Carding 4 Carders
Professional
За последний год изощренность и возможности атак программ-вымогателей только возросли. От новых методов уклонения и антианализа до более незаметных вариантов, закодированных на новых языках, группы программ-вымогателей адаптировали свою тактику для эффективного обхода распространенных стратегий защиты.
В этой статье будут рассмотрены лишь некоторые из этих новых разработок в III квартале 2023 года, а также даны прогнозы на ближайшие кварталы. Общая цель состоит в том, чтобы составить краткий обзор основных целей (как отраслевых, так и национальных и региональных), используемых новых методов с акцентом на крупные инциденты, новых разработок, представляющих интерес для потенциальных целей, а также того, как будут развиваться программы-вымогатели в будущем.
Это проявилось в том, что ИТ оказали большое влияние на уязвимости, которые привели к компрометации титанов отрасли, как это было замечено в случае уязвимости MOVEit и атаки цепочки поставок Barracuda Networks. Все данные за третий квартал и последующие месяцы показывают, что операторы программ-вымогателей будут продолжать использовать уязвимости и использовать нулевые дни для доставки полезных программ-вымогателей для компрометации своих целей.
Хотя нулевые дни по определению неизвестны до тех пор, пока их не будут использовать, организации могут предпринять шаги, чтобы свести к минимуму их уязвимость к уязвимому нулевому дню. Организациям также необходимо обеспечить актуальность программного обеспечения и продуктов, которые они используют, и внедрять стратегии повышения осведомленности о кибератаках, чтобы в приоритетном порядке выявлять потенциально уязвимые места и защищать их от них.
Хотя это важное открытие, за которым стоит следить, Cyble Research & Intelligence Labs (CRIL) обнаружила несколько других тенденций в сфере программ-вымогателей, на которые стоит обратить внимание:
Сектор здравоохранения особенно уязвим для атак программ-вымогателей, поскольку он обладает чрезвычайно большой поверхностью атаки, охватывающей несколько веб-сайтов, порталов, миллиарды медицинских устройств Интернета вещей и обширную сеть партнеров и поставщиков по цепочке поставок. Таким образом, стандартизированный план кибербезопасности для этого сектора необходим для обеспечения безопасности этих критически важных данных и бесперебойной работы важнейших функций здравоохранения.
Причина этого двоякая: организации с высоким доходом имеют средства для выплаты требуемых непомерных выкупов, а также они более подвержены риску запятнать свой имидж из-за некомпетентности в обращении с конфиденциальными данными и сохранения своей репутации как известной фирмы.
Наряду со здравоохранением наиболее уязвимыми секторами в предыдущем квартале были профессиональные услуги, информационные технологии и строительство из-за их высокой стоимости и расширенных возможностей для атак.
Причиной этого может быть уникальная роль США как страны с высокой степенью оцифровки и огромным объемом глобального участия и информационно-пропагандистской работы. Из-за геополитических факторов Соединенные Штаты также являются главной мишенью для групп хактивистов, использующих программы-вымогатели для достижения своих целей из-за предполагаемой социальной несправедливости или в знак протеста против внешней и внутренней политики.
Вторым по объему атак программ-вымогателей в третьем квартале стало Соединенное Королевство, за которым следуют Италия и Германия.
Однако новые игроки на рынке программ-вымогателей не бездействовали. В третьем квартале 2023 года наблюдался всплеск атак со стороны новых групп, таких как Cactus, INC Ransom, Metaencryptor, ThreeAM, Knight Ransomware, Cyclop Group и MedusaLocker, что указывает на то, что эти группы, хотя и не имеют такого профиля и глобального присутствия, как крупные игроки, такие как LOCKBIT, остаются мощными угрозами.
Однако наблюдаемые нами в последнее время тенденции демонстрируют растущую популярность Rust и GoLang среди известных групп вымогателей, таких как Hive, Agenda, Luna и RansomExx. Причина этого, опять же, двоякая: языки программирования, такие как Rust, затрудняют анализ активности программы-вымогателя в системе-жертве. Дополнительным преимуществом программ-вымогателей является то, что их проще настраивать под несколько операционных систем, увеличивая смертоносность и целевую базу любых программ-вымогателей, созданных с использованием этих языков.
