Οι επιθέσεις ransomware παρουσίασαν σημαντική πτώση μέσα στον Απρίλιο, σύμφωνα με νέα ανάλυση της εταιρείας Comparitech. Η εταιρεία αποδίδει σε μεγάλο βαθμό αυτή την εξέλιξη σε λειτουργικά προβλήματα της εγκληματικής ομάδας RansomHub, που φαίνεται να επηρέασαν τη δραστηριότητά της.
Η Comparitech, που ειδικεύεται στην ενημέρωση των καταναλωτών για ζητήματα ψηφιακής ασφάλειας, κατέγραψε συνολικά 479 περιστατικά ransomware κατά τη διάρκεια του Απριλίου. Πρόκειται για αισθητή μείωση σε σχέση με τους προηγούμενους μήνες. Είχαν καταγραφεί 530 επιθέσεις τον Ιανουάριο, 973 τον Φεβρουάριο και 713 τον Μάρτιο.
Αξίζει να σημειωθεί ότι από τα 479 καταγεγραμμένα περιστατικά του Απριλίου, μόλις 39 επιβεβαιώθηκαν από τους ίδιους τους στόχους των επιθέσεων, είτε μέσω ανακοινώσεων Τύπου είτε μέσω ειδοποιήσεων για παραβίαση δεδομένων.
Δείτε επίσης: Ουκρανός εκδόθηκε στις ΗΠΑ για επιθέσεις με το Nefilim ransomware
Σύμφωνα με την Comparitech, καθοριστικό ρόλο στη μείωση φαίνεται να έπαιξε η αιφνίδια αδρανοποίηση της ομάδας RansomHub, η οποία φέρεται να σταμάτησε κάθε δραστηριότητα από τις 31 Μαρτίου. Αυτό επιβεβαιώθηκε και από ανάλυση της εταιρείας κυβερνοασφάλειας Group-IB, η οποία ανέφερε στις 30 Απριλίου ότι η RansomHub είχε υποστεί σοβαρή διακοπή λειτουργίας την τελευταία ημέρα του Μαρτίου.
Λίγο αργότερα, ο διαχειριστής της εγκληματικής ομάδας Qilin, γνωστός με το ψευδώνυμο “Haise”, εμφανίστηκε στην πλατφόρμα RAMP, διαφημίζοντας μια νέα παραλλαγή ransomware και DDoS extortion features. Η Group-IB εκτιμά ότι αρκετά μέλη ή συνεργάτες της RansomHub ίσως μετέφεραν τη δράση τους στο Qilin.
Η Comparitech κατέγραψε σημαντική αύξηση στις επιθέσεις της συμμορίας Qilin μέσα στον Απρίλιο, οι οποίες ανήλθαν σε 67 από 45 τον Μάρτιο, στοιχείο που ενισχύει την υπόθεση της μετακίνησης των δραστηριοτήτων.
Ταυτόχρονα, η ιστοσελίδα της RansomHub για διαρροές δεδομένων παρέμεινε αδρανής τον Απρίλιο, χωρίς να αναρτηθούν νέα θύματα.
Αξιοσημείωτο είναι ότι σύμφωνα με έκθεση του NCC Group, η RansomHub ήταν μία από τις πιο δραστήριες συμμορίες ransomware τον Μάρτιο, με 62 επιθέσεις μόνο μέσα σε εκείνον τον μήνα. Σύμφωνα με τα στοιχεία της Comparitech, η Qilin κατέλαβε την πρώτη θέση ως η πιο παραγωγική εγκληματική οργάνωση ransomware για τον Απρίλιο, ακολουθούμενη από τις Akira (62 επιθέσεις), Play (50), Lynx (32) και NightSpire (22).
Δείτε επίσης: Hitachi Vantara: Προβλήματα λόγω επίθεσης από το Akira ransomware
Σημαντικές Επιθέσεις Ransomware τον Απρίλιο
Τον Απρίλιο σημειώθηκαν αρκετά περιστατικά ransomware που προσέλκυσαν το δημόσιο ενδιαφέρον λόγω του μεγέθους ή της φύσης των στόχων τους. Μεταξύ αυτών συγκαταλέγεται η επίθεση στη βρετανική αλυσίδα λιανικής Marks & Spencer, η οποία φέρεται να σχετίζεται με τη διαβόητη ομάδα κυβερνοεγκληματιών Scattered Spider.
Μία ακόμη σοβαρή επίθεση καταγράφηκε στη γερμανική εταιρεία ανακύκλωσης Eu-Rec GmbH, η οποία στοχοποιήθηκε από την ομάδα SafePay. Οι επιπτώσεις ήταν τόσο σοβαρές που φέρονται να συνέβαλαν στην οικονομική κατάρρευση της εταιρείας, οδηγώντας την στην υποβολή αίτησης για πτώχευση.
Εξίσου ανησυχητική ήταν και η επίθεση της ομάδας Rhysida στο Department of Environmental Quality του Όρεγκον (DEQ). Αν και η υπηρεσία αρνήθηκε να καταβάλει τα 2,7 εκατομμύρια δολάρια σε λύτρα, δεν υπήρξε σαφής απάντηση στους ισχυρισμούς των κυβερνοεγκληματιών ότι είχαν αποσπάσει πάνω από 2,5 terabytes δεδομένων από τα συστήματά της.
Όσον αφορά τη γενική εικόνα, οι επιθέσεις ransomware που καταγράφηκαν τον Απρίλιο είχαν ευρύ φάσμα στόχων. Συγκεκριμένα, 24 επιθέσεις στόχευσαν κυβερνητικούς φορείς, 22 κατευθύνθηκαν προς οργανισμούς υγειονομικής περίθαλψης και 14 αφορούσαν εκπαιδευτικά ιδρύματα. Οι υπόλοιπες – 425 περιστατικά – αποδόθηκαν σε διάφορες επιχειρηματικές δραστηριότητες, σύμφωνα με την αναφορά της Comparitech.
Δείτε επίσης: Το Interlock ransomware πίσω από την επίθεση στη DaVita
Προστασία από ransomware
- Εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA) για όλους τους λογαριασμούς χρηστών
- Ενεργοποίηση firewall σε όλες τις συσκευές που είναι συνδεδεμένες στο δίκτυο
- Κρυπτογράφηση ευαίσθητων δεδομένων
- Ενημέρωση των συσκευών και των συστημάτων με τις πιο πρόσφατες ενημερώσεις ασφαλείας
- Διεξαγωγή τακτικών ελέγχων ασφαλείας και penetration testing
- Χρήση ισχυρών, μοναδικών κωδικών πρόσβασης
- Περιορισμός της πρόσβασης των χρηστών μόνο σε απαραίτητα συστήματα και πληροφορίες
- Χρήση λύσεων ασφαλείας email για πρόσθετη προστασία από επιθέσεις phishing
- Σχέδιο ανάκαμψης για γρήγορη αποκατάσταση
Πηγή: www.infosecurity-magazine.com
