Οι συμμορίες Ransomware χρησιμοποιούν διάφορες επιχειρηματικές πρακτικές για να αυξήσουν τα κέρδη τους, καθιστώντας όλο και πιο δύσκολο για τους defenders να διακρίνουν τις διάφορες ομάδες, σύμφωνα με μια νέα έκθεση της WithSecure.
Αυτή η κίνηση προς την κατεύθυνση της αντικατοπτρισμού των νόμιμων επιχειρηματικών πρακτικών σημαίνει ότι οι τακτικές, οι τεχνικές και οι διαδικασίες (TTPs) θολώνουν, δήλωσε ο Stephen Robinson, Senior Threat Intelligence Analyst της WithSecure, κατά τη διάρκεια του Sphere23.
Για παράδειγμα, ενώ η πρόσφατη πτώση συμμοριών ransomware όπως η Conti και η Hive είναι θετική, έκτοτε έχουν εμφανιστεί περισσότερες ομάδες που χρησιμοποιούν TTP όπως η Conti. Αυτό δείχνει ότι οι μέθοδοι που χρησιμοποιούνται από αυτές τις συμμορίες μιμούνται και αντιγράφονται από άλλους φορείς.
Το underground marketplace περιλαμβάνει πλέον οντότητες όπως ομάδες ransomware-as-a-service (RaaS), initial access brokers (IAB), crypter-as-a-service (CaaS), cryptojackers και ομάδες malware-as-a-service (MaaS).
Ο Robinson σημείωσε ότι τα εθνικά κράτη χρησιμοποιούν τα εργαλεία που διατίθενται στην παράνομη αγορά για να αποκτήσουν πρόσβαση σε δίκτυα και συστήματα χωρίς να γίνουν αντιληπτά.
Σε τελική ανάλυση, αυτή η τάση επαγγελματοποίησης καθιστά την τεχνογνωσία και τους πόρους για την επίθεση σε οργανισμούς προσιτούς σε λιγότερο ειδικευμένους ή ανεπαρκώς εξοπλισμένους απειλητικούς φορείς.
Ο Robinson σημείωσε ότι τα IAB βιομηχανοποιούν το exploitation παρά τον υψηλό όγκο δραστηριότητάς τους.
Κατά τη διάρκεια μιας παρουσίασης, ο Robinson ανέδειξε ένα περιστατικό που διερευνήθηκε από την WithSecure, η οποία διαπίστωσε ότι ένας μόνο οργανισμός παραβιάστηκε από πέντε διαφορετικούς απειλητικούς φορείς, ο καθένας με διαφορετικούς στόχους και εκπροσωπώντας διαφορετικούς τύπους υπηρεσιών κυβερνοεγκλήματος.
• Το Monti ransomware group
• Qakbot MaaS
•Μια ομάδα cryptojacking γνωστή ως συμμορία 8220 (επίσης παρακολουθείται ως Returned Libra)
• Ένα ανώνυμο IAB
• Ένα υποσύνολο της Ομάδας Lazarus, μια προηγμένη απειλή που σχετίζεται με το Γενικό Γραφείο Εξωτερικών Πληροφοριών και Αναγνώρισης της Βόρειας Κορέας.
Ο Robinson σημείωσε ότι, παρά τα παραπάνω, γίνεται όλο και πιο δύσκολη η διάκριση μεταξύ των ομάδων. Αυτό θα επηρεάσει τις παραδοσιακές τεχνικές ανίχνευσης και θα πρέπει να υπάρξει ένας νέος τρόπος σκέψης για τους defenders.
Πηγή πληροφοριών: infosecurity-magazine.com
