Ransomware review: Tháng 8 / 2023

Tháng 7 chứng kiến ​​một trong những vụ tấn công  ransomware cao nhất vào năm 2023 với 441 vụ, chỉ đứng sau kỷ lục 556 vụ tấn công vào tháng 5. Đi đầu trong các cuộc tấn công này, một lần nữa, là Cl0p.

Vào tháng 6, Cl0p đã vươn lên dẫn đầu  xếp hạng nhờ sử dụng lỗ hổng zero-day trong MOVEit Transfer và câu chuyện vào tháng 7 cũng không khác. Sử dụng lỗ hổng tương tự, nhóm này đã tấn công thêm 170 nạn nhân vào tháng 7—số vụ tấn công cao thứ hai của một nhóm trong cả năm, chỉ kém hai kỷ lục của MalasLockers vào tháng Năm.

Tuy nhiên, giữa tất cả sự hỗn loạn của Cl0p, một kẻ thù quen thuộc dường như đang lặng lẽ suy yếu: LockBit.

Các cuộc tấn công ransomware đã biết của  đảng, tháng 7 năm 2023

Nhóm LockBit đang trải qua sự sụt giảm liên tục trong bốn tháng về số lượng các cuộc tấn công mà nó đã thực hiện. Kể từ tháng 4 năm 2023, chúng tôi đã quan sát thấy nhóm giảm trung bình 20 cuộc tấn công mỗi tháng. 107 cuộc tấn công của LockBit vào tháng 4 đến 41 cuộc tấn công vào tháng 7 thể hiện mức giảm 62% trong hoạt động.

Chúng tôi đã thấy một mô hình tương tự từ LockBit trước đây và không có gì lạ khi hoạt động của  nhóm ransomware lên xuống thất thường. Tuy nhiên, điều đáng nói là một chi nhánh LockBit bị nghi ngờ đã bị bắt vào tháng trước. Sau đó, ít nhất các con số tháng 7 của LockBit có thể được giải thích là do họ chỉ đơn giản muốn hạ giá xuống một chút.

Khi một chi nhánh bị nghi ngờ khác của LockBit bị bắt vào tháng 11 năm 2022 , chúng tôi cũng thấy hoạt động của nhóm này ở mức thấp lịch sử.

Nghiên cứu được Chainanalysis công bố vào tháng 7 cho thấy các  nhóm ransomware đã kiếm được khoảng 449 triệu đô la từ các nạn nhân trong sáu tháng qua. Động lực đằng sau con số khổng lồ này? Thực tiễn nhắm mục tiêu vào các tập đoàn lớn, khá giả về tài chính để đảm bảo các khoản thanh toán lớn nhất có thể.

Chainanalysis cũng đề cập đến sự gia tăng các khoản thanh toán dưới 1000 đô la, có nghĩa là các công ty nhỏ hơn cũng đang là mục tiêu của các  nhóm ransomware.

Vào khoảng thời gian này năm ngoái, tổng số tiền xuất chi dưới 300 triệu đô la một chút—chênh lệch hơn 150 triệu đô la.

Chainanalysis cho biết, một lý do có thể cho sự gia tăng này có thể là do ngày càng có ít công ty sẵn sàng trả tiền chuộc, các  nhóm ransomware đang tăng quy mô yêu cầu tiền chuộc của chúng, ý tưởng là vẫn vắt được nhiều tiền nhất có thể từ các công ty. sẵn sàng trả.

Dữ liệu riêng của Malwarebytes cho thấy rằng việc tăng các khoản thanh toán cũng có thể là hệ quả đơn giản của việc có nhiều cuộc tấn công ransomware nói chung. Từ tháng 3 năm 2022 đến tháng 7 năm 2022, Malwarebytes đã ghi nhận tổng cộng 1.140 cuộc tấn công ransomware. Từ tháng 3 năm 2023 đến tháng 7 năm 2023, chúng tôi đã ghi nhận tổng cộng 2.130.

Các cuộc tấn công ransomware đã biết theo quốc gia, tháng 7 năm 2023

Các cuộc tấn công vào Hoa Kỳ và Vương quốc Anh đang ở mức cao nhất trong bốn tháng. Mặt khác, các cuộc tấn công ở Ý cho thấy rằng quốc gia này là quốc gia mới thường xuyên nằm trong "Top 5" hàng tháng các quốc gia bị tấn công nhiều nhất.

Các cuộc tấn công ransomware đã biết theo ngành, tháng 7 năm 2023

Trong các đợt khai thác zero-day quy mô lớn của mình, Cl0p rõ ràng đã không triển khai phần mềm tống tiền nào cả . Thay vào đó, nhóm chỉ tập trung vào việc đánh cắp dữ liệu của công ty để sau đó sử dụng làm đòn bẩy chống lại nạn nhân.

Động thái này thể hiện sự khác biệt đáng kể so với phần lớn các  nhóm ransomware hàng đầu và nó buộc các tổ chức phải suy nghĩ lại về bản chất của vấn đề: Bản thân vấn đề không phải là về ransomware, mà là về kẻ xâm nhập vào mạng của bạn. Điều thực sự nguy hiểm hóa ra lại nằm ở quyền truy cập chứ không phải bản thân phần mềm ransomware. 