Это даже привлекло внимание правительств и регулирующих органов по всему миру, которые приняли меры, помогающие смягчить воздействие и частоту атак программ-вымогателей. Компании также взяли дело в свои руки, внедрив методы предотвращения риска и смягчения последствий атак программ-вымогателей. Вот некоторые заметные шаги, которые мы наблюдали:
Узнайте ключевые идеи и поймите, как группы программ-вымогателей развивают свою тактику нацеливания на жертв. Загрузите отчет о программах-вымогателях за 3 квартал 2023 года прямо сейчас.
Если вам интересно узнать, как Vision может повысить безопасность вашей организации, обратитесь к экспертам по кибербезопасности Cyble за бесплатной демонстрацией здесь.
В этой статье будут рассмотрены лишь некоторые из этих новых разработок в III квартале 2023 года, а также даны прогнозы на ближайшие кварталы. Общая цель состоит в том, чтобы составить краткий обзор основных целей (как отраслевых, так и национальных и региональных), используемых новых методов с акцентом на крупные инциденты, новых разработок, представляющих интерес для потенциальных целей, а также того, как будут развиваться программы-вымогатели в будущем.
Растущее использование уязвимостей для доставки программ-вымогателей:
В последние месяцы Cyble отмечает увеличение случаев использования уязвимостей в качестве средства доставки программ-вымогателей и другого вредоносного ПО, при этом особое внимание уделяется сетевым устройствам. Это знаменует собой отход от ранее наблюдавшегося акцента на вооружении программного обеспечения и приложений для управляемой передачи файлов (MFT).Это проявилось в том, что ИТ оказали большое влияние на уязвимости, которые привели к компрометации титанов отрасли, как это было замечено в случае уязвимости MOVEit и атаки цепочки поставок Barracuda Networks. Все данные за третий квартал и последующие месяцы показывают, что операторы программ-вымогателей будут продолжать использовать уязвимости и использовать нулевые дни для доставки полезных программ-вымогателей для компрометации своих целей.
Хотя нулевые дни по определению неизвестны до тех пор, пока их не будут использовать, организации могут предпринять шаги, чтобы свести к минимуму их уязвимость к уязвимому нулевому дню. Организациям также необходимо обеспечить актуальность программного обеспечения и продуктов, которые они используют, и внедрять стратегии повышения осведомленности о кибератаках, чтобы в приоритетном порядке выявлять потенциально уязвимые места и защищать их от них.
Хотя это важное открытие, за которым стоит следить, Cyble Research & Intelligence Labs (CRIL) обнаружила несколько других тенденций в сфере программ-вымогателей, на которые стоит обратить внимание:
1. Смена отраслевого фокуса – индустрия здравоохранения под прицелом
В то время как в первой половине года наблюдался рост атак программ-вымогателей на производственный сектор, последние тенденции указывают на смещение акцента в сторону сектора здравоохранения. Это привело к тому, что здравоохранение вошло в топ-5 наиболее целевых секторов для групп вымогателей, на долю которых приходится почти четверть всех атак программ-вымогателей. У этих атак есть конкретная цель – собрать защищенную медицинскую информацию (PHI) и другие конфиденциальные данные, к которым имеют доступ поставщики медицинских услуг и учреждения, и продать эти данные в darkweb.Сектор здравоохранения особенно уязвим для атак программ-вымогателей, поскольку он обладает чрезвычайно большой поверхностью атаки, охватывающей несколько веб-сайтов, порталов, миллиарды медицинских устройств Интернета вещей и обширную сеть партнеров и поставщиков по цепочке поставок. Таким образом, стандартизированный план кибербезопасности для этого сектора необходим для обеспечения безопасности этих критически важных данных и бесперебойной работы важнейших функций здравоохранения.
2. Организации с высоким уровнем дохода остаются в центре внимания
Операторы программ-вымогателей часто могут показаться неразборчивыми в выборе своих целей; однако общеизвестно, что они предпочитают нацеливаться на организации с высоким доходом, имеющие дело с конфиденциальными данными. Это не только помогает повысить репутацию оператора программы-вымогателя как серьезной угрозы, но и повышает вероятность осуществления платежей за программы-вымогатели.Причина этого двоякая: организации с высоким доходом имеют средства для выплаты требуемых непомерных выкупов, а также они более подвержены риску запятнать свой имидж из-за некомпетентности в обращении с конфиденциальными данными и сохранения своей репутации как известной фирмы.
