Ransomware: Nivelul de amenințare a rămas ridicat în al treilea trimestru

Atacurile ransomware s-au menținut la un nivel foarte ridicat și în al treilea trimestru al anului, interval în care noul grup RansomHub a depășit „veteranii” LockBit.

Actorii ransomware au revendicat 1.255 de atacuri în al treilea trimestru al anului 2024, în scădere foarte ușoară, de la 1.325 în al doilea trimestru.

Cel mai important, în trimestrul trei, a fost declinul LockBit, care a dominant ecosistemul ransomware, cu de trei ori mai multe atacuri decât cel mai apropiat rival, Qilin, în al doilea trimestru. LockBit a revendicat 188 de atacuri în al treilea trimestru, în scădere față de 353 de atacuri în al doilea trimestru.

Cel mai mare beneficiar al declinului LockBit a fost RansomHub, care a devenit activ în februarie 2024, însă numărul unu în ceea ce privește numărul de atacuri ransomware revendicate. RansomHub a revendicat 191 de atacuri în al treilea trimestru, în creștere de la 75 în al doilea trimestru. Creșterea rapidă a grupului poate fi explicată prin succesul său în recrutarea afiliaților cu experiență pentru operațiunea de ransomware-as-a-service, care oferă condiții mai atractive decât echipamentele rivale.
Un alt grup care a intensificat atacurile a fost Qilin (alias Agenda), care a revendicat 140 de atacuri în al treilea trimestru, față de 97 în al doilea trimestru.

Instrumente cu dublă utilizare

Atacurile ransomware de astăzi sunt intruziuni complexe în mai multe etape care implică desfășurarea mai multor instrumente și adesea o cantitate semnificativă de activitate de la tastatură din partea atacatorilor. O analiză a instrumentelor cele mai frecvent utilizate în atacurile ransomware oferă unele indicații despre tacticile, tehnicile și procedurile (TTP) preferate în prezent în rândul actorilor de ransomware.

Aceste instrumente se încadrează în general în patru categorii:

Living off the Land: Utilități native pentru Windows care pot fi valorificate de un atacator. Instrumente precum PsExec și WMI pot fi utilizate de către atacatori pentru a se deplasa lateral în rețele și pentru a executa comenzi de la distanță.

Deteriorarea apărării: Un număr tot mai mare de atacatori folosesc instrumente care folosesc tehnica Bring Your Own Vulnerable Driver (BYOD). Atacatorii vor implementa un driver vulnerabil semnat în rețeaua țintă și vor folosi acel driver pentru a ucide software-ul de securitate. Driverele au acces la kernel, ceea ce înseamnă că pot fi utilizați pentru a ucide procese.

Remote Desktop/Remote Admin: În timp ce aceste pachete software sunt utilizate în mod legitim pentru administrarea de la distanță sau pentru asistență tehnică, atacatorii apelează la ele deoarece oferă în mod eficient acces backdoor la o mașină. Instrumente precum RDP, AnyDesk, Splashtop și ScreenConnect sunt folosite frecvent în ransomware.

Exfiltrarea datelor: Majoritatea grupurilor ransomware efectuează atacuri de dublă extorcare, furând date din rețeaua victimei înainte de criptare și folosind amenințarea de a scurge datele furate ca formă suplimentară de pârghie. Rclone este instrumentul de exfiltrare cel mai frecvent utilizat. Multe dintre pachetele de administrare de la distanță utilizate de actorii ransomware au și capabilități de exfiltrare.

Ecosistem robust

Creșterea operațiunilor de ransomware, cum ar fi RansomHub și Qilin, pentru a rivaliza cu LockBit, nu este o veste binevenită, deoarece poate face ecosistemul ransomware mai robust și mai puțin probabil să sufere perturbări majore în cazul în care un operator dominant este dezactivat sau deconectat.