Индустрия программ-вымогателей резко выросла в 2023 году, поскольку число жертв по всему миру увеличилось на 55,5%, достигнув ошеломляющих 4368 случаев.
Рисунок 1: количество жертв в квартал по сравнению с предыдущим годом
"Американские горки" от взрывного роста в 2021 году до кратковременного спада в 2022 году были всего лишь тизером — 2023-й прокатился с тем же пылом, что и 2021-й, стимулируя существующие группы и вызывая волну грозных новичков.
Рисунок 2: количество жертв программ-вымогателей в 2020-2023 годах
LockBit 3.0 сохранил первое место с 1047 жертвами, достигнутыми в результате атаки на Boeing, Royal Mail и других. Alphv и Cl0p добились гораздо меньшего успеха: в 2023 году им приписали 445 и 384 жертвы соответственно.
Рисунок 3: Топ-3 активных групп программ-вымогателей в 2023 году
Эти 3 группы внесли значительный вклад в бум атак программ-вымогателей в 2023 году, но они не были единственными группами, ответственными за это. Многие атаки были совершены новыми бандами вымогателей, такими как 8Base, Rhysida, 3AM, Malaslocker, BianLian, Play, Akira и другими.
Новые семейства программ-вымогателей появляются часто, и большинство из них так же быстро исчезают или им так и не удается получить значительного распространения. Однако тот факт, что партнерская программа LockBit использовала 3AM в качестве запасного варианта, предполагает, что она может заинтересовать злоумышленников и может появиться снова в будущем.
Интересно, что 3AM закодирован в Rust и, похоже, представляет собой совершенно новое семейство вредоносных программ. Оно следует определенной последовательности: пытается остановить несколько служб на скомпрометированном компьютере, прежде чем инициировать процесс шифрования файла. После завершения шифрования программа пытается стереть копии Volume Shadow (VSS). Любые потенциальные связи между ее авторами и известными организациями, занимающимися киберпреступностью, остаются неясными.
Рисунок 4: 3 утра Утечка данных
Подозрительные действия субъекта угрозы начались с использования команды gpresult для извлечения параметров политики, принудительно введенных на компьютере для конкретного пользователя. Впоследствии они внедрили различные компоненты Cobalt Strike и предприняли усилия по повышению привилегий на компьютере с помощью PsExec.
После этого злоумышленники провели разведку с помощью таких команд, как whoami, netstat, quser и net share. Они также попытались идентифицировать другие серверы для бокового перемещения, используя команды quser и net view. Кроме того, они создали новую учетную запись пользователя для поддержания постоянства и использовали инструмент Wput для передачи файлов жертв на их FTP-сервер.
Использование скрипта Yugeon Web Clicks 2004 года выпуска на первый взгляд может показаться странным. Это вызывает вопросы о том, почему развивающаяся группа программ-вымогателей выбрала такую устаревшую технологию. Однако есть несколько потенциальных причин для такого выбора, в том числе:
Решение группы вымогателей 3AM использовать устаревший PHP-скрипт является свидетельством непредсказуемого характера киберпреступников. Несмотря на использование ими передовых разновидностей программ-вымогателей для таргетинга на организации, на их выбор серверных технологий может повлиять сочетание стратегических соображений, удобства и чрезмерной уверенности. Это подчеркивает важность того, чтобы организации сохраняли бдительность и применяли комплексный подход к обеспечению безопасности, признавая, что угрозы могут исходить как от самых современных, так и от устаревших технологий.
В июне Rhysida привлекла к себе внимание после публичного раскрытия украденных документов чилийского Arm со своего сайта утечки данных. С тех пор группа приобрела дурную славу из-за своих атак на учреждения здравоохранения, включая Prospect Medical Holdings., заставив правительственные агентства и фирмы по кибербезопасности внимательно следить за ними. Они нацелились на несколько известных организаций, включая Британскую библиотеку, где вызвали серьезный технологический сбой и продавали украденные PII онлайн, и Insomniac Games, разработчика видеоигр, принадлежащего Sony. Они продемонстрировали широкий охват в различных отраслях.
Тем не менее, Akira предоставляет определенные подсказки, указывающие на связь с Conti, начиная от сходства в их подходе и заканчивая игнорированием одинаковых типов файлов и каталогов, а также включением сопоставимых функций. Кроме того, Akira использует алгоритм ChaCha для шифрования файлов, реализованный аналогично программе-вымогателю Conti. Наконец, лица, стоящие за программой-вымогателем Akira, направили полные выплаты выкупа на адреса, связанные с Conti group.