Наряду со здравоохранением наиболее уязвимыми секторами в предыдущем квартале были профессиональные услуги, информационные технологии и строительство из-за их высокой стоимости и расширенных возможностей для атак.
3. Соединенные Штаты остаются самой уязвимой страной
Хотя некоторые тенденции, связанные с жертвами программ-вымогателей, и тактика их применения менялись ежеквартально, установившаяся тенденция, согласно которой Соединенные Штаты являются наиболее уязвимым регионом для операторов программ-вымогателей, остается постоянной. Об этом свидетельствует тот факт, что только за 3 квартал 2023 года Соединенные Штаты столкнулись с большим количеством атак программ-вымогателей, чем следующие 10 стран вместе взятые.Причиной этого может быть уникальная роль США как страны с высокой степенью оцифровки и огромным объемом глобального участия и информационно-пропагандистской работы. Из-за геополитических факторов Соединенные Штаты также являются главной мишенью для групп хактивистов, использующих программы-вымогатели для достижения своих целей из-за предполагаемой социальной несправедливости или в знак протеста против внешней и внутренней политики.
Вторым по объему атак программ-вымогателей в третьем квартале стало Соединенное Королевство, за которым следуют Италия и Германия.
4. LOCKBIT остается мощной угрозой, в то время как новые группы программ–вымогателей быстро создают себе имя
Хотя общее количество атак LOCKBIT было немного ниже, чем в предыдущем квартале (падение на 5%), они по-прежнему были нацелены на наибольшее число жертв: 240 подтвержденных жертв в III квартале 2023 года.Однако новые игроки на рынке программ-вымогателей не бездействовали. В третьем квартале 2023 года наблюдался всплеск атак со стороны новых групп, таких как Cactus, INC Ransom, Metaencryptor, ThreeAM, Knight Ransomware, Cyclop Group и MedusaLocker, что указывает на то, что эти группы, хотя и не имеют такого профиля и глобального присутствия, как крупные игроки, такие как LOCKBIT, остаются мощными угрозами.
5. Растущее внедрение Rust и GoLang в новых вариантах программ-вымогателей
Группы программ-вымогателей всегда пытались усложнить или даже сделать невозможным обнаружение или анализ их деятельности. Это затрудняет жертвам, экспертам по кибербезопасности и правительствам анализ и изучение программы–вымогателя, ее вектора заражения и режима работы, после чего соответствующим образом осуществляются корректирующие действия.Однако наблюдаемые нами в последнее время тенденции демонстрируют растущую популярность Rust и GoLang среди известных групп вымогателей, таких как Hive, Agenda, Luna и RansomExx. Причина этого, опять же, двоякая: языки программирования, такие как Rust, затрудняют анализ активности программы-вымогателя в системе-жертве. Дополнительным преимуществом программ-вымогателей является то, что их проще настраивать под несколько операционных систем, увеличивая смертоносность и целевую базу любых программ-вымогателей, созданных с использованием этих языков.
