Η εταιρεία ZeroFox έκανε μια έρευνα και διαπίστωσε ότι το ALPHV/BlackCat ήταν το δεύτερο πιο δημοφιλές στέλεχος ransomware (από άποψη επιθέσεων) στη Βόρεια Αμερική και την Ευρώπη μεταξύ Ιανουαρίου 2022 και Οκτωβρίου 2023. Τουλάχιστον αυτό ίσχυε μέχρι τη διακοπή λειτουργίας των sites της ομάδας.
Η ανάλυση διαπίστωσε ότι το ALPHV σχετιζόταν περίπου με το 11% όλων των επιθέσεων ransomware και ψηφιακού εκβιασμού (R&DE) στη Βόρεια Αμερική και με το 6%στην Ευρώπη. Την πρώτη θέση, κατείχε το LockBit ransomware.
Επιπλέον, σύμφωνα με την έκθεση, εντοπίστηκε σημαντική αύξηση των παγκόσμιων δραστηριοτήτων της ransomware συμμορίας BlackCat μέσα στο 2023, αν και σημειώθηκε μια σχετική πτώση το 3ο τρίμηνο του 2023.
Δείτε επίσης: LockBit: Στρατολογεί affiliates από τα BlackCat/ALPHV και NoEscape ransomware
Η μεγαλύτερη εστίαση της ομάδας κατά τη διάρκεια της παραπάνω περιόδου ήταν σε οργανισμούς στη Βόρεια Αμερική.
Πώς θα επηρεαστεί το ALPHV ransomware από τη διαταραχή υποδομής;
Νωρίτερα αυτόν τον μήνα, αναφέρθηκε ότι η συμμορία ransomware-as-a-service (RaaS) υπέστη διαδικτυακή διακοπή, την οποία οι ειδικοί πληροφοριών απέδωσαν σε ενέργειες των αρχών επιβολής του νόμου. Οι ίδιοι οι hackers αρνήθηκαν αυτούς τους ισχυρισμούς.
Ο Daniel Curtis, Ανώτερος Αναλυτής Πληροφοριών στη ZeroFox, τόνισε ότι οι διακοπές λειτουργίας ιστοτόπων είναι ένα αρκετά συχνό φαινόμενο και πιθανότατα θα οδηγήσουν μόνο σε προσωρινή καταστολή της απειλής.
“Το ιστολόγιο της ομάδας εκβιασμού αντιμετωπίζει επί του παρόντος μεγάλες περιόδους διακοπής λειτουργίας, κάτι που συμβαίνει κατά καιρούς σε αυτά τα οικοσυστήματα και είναι συνήθως το αποτέλεσμα μιας άγνωστης επιχείρησης επιβολής του νόμου, διαμάχης μεταξύ καρτέλ ή συντήρησης δικτύου“, σημείωσε.
Ο Curtis πρόσθεσε ότι ακόμα και αν η ομάδα δεν μπορέσει να επιστρέψει όπως πριν, θα στραφεί γρήγορα σε άλλο ransomware για να συνεχίσει να στοχεύει θύματα.
Δείτε επίσης: HTC Global Services: Το ALPHV/BlackCat ransomware πίσω από την επίθεση;
Ποιες τεχνικές χρησιμοποιεί η ομάδα BlackCat συνήθως;
Εκμετάλλευση ευπαθειών που εκτίθενται στο Διαδίκτυο: Οι hackers εκμεταλλεύονται μια σειρά από ευπάθειες, που επιτρέπουν εκτέλεση κώδικα απομακρυσμένα και αύξηση προνομίων και ελέγχων πρόσβασης.
Social engineering: Οι hackers χρησιμοποιούν διάφορες τεχνικές social engineering, όπως το spear phishing, μαζικές κακόβουλες επικοινωνίες vishing κλπ για να παραδώσουν και να εκτελέσουν κακόβουλο λογισμικό εξ αποστάσεως.
Malware-as-a-Service (MaaS): Οι συνεργάτες της ομάδας ALPHV αξιοποιούν το MaaS Emotet, προκειμένου να ξεκινήσουν παραβιάσεις πρώτου σταδίου.
External Remote Services: Οι επιτιθέμενοι εκμεταλλεύτηκαν το Remote Desktop Protocol (RDP) για να αποκτήσουν πρόσβαση σε δίκτυα θυμάτων αξιοποιώντας νόμιμα credentials χρήστη.
Drive-by Compromise: Ορισμένοι affiliates χρησιμοποιούν και αυτή τη μέθοδο.
Έγκυροι Λογαριασμοί: Οι εισβολείς έχουν χρησιμοποιήσει παραβιασμένα credentials για να παρακάμψουν τους ελέγχους πρόσβασης, να δημιουργήσουν persistence, να αυξήσουν τα προνόμια και να αποφύγουν τον εντοπισμό.
Προστασία από ransomware
Ένα από τα σημαντικότερα μέτρα που μπορούν να ληφθούν για την προστασία από ransomware επιθέσεις είναι η ενημέρωση και εκπαίδευση των χρηστών. Οι χρήστες πρέπει να είναι ενήμεροι για τις τελευταίες απειλές και να μάθουν πώς να αναγνωρίζουν ύποπτα μηνύματα ηλεκτρονικού ταχυδρομείου ή κακόβουλα αρχεία που μπορεί να περιέχουν ransomware.
Ένα άλλο σημαντικό μέτρο είναι η εγκατάσταση ενημερωμένου antivirus λογισμικού και προγραμμάτων ασφαλείας. Τα antivirus και οι προγραμματισμένες ενημερώσεις μπορούν να ανιχνεύουν και να αποτρέπουν την είσοδο του ransomware στο σύστημα.
Δείτε επίσης: Tipalti: Διερευνά ισχυρισμούς της ransomware συμμορίας BlackCat για παραβίαση
Επίσης, η τακτική δημιουργία αντιγράφων ασφαλείας των σημαντικών δεδομένων είναι ζωτικής σημασίας. Αν ένας υπολογιστής πέσει θύμα ransomware, τα αντίγραφα ασφαλείας μπορούν να χρησιμοποιηθούν για να αποκαταστήσουν τα δεδομένα χωρίς πληρωμή λύτρων.
Επιπλέον, η προστασία του δικτύου είναι σημαντική. Αυτό μπορεί να επιτευχθεί μέσω της χρήσης προηγμένων τεχνολογιών προστασίας, όπως τείχη προστασίας, ανιχνευτές εισβολών και αντι-σπαμ φίλτρα.
Τέλος, η προσεκτική περιήγηση στο διαδίκτυο και η αποφυγή καταφανώς επικίνδυνων ιστοσελίδων και λήψης λογισμικών από αναξιόπιστες πηγές μπορεί επίσης να μειώσει τον κίνδυνο εκτέλεσης ransomware στο σύστημα.
Πηγή: www.infosecurity-magazine.com
){kind=link}