Akira предлагает программу-вымогатель как услугу, затрагивающую как системы Windows, так и Linux. Они используют свой официальный DLS (сайт утечки данных) для публикации информации о своих жертвах и обновлений, касающихся их деятельности. Действующие лица угроз в первую очередь сосредоточены на США, хотя они также нацелены на Великобританию, Австралию и другие страны.
Они осуществляют эксфильтрацию и шифрование данных, чтобы вынудить жертв заплатить двойной выкуп, как для восстановления доступа, так и для восстановления своих файлов. Почти во всех случаях вторжения Akira использовала скомпрометированные учетные данные, чтобы закрепиться в окружении жертвы. Интересно, что большинство целевых организаций пренебрегли внедрением многофакторной аутентификации (MFA) для своих VPN. Хотя точное происхождение этих скомпрометированных учетных данных остается неопределенным, существует вероятность того, что субъекты угрозы получили доступ или учетные данные из темной паутины.
Индустрия программ-вымогателей стремительно развивается, привлекая новые и смелые группы, стремящиеся сделать себе имя, разрабатывая высококачественные сервисы и инструменты для программ-вымогателей. В 2024 году Cyberint ожидает, что несколько из этих новых групп расширят свои возможности и станут доминирующими игроками в отрасли наряду с такими опытными группами, как LockBit 3.0, Cl0p и AlphV.
Прочитайте отчет Cyberint о программах-вымогателях за 2023 год по наиболее целевым отраслям и странам, с разбивкой по 3 ведущим группам программ-вымогателей, семействам программ-вымогателей, на которые стоит обратить внимание, новичкам в отрасли, заметным кампаниям 2023 года и прогнозам на 2024 год.
Рисунок 1: количество жертв в квартал по сравнению с предыдущим годом
"Американские горки" от взрывного роста в 2021 году до кратковременного спада в 2022 году были всего лишь тизером — 2023-й прокатился с тем же пылом, что и 2021-й, стимулируя существующие группы и вызывая волну грозных новичков.
Рисунок 2: количество жертв программ-вымогателей в 2020-2023 годах
LockBit 3.0 сохранил первое место с 1047 жертвами, достигнутыми в результате атаки на Boeing, Royal Mail и других. Alphv и Cl0p добились гораздо меньшего успеха: в 2023 году им приписали 445 и 384 жертвы соответственно.
Рисунок 3: Топ-3 активных групп программ-вымогателей в 2023 году
Эти 3 группы внесли значительный вклад в бум атак программ-вымогателей в 2023 году, но они не были единственными группами, ответственными за это. Многие атаки были совершены новыми бандами вымогателей, такими как 8Base, Rhysida, 3AM, Malaslocker, BianLian, Play, Akira и другими.
Новички в индустрии программ-вымогателей
Исследовательская группа Cyberint постоянно изучает новейшие группы программ-вымогателей и анализирует их на предмет потенциального воздействия. В этом блоге мы рассмотрим 3 новых игрока в отрасли, изучим их влияние в 2023 году и углубимся в их ТТП.3 часа НОЧИ, программы-вымогатели
Появился недавно обнаруженный штамм программ-вымогателей под названием 3AM, но пока его использование ограничено. В 2023 году им удалось повлиять только на более чем 20 организаций (в основном в США). Однако они приобретают дурную славу из-за аффилированного вымогателя, который пытался внедрить LockBit в сети цели, переключившись на 3 часа ночи, когда LockBit был заблокирован.Новые семейства программ-вымогателей появляются часто, и большинство из них так же быстро исчезают или им так и не удается получить значительного распространения. Однако тот факт, что партнерская программа LockBit использовала 3AM в качестве запасного варианта, предполагает, что она может заинтересовать злоумышленников и может появиться снова в будущем.
Интересно, что 3AM закодирован в Rust и, похоже, представляет собой совершенно новое семейство вредоносных программ. Оно следует определенной последовательности: пытается остановить несколько служб на скомпрометированном компьютере, прежде чем инициировать процесс шифрования файла. После завершения шифрования программа пытается стереть копии Volume Shadow (VSS). Любые потенциальные связи между ее авторами и известными организациями, занимающимися киберпреступностью, остаются неясными.
Рисунок 4: 3 утра Утечка данных
Подозрительные действия субъекта угрозы начались с использования команды gpresult для извлечения параметров политики, принудительно введенных на компьютере для конкретного пользователя. Впоследствии они внедрили различные компоненты Cobalt Strike и предприняли усилия по повышению привилегий на компьютере с помощью PsExec.
