Οι συμμορίες ransomware αγοράζουν όλο και περισσότερη πρόσβαση στο δίκτυο ενός θύματος σε αγορές dark web και από άλλους απειλητικούς φορείς. Η ανάλυση των διαφημίσεων τους καθιστά δυνατή την εσωτερική ματιά στους τύπους εταιρειών που στοχεύουν οι συμμορίες ransomware.
Δείτε επίσης: Ransomware επιθέσεις: Αύξηση 288% κατά το πρώτο εξάμηνο του 2021
Κατά τη διεξαγωγή μιας κυβερνοεπίθεσης, οι συμμορίες ransomware πρέπει πρώτα να αποκτήσουν πρόσβαση σε ένα εταιρικό δίκτυο για να αναπτύξουν το ransomware τους.
Με τα τεράστια κέρδη να δημιουργούνται από επιθέσεις, αντί να βρίσκουν και να παραβιάζουν τους ίδιους τους στόχους, οι συμμορίες ransomware αγοράζουν συνήθως αρχική πρόσβαση σε στόχους υψηλής αξίας μέσω μεσιτών αρχικής πρόσβασης (IABs).
Τα IABs είναι άλλοι απειλητικοί φορείς που παραβιάζουν ένα δίκτυο, είτε μέσω κωδικών πρόσβασης, exploits ή εκστρατειών phishing και στη συνέχεια πωλούν αυτήν την πρόσβαση σε άλλους κυβερνοεγκληματίες.
Αφού εξέτασε τις διαφημίσεις των συμμοριών ransomware, η εταιρεία πληροφοριών κυβερνοασφάλειας KELA συνέταξε μια λίστα με τα κριτήρια που αναζητούν οι μεγαλύτερες συμμορίες στις εταιρείες για να πραγματοποιήσουν τις επιθέσεις τους.
Δείτε επίσης: Memorial Health System: Ακυρώνονται χειρουργεία λόγω ransomware επίθεσης
Στόχευση ορισμένων εταιρειών
Η KELA ανέλυσε 48 forum posts που δημιουργήθηκαν τον Ιούλιο, όπου οι απειλητικοί φορείς αναζητούν να αγοράσουν πρόσβαση σε ένα δίκτυο. Οι ερευνητές αναφέρουν ότι το 40% αυτών των διαφημίσεων δημιουργούνται από άτομα που εργάζονται με συμμορίες ransomware.
Αυτές οι διαφημίσεις απαριθμούν τις απαιτήσεις της εταιρείας που αναζητούν οι χάκερ, όπως η χώρα στην οποία βρίσκεται μια εταιρεία, σε ποια βιομηχανία βρίσκονται και πόσα θέλουν να δαπανήσουν.
Αναλύοντας τις αγγελίες ζήτησης από περίπου είκοσι δημοσιεύσεις που δημιουργήθηκαν από απειλητικοί φορείς που σχετίζονται με συμμορίες ransomware, οι ερευνητές της KELA κατάφεραν να καταλήξουν στα ακόλουθα χαρακτηριστικά των στοχευόμενων εταιρειών:
- Γεωγραφίκη θέση: Οι συμμορίες ransomware προτιμούν τα θύματα που βρίσκονται στις ΗΠΑ, τον Καναδά, την Αυστραλία και την Ευρώπη.
- Έσοδα: Η ΚΕΛΑ αναφέρει ότι το μέσο ελάχιστο εισόδημα που επιθυμούν οι συμμορίες ransomware είναι 100 εκατομμύρια δολάρια. Ωστόσο, αυτό μπορεί να αλλάξει ανάλογα με τη γεωγραφική θέση του θύματος.
- Blacklist τομέων: Ενώ ορισμένες συμμορίες δήλωσαν ότι απέφευγαν την υγειονομική περίθαλψη, ήταν λιγότερο επιλεκτικές σε άλλους κλάδους εταιρειών που κρυπτογραφούν. Ωστόσο, μετά τις επιθέσεις Colonial Pipeline, Metropolitan Police Department και JBS, πολλές συμμορίες ransomware άρχισαν να αποφεύγουν συγκεκριμένους τομείς.
- Blacklist χωρών: Οι περισσότερες μεγάλες επιχειρήσεις ransomware αποφεύγουν συγκεκριμένα να επιτίθενται σε εταιρείες που βρίσκονται στην Κοινοπολιτεία Ανεξάρτητων Κρατών (CIS) καθώς πιστεύουν ότι εάν δεν στοχεύσουν αυτές τις χώρες, οι τοπικές αρχές δεν θα τις στοχεύσουν. (Αυτές οι χώρες στη μαύρη λίστα περιλαμβάνουν τη Ρωσία, την Ουκρανία, τη Μολδαβία, τη Λευκορωσία, το Κιργιζιστάν, το Καζακστάν, την Αρμενία, το Τατζικιστάν, το Τουρκμενιστάν και το Ουζμπεκιστάν.)
Δείτε επίσης: LockFile: Το νέο ransomware που στοχεύει Microsoft Exchange servers
Δυστυχώς, ακόμη και αν μια εταιρεία δεν πληροί τα παραπάνω κριτήρια, δεν σημαίνει ότι είναι ασφαλής.
Πηγή πληροφοριών