Как организации отреагировали на эти события
Кажется, что каждый новостной цикл содержит по крайней мере один случай, когда крупная организация или лидер отрасли в какой-то момент становятся жертвами программ-вымогателей, и недавние взломы Caesar's Palace и MGM Casino программами-вымогателями BlackCat / ALPHV являются яркими примерами.Это даже привлекло внимание правительств и регулирующих органов по всему миру, которые приняли меры, помогающие смягчить воздействие и частоту атак программ-вымогателей. Компании также взяли дело в свои руки, внедрив методы предотвращения риска и смягчения последствий атак программ-вымогателей. Вот некоторые заметные шаги, которые мы наблюдали:
1. Акцент на обучение сотрудников
Сотрудники организации часто являются первой линией защиты от любой атаки, и программы-вымогатели не исключение. Соответственно, фирмы активизировали свои программы обучения и повышения осведомленности в области кибербезопасности, проводя обязательные тренинги по кибербезопасности и развивая культуру киберсознания. Яркими примерами этого являются тренинги по выявлению попыток фишинга, обработке подозрительных вложений и выявлению попыток социальной инженерии.2. Планирование реагирования на инциденты
Несмотря на усилия по их предотвращению, атаки программ-вымогателей все еще могут происходить из-за различных факторов. Организации учли это и усилили свое внимание к разработке комплексного реагирования на подобные инциденты. К ним относятся юридические протоколы для уведомления властей, последующие шаги внутренней безопасности, ответы команды информационной безопасности и помещение в карантин любых затронутых систем / продуктов.3. Улучшенное восстановление и резервное копирование
Атаки программ-вымогателей преследуют две основные цели: получить доступ к конфиденциальным данным и зашифровать эти данные, чтобы сделать их непригодными для целевых организаций. Чтобы устранить этот риск, организации начали уделять больше внимания резервному копированию конфиденциальных данных и созданию комплексных процессов их восстановления.4. Внедрение архитектуры нулевого доверия и многофакторной аутентификации
Группы программ-вымогателей ранее использовали человеческий фактор для запуска или усиления атак программ-вымогателей с помощью посредников первоначального доступа, фишинговых атак и т.д. В качестве ответных мер фирмы внедрили архитектуру нулевого доверия и MFA для всех критически важных платформ и данных, требуя нескольких проверенных уровней аутентификации для предоставления доступа к конфиденциальным данным.5. Обмен разведданными и сотрудничество с правоохранительными органами
Организации в тех же отраслях создали Центры обмена информацией и анализа (ISAC), чтобы объединить свои ресурсы, а intel - для борьбы с будущими попытками программ-вымогателей. Они также тесно сотрудничают с правоохранительными и регулирующими органами, чтобы сообщать о попытках программ-вымогателей и помогать диагностировать недостатки безопасности.6. Более широкое внедрение / использование платформ анализа угроз
Благодаря их специфической компетенции в этой области, а также передовым возможностям искусственного интеллекта и машинного обучения, организации все чаще используют платформы анализа угроз для получения информации об угрозах в режиме реального времени, чтобы помочь предотвратить атаки программ-вымогателей.7. Сосредоточьтесь на управлении уязвимостями
За последние несколько лет уязвимости оказались в центре внимания в крупных инцидентах, таких как недавние уязвимости MOVEit и PaperCut, позволяющие использовать эксплойты и кибератаки. Организации соответствующим образом внедрили управление уязвимостями и протоколы для обеспечения актуальности всего критически важного программного обеспечения и регулярных исправлений.8. Обеспечение безопасности цепочек поставок и управление рисками поставщиков
В случае, если оператор программы-вымогателя не может проникнуть в организацию, для него нетипично нацеливаться на ее цепочку поставок через поставщиков, партнеров и третьи стороны, которые могут быть не столь кибербезопасны. Организации соответствующим образом внедрили оценку рисков поставщиков, чтобы гарантировать, что вся их цепочка поставок надежно и единообразно защищена от потенциальных попыток программ-вымогателей.Узнайте ключевые идеи и поймите, как группы программ-вымогателей развивают свою тактику нацеливания на жертв. Загрузите отчет о программах-вымогателях за 3 квартал 2023 года прямо сейчас.
Как вам может помочь платформа Cyble Vision, основанная на искусственном интеллекте, Cyble Vision для анализа угроз?
Благодаря глубокому пониманию как поверхностной, так и глубинной сети Vision может помочь вам быть на шаг впереди операторов программ-вымогателей.- Благодаря тщательному анализу угроз Vision может помочь выявить слабые места в сфере цифровых рисков вашей организации и подсказать вам, как устранить эти пробелы, которыми потенциально могут воспользоваться группы программ-вымогателей.
- Vision имеет возможность сканировать всю поверхность атаки, распространяясь также на ваших поставщиков, партнеров и третьи стороны, что дает вам возможность защитить от атак всю вашу цепочку поставок и экосистему.
- Использование искусственного интеллекта позволяет Vision сканировать огромное количество данных из всех частей surface, deep и dark web, позволяя в режиме реального времени обновлять информацию о поведении участников угрозы.
- Уделяя особое внимание мониторингу Darkweb, Vision может позволить вам отслеживать шаблоны и действия участников угроз в Darkweb. Начиная с обсуждения нового варианта и заканчивая мониторингом партнерских программ, вы можете быть на шаг впереди операторов программ-вымогателей.
Если вам интересно узнать, как Vision может повысить безопасность вашей организации, обратитесь к экспертам по кибербезопасности Cyble за бесплатной демонстрацией здесь.
