Атаки Ransomware продолжают расти как по сложности, так и по количеству. В 2023 году уже было совершено больше атак с использованием вымогательства и эксфильтрации данных, чем во всем 2022 году, и мы ожидаем, что эта тенденция сохранится.
В этой статье мы рассмотрим бизнес-модель групп вымогателей и сложную экосистему киберпреступности, сформировавшуюся вокруг них.
Возникновение вымогательских программ с тройным выкупом
Ransomware традиционно ассоциируется с угрозами, использующими шифрование для блокировки данных, систем и ИТ-инфраструктуры компаний. Однако в последние годы группы ransomware усовершенствовали свою тактику и стали не только шифровать, но и выводить данные, превратив их в обоюдоострое оружие для вымогательства.
Этот новый подход позволяет не только удерживать организации в заложниках, отказывая им в доступе к собственным данным, но и угрожать утечкой или продажей похищенной информации в случае невыполнения требований о выкупе.
Такая смена стратегии оказалась весьма выгодной для групп, использующих ransomware, поскольку организации часто готовы платить большие суммы за то, чтобы предотвратить публичное обнародование своих конфиденциальных данных, что позволяет группам наживаться на жертвах даже в том случае, если у них есть эффективная система резервного копирования и восстановления.
Если жертва не платит, группировки часто продают данные на аукционе, предоставляя еще один способ монетизации своей деятельности.
Рост числа вымогателей данных совпал с резким увеличением как числа активных групп, так и количества атак на организации. Изначально вымогательство данных было включено в арсенал групп вымогателей в качестве двойного метода вымогательства, который использовался в дополнение к шифрованию.
Однако в последнее время многие группы стали прибегать к тройному вымогательству: в некоторых случаях помимо шифрования и эксфильтрации данных используется шантаж отдельных сотрудников, преследование сторонних организаций жертвы и даже DDoS-атаки на веб-сайты.
Группы Ransomware, аффилированные лица и тройное вымогательство
Группы разработчиков вымогательского ПО не действуют в одиночку. Часто они имеют сеть филиалов, которые помогают им осуществлять атаки и распространять вымогательское ПО. Эти филиалы могут специализироваться на различных аспектах атаки, таких как первичный доступ, эксфильтрация данных или ведение переговоров.
Партнерские программы позволяют группам сосредоточиться на разработке новых вариантов, ведении переговоров или других аспектах атаки, что позволяет специализировать роли и со временем увеличить количество атак.
И это приносит свои плоды: в 2023 году компания Flare уже обнаружила больше раскрытий данных о вымогательстве, чем за весь 2022 год, что свидетельствует о резком увеличении числа атак.
Кроме того, поскольку мы рассматриваем раскрытие данных, мы, скорее всего, выявляем лишь небольшое количество всех атак на организации.
По мере развития экосистемы мы видим, что группировки, использующие выкупное ПО, становятся все более агрессивными. Такие группы, как Karakurt, по имеющимся данным, не только похищают данные, но и преследуют отдельных сотрудников и даже третьих лиц в организации.
Тройное вымогательство в контексте: Широкая киберпреступная экосистема
Более широкая киберпреступная экосистема также выступает в качестве важнейшего инструмента для групп вымогателей, предлагая такие услуги, как пуленепробиваемый хостинг, отмывание денег, первоначальный доступ к среде и учетные данные сотрудников через журналы похитителей.
Мы рассмотрим несколько основных способов взаимодействия широкой киберпреступной экосистемы с группами вымогателей:
Группы вымогателей и брокеры первоначального доступа
Брокеры первоначального доступа (IAB) обычно действуют на темных веб-форумах Exploit и XSS. IAB занимаются компрометацией корпоративной ИТ-инфраструктуры, которую затем выставляют на аукцион на специальных форумах, часто с указанием начальной цены, цены за шаг, а также "блиц" или "купи сейчас".
Во многих случаях мы видели, как брокеры доступа рекламировали, что у них есть доступ к системам резервного копирования и восстановления жертвы или что у жертвы нет систем резервного копирования и восстановления, что является еще одним доказательством того, что IAB ожидают, что их объявления будут использоваться для вымогательства.
Журналы краж: Ключевой вектор для Ransomware
Еще одним важным источником первичного доступа к ИТ-средам для групп вымогателей, вероятно, являются журналы-крадчики. Stealer logs являются результатом заражения вредоносным ПО infostealer.
В этих журналах содержится ценная информация: имена пользователей, пароли и другие учетные данные, которые могут быть использованы для получения несанкционированного доступа к системам.
Группировки Ransomware могут приобретать эти журналы в каналах Telegram, на форумах и рынках темной паутины, что позволяет им обходить традиционные методы получения доступа к сети жертвы.
В ходе недавнего анализа Flare мы обнаружили более 50 тыс. журналов кражи, содержащих учетные данные корпоративных приложений единой авторизации. В журналах краж также содержатся активные cookies сессии, которые могут быть использованы для обхода контроля аутентификации MFA.
0-Days и темные веб-рынки
Группа разработчиков вымогательского ПО CL0P использовала 0-день MOVEit с огромной выгодой для себя, что привело к сотням жертв и миллиардным убыткам.
0-дневки, скорее всего, являются одной из наименее распространенных форм доступа, используемых группами вымогателей, что объясняется сложностью их поиска и использования, а также тем, что существуют гораздо более простые способы заражения.
Однако многочисленные "темные" веб-рынки, форумы и каналы Telegram способствуют продаже предполагаемых эксплойтов 0-day.
Более изощренные группы, занимающиеся разработкой программ-вымогателей, скорее всего, будут создавать собственные уязвимости, а не покупать существующие.
Число вымогательских программ растет
Схемы вымогательства выкупа данных продолжают набирать популярность: ежемесячно появляются новые группы и еженедельно десятки новых организаций-жертв.
Построение эффективного процесса непрерывного управления угрозами, позволяющего автоматически обнаруживать журналы краж, упоминания в блогах о выкупах, нелегальные Telegram-каналы и мониторинг других киберпреступных форумов, сейчас как никогда актуально.
По новым правилам Дзена свежие материалы показываются в первую очередь подписчикам, которые реагируют на публикации. Поэтому не забывайте подписаться, поставить лайк и оставить комментарий, так вы будете первым узнавать о всех новых статьях на нашем канале!