Bản thân việc Cl0p tập trung vào việc khai thác các lỗ hổng zero-day đối với quyền truy cập ban đầu đã mang tính cách mạng. Kết hợp điều này với phương pháp lọc dữ liệu thuần túy có thể báo hiệu một sự thay đổi mô hình thậm chí còn lớn hơn về cách thức hoạt động của các  nhóm ransomware trong tương lai.

Nói về những đổi mới từ các  nhóm hàng đầu, tháng trước ALPHV đã được quan sát thấy cung cấp API  cho trang web rò rỉ dữ liệu của họ. 

API mới là một đường dẫn để phổ biến dữ liệu nhanh chóng, giúp các tội phạm mạng khác ngay lập tức truy cập và phân phối thông tin bị đánh cắp trên Dark Web. Mục tiêu bao trùm ở đây — đặc biệt là khi xem xét việc ALPHV không thể đòi tiền chuộc từ công ty mỹ phẩm Estee Lauder vừa bị vi phạm — dường như là gây áp lực buộc các nạn nhân phải trả tiền khi dữ liệu bị đánh cắp tiếp cận được nhiều đối tượng hơn.

Thời gian sẽ trả lời liệu động thái này có thành công hay không, nhưng nếu không có gì khác, nó báo hiệu sự tuyệt vọng của tội phạm mạng trong bối cảnh các khoản thanh toán ransomware ngày càng giảm.

Các chủng mới

CACTUS

CACTUS nổi lên vào tháng 3 năm 2023 như một dòng ransomware mới, nhắm vào các hoạt động thương mại quy mô lớn. Tháng trước, họ đã công bố 18 nạn nhân trên trang web rò rỉ của họ.

Để xâm nhập vào hệ thống, nhóm này khai thác các lỗ hổng nổi tiếng có trong VPN. Khi CACTUS có quyền truy cập vào mạng, họ sẽ liệt kê các tài khoản người dùng cục bộ và mạng cũng như các điểm cuối có thể truy cập. Sau đó, họ tạo tài khoản người dùng mới và triển khai bộ mã hóa ransomware của họ. Điểm độc đáo của CACTUS nằm ở việc chúng sử dụng các tập lệnh chuyên dụng tự động hóa việc phát hành và kích hoạt phần mềm tống tiền thông qua các tác vụ đã lên lịch.

Trang web rò rỉ CACTUS

Cyclops / Knight

Mặc dù thế giới ngầm đã bắt gặp Cyclops vào tháng 5 năm 2023, nhưng chỉ gần đây bằng chứng về các hoạt động của họ mới xuất hiện khi thông tin chi tiết về nạn nhân mới xuất hiện trên cổng Dark Web của họ. Ngoài ra, họ đã thông báo thay đổi thương hiệu thành "Knight - Hiệp sĩ". Tháng trước, họ đã công bố 6 nạn nhân trên trang web rò rỉ của họ.

Phần mềm tống tiền này rất linh hoạt, có khả năng xâm phạm các hệ thống Windows, Linux và macOS. Cyclops nổi bật với phương pháp mã hóa phức tạp, yêu cầu một khóa duy nhất để giải mã nhị phân thực thi. Cyclops cũng được trang bị một thành phần đánh cắp riêng biệt được thiết kế để trích xuất và chuyển thông tin nhạy cảm.

Trang web rò rỉ Cyclops/Knight

Làm thế nào để tránh phần mềm tống tiền

• Chặn các hình thức tấn công: Lập kế hoạch vá các lỗ hổng trong các hệ thống kết nối internet một cách nhanh chóng; vô hiệu hóa hoặc tăng cường truy cập từ xa như RDP và VPN; sử dụng phần mềm bảo mật điểm cuối có thể phát hiện các hành vi khai thác và phần mềm độc hại được sử dụng để phân phối ransomware.

• Phát hiện xâm nhập . Làm cho những kẻ xâm nhập khó hoạt động bên trong tổ chức của bạn hơn bằng cách phân đoạn mạng và gán quyền truy cập một cách thận trọng. Sử dụng EDR hoặc MDR để phát hiện hoạt động bất thường trước khi xảy ra cuộc tấn công.

• Dừng mã hóa độc hại . Triển khai phần mềm Phát hiện và phản hồi điểm cuối như EDR sử dụng nhiều kỹ thuật phát hiện khác nhau để xác định phần mềm tống tiền và khôi phục phần mềm tống tiền để khôi phục các tệp hệ thống bị hỏng.

• Tạo các bản sao lưu ngoại tuyến: Giữ các bản sao lưu bên ngoài và ngoại tuyến, ngoài tầm với của những kẻ tấn công. Kiểm tra chúng thường xuyên để đảm bảo bạn có thể nhanh chóng khôi phục các chức năng kinh doanh thiết yếu.

• Đừng để bị tấn công hai lần. Khi bạn đã cô lập ổ dịch và ngăn chặn cuộc tấn công đầu tiên, bạn phải xóa mọi dấu vết của những kẻ tấn công, phần mềm độc hại, công cụ và phương thức xâm nhập của chúng để tránh bị tấn công lần nữa.

Theo malwarebytes.com