Την περασμένη εβδομάδα, υπηρεσίες κυβερνοασφάλειας από το Ηνωμένο Βασίλειο, τις ΗΠΑ και την Αυστραλία δημοσίευσαν ένα κοινό advisory warning και αναφέρθηκαν στις αυξημένες ransomware επιθέσεις κατά τη διάρκεια του 2021.
Σύμφωνα με μια έκθεση που δημοσιεύτηκε από την εταιρεία Chainalysis, οι οργανισμοί έχουν πληρώσει τουλάχιστον 602 εκατομμύρια δολάρια σε cryptocurrency σε ransomware συμμορίες, κατά το 2021. Αυτό δείχνει μια σχετική μείωση σε σύγκριση με την προηγούμενη χρονιά, όπου οι οργανισμοί είχαν πληρώσει 692 εκατομμύρια δολάρια σε cryptocurrency, αλλά οι ειδικοί της Chainalysis προειδοποιούν ότι θα μπορούσαν να εντοπιστούν και άλλες περιπτώσεις πληρωμής λύτρων το επόμενο διάστημα.
Δείτε επίσης: Maze/Egregor ransomware: Κυκλοφόρησαν τα κλειδιά αποκρυπτογράφησης
Οι ειδικοί τόνισαν ότι οι αριθμοί αλλάζουν καθώς μαθαίνουν συνεχώς για επιθέσεις και πληρωμές που δεν γνώριζαν προηγουμένως. “Από τον Ιανουάριο του 2022, έχουμε πλέον εντοπίσει κάτι περισσότερο από 692 εκατομμύρια δολάρια σε πληρωμές ransomware το 2020 — σχεδόν το διπλάσιο του ποσού που εντοπίσαμε αρχικά κατά τη σύνταξη της περσινής έκθεσης“.
, δόθηκαν στη ransomware συμμορία Conti. Οι hackers κατάφεραν){kind=link}
“Υπάρχει μια μικρή χρονική καθυστέρηση στα δεδομένα ransomware, επομένως αναμένουμε ότι όταν αυτοί οι αριθμοί ενημερωθούν σε λίγους μήνες, το 2021 θα έχει υψηλότερους αριθμούς από το 2020“, πρόσθεσε η εταιρεία.
Σύμφωνα με την έκθεση, τα περισσότερα cryptocurrencies κατά το 2021 (λύτρα), δόθηκαν στη ransomware συμμορία Conti. Οι hackers κατάφεραν να αποσπάσουν τουλάχιστον 180 εκατομμύρια δολάρια από τα θύματα.
Οι χειριστές του Conti ransomware διαχειρίζονται ένα ιδιωτικό Ransomware-as-a-Service (RaaS). Το malware εμφανίστηκε στα τέλη Δεκεμβρίου του 2019 και άρχισε να διανέμεται μέσω μολύνσεων με το TrickBot. Οι ειδικοί εικάζουν ότι οι hackers είναι μέλη μιας ομάδας εγκλήματος στον κυβερνοχώρο με έδρα τη Ρωσία, γνωστή ως Wizard Spider.
Από τον Αύγουστο του 2020, η ομάδα έχει ανοίξει ένα site διαρροής δεδομένων, για να απειλεί τα θύματα με δημοσίευση κλεμμένων δεδομένων (η κλοπή των δεδομένων γίνεται πριν την κρυπτογράφηση των συστημάτων).
Οι χειριστές του Conti προσφέρουν τις υπηρεσίες/malware σε άλλους hackers και διατηρούν το 20-30% των λύτρων.
Η CISA και το FBI παρατήρησαν ότι το Conti ransomware χρησιμοποιήθηκε σε περισσότερες από 400 επιθέσεις σε ΗΠΑ και διεθνείς οργανισμούς.
Η Darkside ήταν η δεύτερη συμμορία με τα περισσότερα έσοδα κατά το 2021. Οι ειδικοί υπολόγισαν ότι τα κέρδη της ομάδας έφτασαν περίπου τα 85 εκατομμύρια δολάρια. Η πιο γνωστή επίθεση της συγκεκριμένης συμμορίας ήταν αυτή στις εγκαταστάσεις της Colonial Pipeline που έλαβε χώρα το Μάιο του 2021 και προκάλεσε χάος στις ΗΠΑ.
