατών για να τους παράσχουν διαπιστευτήρια ή να αποκτήσουν επιμονή στα δίκτυα στόχων χρησιμοποιώντας εργαλεία απομακρυσμένης πρόσβασης.
Άλλες τακτικές που είναι γνωστό ότι χρησιμοποιούν για την αρχική πρόσβαση στο δίκτυο περιλαμβάνουν το phishing, το MFA bombing (γνωστός και ως κόπωση MFA) και το SIM swapping.
Δείτε ακόμα: Το BianLian Ransomware εκμεταλλεύεται τα διαπιστευτήρια RDP
Η λειτουργία ransomware Qilin στην οποία μόλις εντάχθηκε η Scattered Spider, εμφανίστηκε τον Αύγουστο του 2022 με το όνομα «Agenda», αλλά μετονομάστηκε σε Qilin μόλις ένα μήνα αργότερα.
Τα τελευταία δύο χρόνια, η συμμορία Qilin έχει διεκδικήσει πάνω από 130 εταιρείες στον ιστότοπο διαρροών της στο Dark Web. Ωστόσο, οι χειριστές τους δεν ήταν ενεργοί μέχρι να σημειωθούν επιθέσεις προς τα τέλη του 2023.
Από τον Δεκέμβριο του 2023, το Qilin αναπτύσσει επίσης έναν από τους πιο προηγμένους και προσαρμόσιμους κρυπτογραφητές Linux για να στοχεύει τις εικονικές μηχανές VMware ESXi, τις οποίες προτιμούν οι επιχειρηματικοί οργανισμοί για τις ανάγκες ελαφρών πόρων τους.
Όπως πολλές άλλες ομάδες ransomware που στοχεύουν επιχειρήσεις, οι χειριστές του Qilin διεισδύουν στα δίκτυα μιας εταιρείας και εξάγουν δεδομένα καθώς κινούνται στα συστήματα του θύματος.
Αφού αποκτήσουν τα διαπιστευτήρια διαχειριστή και συλλέξουν όλα τα ευαίσθητα δεδομένα, αναπτύσσουν τα ωφέλιμα φορτία ransomware για να κρυπτογραφήσουν όλες τις συσκευές δικτύου και να αξιοποιήσουν τα κλεμμένα δεδομένα για να πραγματοποιήσουν επιθέσεις διπλού εκβιασμού.
Τον περασμένο μήνα, ο Διευθύνων Σύμβουλος του Εθνικού Κέντρου Κυβερνοασφάλειας του Ηνωμένου Βασιλείου (NCSC) συνέδεσε το Qilin με μια επίθεση ransomware που έπληξε τον πάροχο υπηρεσιών παθολογίας Synnovis στις αρχές Ιουνίου και επηρέασε πολλά μεγάλα νοσοκομεία του NHS στο Λονδίνο, αναγκάζοντάς τα να ακυρώσουν εκατοντάδες επεμβάσεις και ραντεβού.
Δείτε επίσης: Η Rite Aid επιβεβαιώνει παραβίαση δεδομένων μετά την επίθεση ransomware
Οι επιθέσεις ransomware έχουν αναδειχθεί ως μία από τις πιο σημαντικές απειλές για την ασφάλεια στον κυβερνοχώρο τα τελευταία χρόνια. Αυτές οι επιθέσεις περιλαμβάνουν κακόβουλο λογισμικό που κρυπτογραφεί τα δεδομένα ενός θύματος, καθιστώντας τα απρόσιτα έως ότου καταβληθούν λύτρα στους εγκληματίες του κυβερνοχώρου, συνήθως σε κρυπτονομίσματα για να διατηρηθεί η ανωνυμία. Οι συνέπειες μπορεί να είναι τρομερές, και κυμαίνονται από οικονομικές απώλειες και λειτουργικές διακοπές έως παραβιάσεις δεδομένων και ζημιά στη φήμη. Οι επιχειρήσεις, οι κυβερνήσεις και τα άτομα είναι ευάλωτα, γεγονός που καθιστά ζωτικής σημασίας την εφαρμογή ολοκληρωμένων μέτρων ασφαλείας, όπως τακτικά αντίγραφα ασφαλείας δεδομένων, ισχυρό λογισμικό προστασίας από ιούς και εκπαίδευση εργαζομένων σε τακτικές phishing. Καθώς οι εισβολείς εξελίσσουν συνεχώς τις μεθόδους τους, η ενημέρωση και η επαγρύπνηση παραμένει απαραίτητη για την καταπολέμηση της διάχυτης απειλής του ransomware.
Πηγή: bleepingcomputer
