Brutalny demontaż ekipa ransomware LockBit i upokorzenie swoich kluczowych graczy to jedna z najczęściej omawianych historii sukcesu w dziedzinie bezpieczeństwa cybernetycznego w ciągu ostatnich 12 miesięcy, ale patrząc na surowe dane, nie wydaje się, aby pomogła ona zbytnio odstraszyć cyberprzestępców.
Tak wynika z rocznika Secureworks Raport o stanie zagrożenia z 2024 rktóre dzisiaj odsłania kurtynę i ujawnia 30% wzrost liczby aktywnych grup systemu ransomware korzystających ze stron zawierających wycieki nazwisk i wstydu o 30% rok do roku, przy czym w okresie od czerwca 2023 r. do lipca 2024 r. do ekosystemu dołączyło 31 nowych podmiotów.
Biorąc pod uwagę usunięcie LockBit miało miejsce w lutym nie może być wielką niespodzianką informacja, iż gang odpowiadał za 17% list systemu ransomware w omawianym okresie, chociaż liczba ta spadła o 8% w porównaniu rok do roku, biorąc pod uwagę zakłócenia spowodowane przez brytyjską Narodową Agencję ds. Przestępczości (NCA). , który doprowadził do ataku w ramach operacji Cronos.
W zeszłym roku spadł także BlackCat/ALPHV, który ucierpiał w podobny sposób w rękach organów ścigania przed wyciągnięciem własnego produktu w możliwym oszustwie związanym z wyjściemnatomiast Clop/Cl0p, który wykorzystano kompromis w zakresie transferu plików MOVEit w 2023 r., który dotknie setki ofiar, również nie był ostatnio tak aktywny.
Tymczasem drugi najbardziej aktywny gang zajmujący się oprogramowaniem ransomware, Play, podwoił liczbę ofiar rok do roku, podczas gdy RansomHubnowa grupa, która pojawiła się niedługo po obaleniu LockBit, w ciągu zaledwie kilku miesięcy stała się trzecią najbardziej aktywną grupą na scenie, z 7% udziałem ofiar znajdujących się na liście. Qilin również odcisnął swoje piętno, zwłaszcza dzięki głośnemu atakowi na partnerze NHS Synnovis.
„Oprogramowanie ransomware to biznes, który byłby niczym bez modelu afiliacyjnego. W zeszłym roku działania organów ścigania zniweczyły stare sojusze, zmieniając oblicze cyberprzestępczości. Pierwotnie chaotyczne w swoich reakcjach, ugrupowania zagrażające udoskonaliły swoje operacje biznesowe i sposób działania. Rezultatem jest większa liczba grup, której podstawą jest znaczna migracja partnerów” – powiedział Don Smith, wiceprezes ds. analizy zagrożeń w Secureworks Counter Threat Unit (CTU).
„Wraz z ewolucją ekosystemu mamy entropię w grupach zagrożeń, ale także nieprzewidywalność w podręcznikach, co znacznie zwiększa złożoność dla obrońców sieci” – powiedział Smith.
Więcej gangów, mniej ofiar
Jednak pomimo tego wzrostu nie zaobserwowano jeszcze, aby liczba ofiar rosła w podobnym tempie, co jest prawdopodobnie skutkiem prób znalezienia przez gangi swojego miejsca w bardziej podzielonym krajobrazie.
Zespół CTU zaobserwował również duży ruch afiliacyjny w ekosystemie systemu ransomware, co może częściowo napędzać tę tendencję. W wielu przypadkach w ciągu ostatnich 12 miesięcy badacze zaobserwowali szereg ataków systemu ransomware, w wyniku których ofiary były umieszczane na więcej niż jednej stronie, prawdopodobnie w wyniku poszukiwania przez podmioty stowarzyszone nowych rynków zbytu dla swojej pracy w coraz bardziej chaotycznym ekosystemie.
A ostatnie 12 miesięcy z pewnością było chaotyczne; Analitycy Secureworks stwierdzili, iż tendencja wyraźnie polega na poszerzaniu się krajobrazu systemu ransomware, w wyniku czego krajobraz wcześniej zdominowany przez mniejszą liczbę dużych operacji jest w tej chwili domem dla bardziej zróżnicowanej grupy cyberprzestępców.
Może to jednak prowadzić do bardziej niebezpiecznego krajobrazu zagrożeń w stylu „Dzikiego Zachodu”, w którym mniejsze grupy mają mniejszą odpowiedzialność i mniejszą strukturę pod względem sposobu działania. Na przykład zaobserwowany w tym roku spadek średniego czasu przebywania w sieci wydaje się być skutkiem szybkiego poruszania się przestępców i niszczenia rzeczy w błyskawicznym tempie, polegających na rozbijaniu i chwytaniu.
Według Secureworks, w miarę jak nowy ekosystem będzie ewoluować i łączyć się w nadchodzących miesiącach, obrońcy mogą spodziewać się znacznie większej różnorodności i zmian w metodologiach ataków.
Niektóre z nowych metodologii zaobserwowanych już w tej dziedzinie obejmują rosnącą tendencję gangów zajmujących się oprogramowaniem ransomware do kradzieży danych uwierzytelniających i plików cookie sesji w celu uzyskania dostępu poprzez przeciwnik pośrodku (AitM), czasami nazywane atakami typu man-in-the-middle (MitM), wykorzystującymi zestawy phishingowe, takie jak EvilProxy lub Tycoon2FA, które są łatwo dostępne w ciemnej sieci. Zespół badawczy stwierdził, iż tendencja ta powinna wywołać alarm u obrońców, ponieważ potencjalnie zmniejsza skuteczność niektórych rodzajów uwierzytelniania wieloczynnikowego (MFA).
Gangi ransomware nie są też odporne na atrakcyjność sztucznej inteligencji (AI). Od czasu uruchomienia ChatGPT prawie dwa lata temu w środowisku przestępczym toczą się dyskusje na temat tego, jak takie modele można wykorzystać do niecnych celów – głównie do phishingu – ale niektóre przypadki użycia są raczej nowatorskie.
W jednym z ataków zbadanych przez Secureworks gang cyberprzestępców monitorował trendy Google po śmierci celebryty, aby określić zainteresowanie nekrologami, a następnie wykorzystał generatywną sztuczną inteligencję do tworzenia komentarzy na złośliwych stronach, które zmanipulowano i znalazły się na czołowych miejscach wyników wyszukiwania Google w wyniku zatrucia SEO. Takie witryny można z łatwością wykorzystać jako wektor do rozprzestrzeniania złośliwego systemu lub systemu ransomware.
„Krajobraz cyberprzestępczości stale ewoluuje, czasami jest on mniejszy, czasami bardziej znaczący. Rosnące wykorzystanie sztucznej inteligencji zwiększa skalę działań podmiotów zagrażających, jednak wzrost liczby ataków AitM stanowi bardziej bezpośredni problem dla przedsiębiorstw, wzmacniając, iż tożsamość stanowi granicę i powinna powodować przedsiębiorstwa, aby oceniły i zastanowiły się nad swoją postawą defensywną” – powiedział Smith.