После этого злоумышленники провели разведку с помощью таких команд, как whoami, netstat, quser и net share. Они также попытались идентифицировать другие серверы для бокового перемещения, используя команды quser и net view. Кроме того, они создали новую учетную запись пользователя для поддержания постоянства и использовали инструмент Wput для передачи файлов жертв на их FTP-сервер.
Использование скрипта Yugeon Web Clicks 2004 года выпуска на первый взгляд может показаться странным. Это вызывает вопросы о том, почему развивающаяся группа программ-вымогателей выбрала такую устаревшую технологию. Однако есть несколько потенциальных причин для такого выбора, в том числе:
- Неизвестность: Старые скрипты и технологии могут не так часто распознаваться современными средствами безопасности, что снижает вероятность обнаружения.
- Простота: Старые скрипты могут обеспечивать простую функциональность без сложностей, часто связанных с современными аналогами, упрощая развертывание и управление.
- Чрезмерная самоуверенность: Группа может обладать высоким уровнем уверенности в своих силах и может не видеть необходимости инвестировать в более передовые технологии, особенно для своего веб-сайта.
Решение группы вымогателей 3AM использовать устаревший PHP-скрипт является свидетельством непредсказуемого характера киберпреступников. Несмотря на использование ими передовых разновидностей программ-вымогателей для таргетинга на организации, на их выбор серверных технологий может повлиять сочетание стратегических соображений, удобства и чрезмерной уверенности. Это подчеркивает важность того, чтобы организации сохраняли бдительность и применяли комплексный подход к обеспечению безопасности, признавая, что угрозы могут исходить как от самых современных, так и от устаревших технологий.
Известные ТТП
| Инструменты | Тактика |
| Разработка ресурса | T1650 - Получить доступ |
| Коллекция | T1560 - Архив собранных данных |
| Влияние | T1565.001 - Манипулирование сохраненными данными |
| Коллекция | T1532 - Архив Собранных данных |
| Коллекция | T1005 - Данные из локальной системы |
Программа-вымогатель Rhysida
Группа вымогателей Rhysida попала в центр внимания в мае -июне 2023 года, когда они запустили портал чата поддержки жертв, доступный через их сайт TOR (.onion). Они утверждают, что являются "командой по кибербезопасности", действующей в наилучших интересах своих жертв, нацеливаясь на их системы и выявляя уязвимости.В июне Rhysida привлекла к себе внимание после публичного раскрытия украденных документов чилийского Arm со своего сайта утечки данных. С тех пор группа приобрела дурную славу из-за своих атак на учреждения здравоохранения, включая Prospect Medical Holdings., заставив правительственные агентства и фирмы по кибербезопасности внимательно следить за ними. Они нацелились на несколько известных организаций, включая Британскую библиотеку, где вызвали серьезный технологический сбой и продавали украденные PII онлайн, и Insomniac Games, разработчика видеоигр, принадлежащего Sony. Они продемонстрировали широкий охват в различных отраслях.
Известные TTP
| Инструменты | Тактика |
| Повышение привилегий | T1055.003 - Перехват выполнения потока |
| Повышение привилегий | T1547.001 - Ключи запуска реестра / Папка автозагрузки |
| Повышение привилегий | T1055 - Внедрение процесса |
| Повышение привилегий | T1548.002 - Обход контроля учетных записей пользователей |
| Уклонение от защиты | T1036 - Маскарад |
| Уклонение от защиты | T1027.005 - Удаление индикатора из инструментов |
| Уклонение от защиты | T1027 - Запутанные файлы или информация |
| Уклонение от защиты | T1620 - Загрузка отражающего кода |
| Уклонение от защиты | T1564.004 - Атрибуты файла NTFS |
| Уклонение от защиты | T1497-Виртуализация / Уклонение от песочницы |
| Уклонение от защиты | T1564 - Скрыть артефакты |
| Открытие | T1083 - Обнаружение файлов и каталогов |
| Открытие | T1010 - Обнаружение окна приложения |
| Открытие | T1082 - Обнаружение системной информации |
| Discovery | T1057 - Process Discovery |
| Discovery | T1518.001 - Security Software Discovery |
| Initial Access | T1566-Phishing |
| Collection | T1005 - Data from Local System |
| Коллекция | T1119 - Автоматизированный сбор данных |
| Разработка ресурса | T1587 - Развитие возможностей |
| Разработка ресурса | T1583-Приобретение инфраструктуры |
| Казнь | T1129 - Общие модули |
| Казнь | T1059 - Интерпретатор команд и сценариев |
| Разведка | T1595- Активное сканирование |
| Разведка | T1598-Фишинг с целью получения информации |
Группа Акиры
Группа Акира была обнаружена в марте 2023 года, и на сегодняшний день погибло 81 человек. Предварительные исследования предполагают сильную связь между этой группой и печально известной группой программ-вымогателей Conti. Утечка исходного кода Conti привела к тому, что множество участников угрозы использовали код Conti для создания или адаптации своего собственного, что затрудняет определение того, какие группы имеют связи с Conti, а какие просто используют утекший код.Тем не менее, Akira предоставляет определенные подсказки, указывающие на связь с Conti, начиная от сходства в их подходе и заканчивая игнорированием одинаковых типов файлов и каталогов, а также включением сопоставимых функций. Кроме того, Akira использует алгоритм ChaCha для шифрования файлов, реализованный аналогично программе-вымогателю Conti. Наконец, лица, стоящие за программой-вымогателем Akira, направили полные выплаты выкупа на адреса, связанные с Conti group.
