Ομάδες ransomware: Ευέλικτες και με πολιτικό χαρακτήρα το 2022

Οι επιθέσεις ransomware έχουν μετασχηματιστεί σε μεγάλο βαθμό, από σχετικά μυστικές και ερασιτεχνικές σε πλήρως ανεπτυγμένες επιχειρήσεις με διακριτικά σήματα και στυλ που ανταγωνίζονται η μία την άλλη στο dark web.

Συνολικά, συνεχίζουν να αναπτύσσονται και να πετυχαίνουν παρά την ανάσχεση μερικών από τις πιο διαβόητες από αυτές. Βρίσκουν ασυνήθιστους τρόπους να επιτίθενται στα θύματά τους ή να καταφεύγουν σε newsjacking, κάνοντας με αυτόν τον τρόπο τις επιθέσεις τους πιο επίκαιρες.

Οι τάσεις των ομάδων ransomware

Σύμφωνα με έκθεση της Kaspersky, η πρώτη τάση που χαρακτηρίζει πλέον τις ομάδες ransomware είναι η παραγωγική χρήση των cross-platform δυνατοτήτων. Αυτήν την περίοδο, έχουν ως στόχο να βλάψουν όσο το δυνατόν περισσότερα συστήματα με το ίδιο κακόβουλο λογισμικό διαμορφώνοντας έναν κώδικα που μπορεί να εκτελεστεί ταυτόχρονα σε διάφορα λειτουργικά συστήματα. Η Conti, μία από τις πιο ενεργές ομάδες ransomware, έχει αναπτύξει μία παραλλαγή, η οποία διανέμεται μέσω επιλεγμένων θυγατρικών και στοχεύει το Linux. Κατά τα τέλη του 2021, η Rust και η Golang, γλώσσες προγραμματισμού για ανταλλαγή πληροφοριών μεταξύ πλατφορμών, έγιναν πιο διαδεδομένες. Η BlackCat, μια αυτοαποκαλούμενη “next-generation” συμμορία κακόβουλου λογισμικού που φέρεται να έχει επιτεθεί σε περισσότερους από 60 οργανισμούς από τον Δεκέμβριο του 2021, έγραψε το κακόβουλο λογισμικό της στη Rust. Η Golang χρησιμοποιήθηκε σε ransomware από το DeadBolt, μία ομάδα διαβόητη για τις επιθέσεις της στο QNAP.

Συνέχιση των δραστηριοτήτων το 2022

Επιπλέον, κατά τα τέλη του 2021 και στις αρχές του 2022, οι ομάδες ransomware συνέχισαν τις δραστηριότητές τους προκειμένου να διευκολύνουν τις επιχειρηματικές τους διαδικασίες, συμπεριλαμβανομένης της τακτικής αλλαγής ονομασίας για να αποσπάσουν την προσοχή των αρχών, καθώς και να ανανεώσουν τα εργαλεία διαφυγής τους. Ορισμένες ομάδες ανέπτυξαν και εφάρμοσαν πλήρεις εργαλειοθήκες που έμοιαζαν με εκείνες που έχουν διαμορφωθεί από νόμιμες εταιρείες λογισμικού. Το Lockbit ξεχωρίζει ως ένα αξιοσημείωτο παράδειγμα της εξέλιξης μιας συμμορίας ransomware. Ο οργανισμός μπορεί να υπερηφανεύεται για μια σειρά από βελτιώσεις σε σύγκριση με τους αντιπάλους του, συμπεριλαμβανομένων τακτικών ενημερώσεων και επισκευών στην υποδομή του. Εισήγαγε επίσης για πρώτη φορά το StealBIT, ένα προσαρμοσμένο εργαλείο ransomware που επιτρέπει την απόσπαση δεδομένων στις υψηλότερες ταχύτητες όλων των εποχών – ενδεικτικό σημάδι της προσπάθειας που κατέβαλε η συγκεκριμένη ομάδα για την ταχύτατη διαμόρφωση κακόβουλου λογισμικού.

Η γεωπολιτική διάσταση

Η τρίτη τάση που έχουν παρατηρήσει οι ειδικοί της Kaspersky προκύπτει ως αποτέλεσμα της γεωπολιτικής κατάστασης που έχει διαμορφωθεί από τον πόλεμο στην Ουκρανία, η οποία έχει επηρεάσει σημαντικά το τοπίο του ransomware. Παρόλο που οι επιθέσεις αυτές συνδέονται συνήθως με φορείς APT (Advanced Persistent Threat), η Kaspersky εντόπισε ορισμένες σημαντικές δραστηριότητες σε forum για εγκλήματα στον κυβερνοχώρο και δράσεις από ομάδες ransomware ως απάντηση στην τρέχουσα κατάσταση. Λίγο μετά την έναρξη του πολέμου, διάφορες ομάδες ransomware διάλεξαν πλευρά, γεγονός που οδήγησε σε πολιτικά υποκινούμενες επιθέσεις από ορισμένες συμμορίες ransomware για την υποστήριξη της Ρωσίας ή της Ουκρανίας. Ένα από τα κακόβουλα λογισμικά που ανακαλύφθηκε πρόσφατα κατά τη διάρκεια της σύγκρουσης είναι το Freeud και αναπτύχθηκε από υποστηρικτές της Ουκρανίας. Το Freeud διαθέτει λειτουργία καθαρισμού (wiping). Εάν το κακόβουλο λογισμικό περιέχει μια λίστα αρχείων, αντί της κρυπτογράφησης, το κακόβουλο λογισμικό τα διαγράφει από το σύστημα.

Μάθετε περισσότερα σχετικά με τις τρέχουσες τάσεις του ransomware στην πλήρη έκθεση στο Securelist.