Cybersleuths z Microsoftu znaleźli powiązanie między niedawnymi atakami robaków USB „Raspberry Robin” o którym szeroko pisaliśmy tutaj, a EvilCorp, znaną rosyjską grupą ransomware, która podlega sankcjom USA już od 2019 roku. W tym to roku ogłoszono akt oskarżenia w Pittsburghu. Ten akt prawny wymieniał Maksima Jakubca i jego partnera z Evil Corp Igora Turaszewa jako główne postacie w grupie, która umieszczała złośliwe oprogramowanie na komputerach w dziesiątkach krajów, i ukradła ponad 100 milionów dolarów firmom i władzom lokalnym.
Jakubiec jest znany również z tego, iż jeździ po Moskwie Lamborghini i ma powiązania z rosyjskim wywiadem FSB. Amerykańskiemu oskarżeniu towarzyszyły sankcje nałożone przez Departament Skarbu USA, a także ogłoszenie nagrody w wysokości 5 milionów dolarów za aresztowanie i skazanie Jakubca – najwyższą nagrodę, jaką kiedykolwiek zaoferowano za cyberprzestępcę.
Według świeżych danych z zespołu ds. analizy zagrożeń z Redmond, gang ransomware-as-a-service, który jest identyfikowany jako DEV-0206, został przyłapany na fałszowaniu reklam internetowych, aby nakłonić cele do zainstalowania programu ładującego dodatkowe złośliwe oprogramowanie, wcześniej przypisywane EvilCorp. Obszernie o podobnych sposobach infekcji pisaliśmy tutaj.
Co gorsze, Microsoft oświadczył, iż jego zespoły badawcze odkryły taktykę dystrybucji złośliwego systemu EvilCorp i zaobserwowały szczególną aktywność robaka „Raspberry Robin”.
Zespół badawczy z Redmond sugeruje, iż cyberprzestępcy stojący za operacją EvilCorp współpracują z innymi grupami, aby obejść sankcje Departamentu Sprawiedliwości USA, ponieważ te blokują płatności za wyłudzenie systemu ransomware.
„Wykorzystanie ładunku RaaS przez grupę aktywności „EvilCorp” jest prawdopodobnie próbą uniknięcia przypisania DEV-0243 do ich grupy, co może zniechęcić do płatności ze względu na sankcje” – powiedział Microsoft.
Microsoft wyjaśnił, iż gangi rozdzieliły operacje na dwa zespoły. Jednym odpowiedzialnym za zatruwanie reklam internetowych, drugim odpowiedzialnym za nakłanianie użytkowników systemu Windows do klikania plików ZIP, które automatycznie wdrażają implant JavaScript.
W zeszłym tygodniu pisaliśmy o nowych metodach phishingu w artykule tutaj.
W wyniku udanych ataków EvilCorp przejmuje kontrolę nad działaniami na klawiaturze, pobieraniem dodatkowych ładunków, eskalacją uprawnień w sieci korporacyjnej i wdrażaniem systemu ransomware szyfrującego dane.
Ostrzeżenia Microsoftu pojawiły się niecały tydzień po tym, jak firma Red Canary zajmująca się cyberbezpieczeństwem przechwyciła robaka Windows, który wykorzystuje zhakowane urządzenia pamięci masowej (NAS) firmy QNAP aby rozprzestrzeniać się na nowe systemy. Ten oparty na USB robak o rozprzestrzenia się w organizacjach związanych z sektorem technologicznym i produkcyjnym.
Niezależnie od tego, Coveware, firma zajmująca się odzyskiwaniem systemu ransomware, twierdzi, iż średnia opłata za okupu wzrosła o około 8% w porównaniu z poprzednim kwartałem, osiągając około 228 000 USD. Warto to porównać z medianą rzeczywistej spłaty okupu, która według Coveware spadła do 36 360 USD, co stanowi spadek o 51% w porównaniu z I kwartałem 2022 r.
„Trend ten odzwierciedla przesunięcie ataków wykonywanych przez podmioty stowarzyszone i programistów RaaS w kierunku średniego rynku, gdzie ryzyko nagradzania profilu ataku jest bardziej spójne i mniej ryzykowne niż ataki o wysokim profilu. Widzieliśmy również zachęcający trend wśród dużych organizacji, które odmawiają rozważenia negocjacji w przypadku systemu ransomware. Grupy żądają niemożliwie wysokich kwot okupu” – powiedział Coveware.
Coveware, które pomaga zainfekowanym organizacjom w negocjowaniu płatności okupu i odzyskiwaniu danych, twierdzi, iż eksfiltracja danych pozostaje powszechna w przypadkach systemu ransomware.
„Odsetek firm, które poddają się wyłudzeniu danych, przez cały czas jest frustrujący” – powiedział Coveware w notatce zawierającej aktualne obliczenia dotyczące zakresu problemu z oprogramowaniem ransomware.
„W drugim kwartale widzieliśmy ciągłe dowody na to, iż cyberprzestępcy nie dotrzymują słowa, jeżeli chodzi o niszczenie eksfiltrowanych danych. Pomimo naszych wskazówek, ofiary eksfiltracji przez cały czas napędzają gospodarkę cyber wymuszeń dzięki tych bezowocnych płatności okupu”.
Dane firmy pokazują, iż najczęstszymi branżami dotkniętymi atakami ransomware są usługi profesjonalne i sektor publiczny, opieka zdrowotna, oprogramowanie, sprzęt technologiczny i usługi finansowe.