Akira предлагает программу-вымогатель как услугу, затрагивающую как системы Windows, так и Linux. Они используют свой официальный DLS (сайт утечки данных) для публикации информации о своих жертвах и обновлений, касающихся их деятельности. Действующие лица угроз в первую очередь сосредоточены на США, хотя они также нацелены на Великобританию, Австралию и другие страны.
Они осуществляют эксфильтрацию и шифрование данных, чтобы вынудить жертв заплатить двойной выкуп, как для восстановления доступа, так и для восстановления своих файлов. Почти во всех случаях вторжения Akira использовала скомпрометированные учетные данные, чтобы закрепиться в окружении жертвы. Интересно, что большинство целевых организаций пренебрегли внедрением многофакторной аутентификации (MFA) для своих VPN. Хотя точное происхождение этих скомпрометированных учетных данных остается неопределенным, существует вероятность того, что субъекты угрозы получили доступ или учетные данные из темной паутины.
Известные TTP
| Инструменты | Тактика |
| Эксфильтрация | T1567 - Эксфильтрация через веб-сервис |
| Начальный доступ | T1566.001 - Вложение для подводной охоты |
| Эксфильтрация | T1041 - Эксфильтрация по каналу C2 |
| Эксфильтрация | T1537 - Перенос данных в облачную учетную запись |
| Коллекция | T1114.001 - Локальная рассылка электронной почты |
| Влияние | T1486 - Данные зашифрованы для воздействия |
| Начальный доступ | T1566.002 - Ссылка для подводной охоты |
| Казнь | T1059.001 - PowerShell |
| Казнь | T1569.002 - Выполнение услуг |
| Открытие | T1016.001 - Обнаружение подключения к Интернету |
| Начальный доступ | T1078 - Действительные аккаунты |
| Повышение привилегий | T1078 - Действительные аккаунты |
| Уклонение от защиты | T1078 - Действительные аккаунты |
| Настойчивость | T1078 - Действительные аккаунты |
| Повышение привилегий | T1547.009 - Модификация ярлыка |
| Настойчивость | T1547.009 - Модификация ярлыка |
| Начальный доступ | T1190 - Эксплойт общедоступного приложения |
| Уклонение от защиты | T1027.001 - Двоичное заполнение |
| Эксфильтрация | T1029 - Запланированная передача |
| Казнь | T1059.003 - Командная оболочка Windows |
| Initial Access | T1195 - Supply Chain Compromise |
| Уклонение от защиты | T1036.005 - Соответствует законному имени или местоположению |
| Повышение привилегий | T1547.001 - Ключи запуска реестра / Папка автозагрузки |
| Настойчивость | T1547.001 - Ключи запуска реестра / Папка автозагрузки |
| Эксфильтрация | T1020 - Автоматическая эксфильтрация |
Индустрия программ-вымогателей стремительно развивается, привлекая новые и смелые группы, стремящиеся сделать себе имя, разрабатывая высококачественные сервисы и инструменты для программ-вымогателей. В 2024 году Cyberint ожидает, что несколько из этих новых групп расширят свои возможности и станут доминирующими игроками в отрасли наряду с такими опытными группами, как LockBit 3.0, Cl0p и AlphV.
Прочитайте отчет Cyberint о программах-вымогателях за 2023 год по наиболее целевым отраслям и странам, с разбивкой по 3 ведущим группам программ-вымогателей, семействам программ-вымогателей, на которые стоит обратить внимание, новичкам в отрасли, заметным кампаниям 2023 года и прогнозам на 2024 год.