Μετά την επίθεση, η συμμορία Darkside σταμάτησε τις δραστηριότητές της, φοβούμενη την απάντηση των αρχών επιβολής του νόμου. Η ομάδα ισχυρίστηκε, επίσης, ότι οι ομοσπονδιακές αρχές κατέσχεσαν μέρος της υποδομής της και ορισμένα πορτοφόλια που χρησιμοποιούσε για τις δραστηριότητές της.
Τον Ιούλιο, η ransomware ομάδα εμφανίστηκε ξανά με το όνομα BlackMatter.
Μεταξύ των 10 κορυφαίων ransomware ομάδων για το 2021 (με βάση τα έσοδα), βρίσκονται και οι Phoenix Cryptolocker και REvil.
Η έκθεση των ερευνητών δείχνει επίσης και μια αύξηση στα χρηματικά ποσά που ζητούσαν οι συμμορίες το 2021. Το μέσο χρηματικό ποσό το 2021 ήταν πάνω από 118.000 $, ενώ το 2020 ήταν 88.000 $ και το 2019 25.000 $.
Δείτε επίσης: Τα Qbot και Lokibot στρέφονται και πάλι στο Windows Regsvr32
Ένας λόγος για την αύξηση των μεγεθών των λύτρων είναι η εστίαση των εισβολέων ransomware στη διεξαγωγή επιθέσεων εναντίον μεγάλων οργανισμών, αναφέρει η έκθεση. Αυτή η στρατηγική, είναι γνωστή ως “big game hunting“, και σε τέτοιες περιπτώσεις, οι ransomware ομάδες παίρνουν εργαλεία από τρίτους παρόχους για να κάνουν τις επιθέσεις τους πιο αποτελεσματικές.
Οι επιθέσεις ransomware μπορούν να φέρουν πολλά κέρδη στους επιτιθέμενους και γι’ αυτό το λόγο είναι μια απειλή που συνεχίζει να αναπτύσσεται. Η Chainalysis ανέφερε ότι τουλάχιστον 140 στελέχη ransomware έλαβαν πληρωμές από θύματα το 2021.
Οι ερευνητές παρατήρησαν, επίσης, ότι πολλές ομάδες σταματούν τις δραστηριότητές τους για ένα χρονικό διάστημα και μετά εμφανίζονται πάλι στο τοπίο απειλών με νέο όνομα.
“Όλο και περισσότερο το 2021, είδαμε φορείς απειλών να “κλείνουν” δημόσια τις υποδομές τους πριν ξεκινήσουν εκ νέου με νέο όνομα, παρουσιάζοντας τους εαυτούς τους ως ξεχωριστή ομάδα“. Ωστόσο, στις περισσότερες περιπτώσεις, οι ερευνητές ανακαλύπτουν στοιχεία που τους επιτρέπουν να συνδέσουν τα νέα ransomware με τα παλαιότερα.
Οι αλλαγές αυτές γίνονται συνήθως για να αποφευχθεί ο εντοπισμός από τις υπηρεσίες επιβολής του νόμου.
Δείτε επίσης: Ισπανία: Η αστυνομία συλλαμβάνει υπόπτους για συμμετοχή σε κύκλωμα SIM-swapping
Η έκθεση τονίζει, επίσης, ότι ενώ οι περισσότερες επιθέσεις ransomware φαίνεται να έχουν οικονομικά κίνητρα, οι ομάδες που υποστηρίζονται από κυβερνήσεις χρησιμοποιούν αυτήν την πρακτική για πολλαπλούς σκοπούς, όπως εξαπάτηση, κατασκοπεία, δυσφήμιση και συγκέντρωση χρημάτων. Οι ειδικοί πιστεύουν ότι οι επιθέσεις ξεκινούν πολλές φορές από ομάδες που συνδέονται με το Ιράν, τη Ρωσία, την Κίνα και τη Βόρεια Κορέα.
Οι ειδικοί αναμένουν ότι οι παραπάνω τάσεις θα συνεχίσουν να αυξάνονται το 2022.
Πηγή: Security Affairs