Threat intelligence analysts έχουν παρατηρήσει ασυνήθιστη τάση στις ransomware επιθέσεις, αναφέροντας πως τα αρχικά στάδια του εκβιασμού των θυμάτων γίνονται πιο “μυστικά” καθώς οι hackers τείνουν να χρησιμοποιούν κρυφές ή ανώνυμες καταχωρήσεις. Με το να μην αποκαλύπτουν αμέσως το όνομα του θύματος, οι λειτουργίες ransomware δίνουν στους στόχους τους μια ευκαιρία να διαπραγματευτούν την πληρωμή των λύτρων με μυστικότητα, ενω παράλληλα διατηρούν ένα επίπεδο πίεσης με τη μορφή μελλοντικής διαρροής δεδομένων.
H KELA μια Ισραηλινή εταιρεία στον τομέα των πληροφοριών στον κυβερνοχώρο, δημοσίευσε την έκθεση για ransomware επιθέσεις για το πρώτο τρίμηνο του 2022 που απεικονίζει αυτήν την τάση και τονίζει διάφορες αλλαγές στον τομέα.
Το πρώτο τρίμηνο του 2022 ο συνολικός αριθμός των θυμάτων ransomware μειώθηκε σημαντικά κατα 40% απο 982 το τέταρτο τριμήνο του 2021 σε 698. Αυτό οφειλόταν εν μέρει στη σταδιακή παρακμή και την τελική έξοδο του Conti και επίσης λόγω του ότι οι νεότερες ομάδες δεν παρήγαγαν τους ίδιους όγκους επιθέσεων με αυτές που αναχώρησαν το προηγούμενο τρίμηνο.
Στην κορυφή της λίστας για αυτήν την περίοδο βρίσκεται το LockBit, η πιο επικίνδυνη απειλή ransomware, αποκαλύπτοντας 226 θύματα, σχεδόν τα ίδια με το προηγούμενο τρίμηνο. Από τους νέους κινδύνους, το Alphv αντιπροσώπευε το 8% και το Karakurt το 5% των δημοσιευμένων θυμάτων, τα οποία είναι σημαντικά αλλά οπουδήποτε κοντά στο 32% του LockBit ή ακόμη και στο 18% του Conti.
Ο χρηματοοικονομικός τομέας κατέγραψε αύξηση 40% στον αριθμό των θυμάτων από τριμήνο σε τρίμηνο, ενω οι επαγγελματικές υπηρεσίες, η υγειονομική περίθαλψη, η μεταποίηση και η τεχνολογία παρέμειναν σταθερά στους πέντε κορυφαίους τομείς που στοχεύτηκαν περισσότερο.
Οι Ηνωμένες Πολιτείες βρέθηκαν στην κορυφή της λίστας με τις χώρες που στοχεύουν περισσότερο με 40%, ακολουθούμενες απο το Ηνωμένο Βασίλειο, την Ιταλία, την Γερμανία και τον Καναδά. Η Γαλλία η οποία ήταν στην πρώτη πεντάδα στο παρελθόν δεν ήταν τόσο στοχευμένη τους τελευταίους μήνες.
Αρχική πρόσβαση
Οι μεσολαβητές αρχικής πρόσβασης παραμένουν ένας κρίσιμος κρίκος στην αλυσίδα επιθέσεων ransomware καθώς εντοπίστηκαν 116 πωλητές αυτού του είδους το πρώτο τρίμηνο του 2022, σημειώνοντας αύξηση 15% σε σύγκριση με το προηγούμενο τρίμηνο. Ορισμένοι διαμεσολαβητές όπως ο “Novelli” δραστηριοποιούνται σε φόρουμ για το έγκλημα στον κυβερνοχώρο από το 2019, πουλώντας κυρίως πρόσβαση RDP ενώ άλλοι όπως το “Chiftlocal” εμφανίστηκαν στο πεδίο για πρώτη φορά τον Μάρτιο του 2022.
Ένας άλλος σημαντικός πωλητής που είδαν οι αναλυτές απειλών της KELA είναι ο “Pumpedkicks”, γνωστός και ως “Mont4ana”, ο οποίος προσφέρει ελλατώματα SQL και διαπιστευτήρια σύνδεσης σε εταιρικά δίκτυα. Πρόσφατα αυτός ο κακόβουλος χρήστης πρόσθεσε πρόσβαση VPN σε εταιρείες και κυβερνητικές οντότητες των ΗΠΑ.
Απόκρυψη ονομάτων θυμάτων
Η κάπως περίεργη τάση που εκτυλίχθηκε το 1ο τρίμηνο του 2022 είναι οι συμμορίες ransomware να κρύβουν τα ονόματα των θυμάτων τους και να τα περιγράφουν μόνο με βάση τον κλάδο, το μέγεθος και τα κλεμμένα δεδομένα τους. Η KELA παρατήρησε αυτή την τακτική από τον Μίδα, τον Λόρεντς και το Έβερεστ, οι οποίοι απείλησαν τα θυματά τους ότι θα πρόσθεταν το εμπορικό σήμα τους στον ιστότοπο του extortion Tor εάν δεν πλήρωναν τα λύτρα.
Αυτή η τακτική χρησιμοποιείται επίσης από άλλες συμμορίες ransomware, οι οποίες προετοιμάζουν κρυφές ιστοσελίδες στους ιστοτόπους διαρροής δεδομένων τους και δίνουν τη διεύθηνση URL μόνο στο θύμα. Αυτό ήταν για να δείξει την απόδειξη των κλεμμένων δεδομένων χωρίς να βλάψει την διαπραγματευτική τους θέση. Όταν μια ομάδα ransomware δημοσιεύει αμέσως το όνομα του θύματος, καταστρέφει κάθε πιθανότητα να φτάσει σε ένα επιτυχημένο αποτέλεσμα διαπραγμάτευσης και να λάβει χρήματα. Εκθέτοντας το περιστατικό στις αρχές, καθιστούν αδύνατη την άτυπη παραλαβή μεγάλων ποσών.
