A Ransomware ökoszisztéma egyre sokszínűbbé válik 2023-ban

A ransomware ökoszisztéma jelentősen megváltozott 2022-ben, a támadók a tájat uraló nagy csoportokról a kisebb ransomware-as-a-service (RaaS) műveletek felé mozdultak el, amelyek nagyobb rugalmasságot keresnek és kevesebb figyelmet vonzanak a bűnüldöző szervek részéről. A zsarolóvírusok e demokratizálódása rossz hír a szervezetek számára, mivel a taktikák, technikák és eljárások (TTP-k) diverzifikálódását is magával hozta, több veszélyeztetettségi mutatót (IOC) kell nyomon követni, és potenciálisan több akadályt kell átugrani, amikor a váltságdíjakról próbálnak tárgyalni vagy fizetni.

„Valószínűleg legalább 2021 közepére datálhatjuk a felgyorsult tájképi változásokat, amikor a Colonial Pipeline DarkSide zsarolóvírus-támadás és az azt követő REvil bűnüldöző szervek általi lekapcsolása több zsarolóvírus-társulás szétszóródásához vezetett” – áll a Cisco Talos csoport kutatóinak éves jelentésében. „Ugorjunk előre az idei évre, amikor a zsarolóvírus-szcéna ugyanolyan dinamikusnak tűnik, mint valaha: a különböző csoportok alkalmazkodnak a bűnüldöző szervek és a magánipar fokozott zavaró erőfeszítéseihez, a belső harcokhoz és a bennfentes fenyegetésekhez, valamint a versenypiachoz, amely miatt a fejlesztők és az üzemeltetők folyamatosan változtatják a társulásukat a legjövedelmezőbb zsarolóvírusművelet keresése érdekében” – írják.

A zsarolóvírus-tájképet 2019 óta a nagy és professzionális zsarolóvírusműveletek uralják, amelyek folyamatosan a hírek címlapjára kerültek, sőt, a média figyelmét keresték, hogy legitimitást szerezzenek a potenciális áldozatok körében. Láttunk olyan zsarolóvíruscsoportokat, amelyek szóvivői újságíróknak kínáltak interjúkat, vagy „sajtóközleményeket” adtak ki a Twitteren és az adatszivárgási webhelyeiken a nagy betörésekre reagálva.

A Colonial Pipeline elleni DarkSide-támadás, amely 2021-ben jelentős üzemanyag-ellátási zavarokhoz vezetett az USA keleti partvidékén, rávilágított arra, hogy a zsarolóvírus-támadások milyen veszélyt jelenthetnek a kritikus infrastruktúrára, és a kormányzat legmagasabb szintjein fokozott erőfeszítéseket eredményezett e fenyegetés leküzdésére. A bűnüldöző szervek részéről ez a fokozott figyelem arra késztette az underground kiberbűnözési fórumok tulajdonosait, hogy újragondolják a zsarolóvíruscsoportokkal való kapcsolatukat, és egyes fórumok megtiltották az ilyen fenyegetések hirdetését. A DarkSide nem sokkal ezután beszüntette működését, majd később, az év folyamán követte a Sodinokibi néven is ismert REvil, amelynek alkotói ellen vádat emeltek, sőt egyiküket le is tartóztatták. A REvil volt az egyik legsikeresebb zsarolóvírus csoport 2019 óta.

Oroszország 2022. februári ukrajnai inváziója gyorsan megterhelte számos olyan zsarolóvíruscsoport kapcsolatát, amelyeknek mind Oroszországban, mind Ukrajnában vagy más volt szovjet tagországokban voltak tagjai és társult tagjai. Néhány csoport, például a Conti, sietett állást foglalni a háború mellett, és azzal fenyegetőzött, hogy Oroszország támogatására nyugati infrastruktúrákat fog támadni. Ez eltért a szokásos üzletszerű, politikamentes megközelítéstől, amellyel a zsarolóvírus-bandák eddig működtek, és kritikát váltott ki a többi konkurens csoport részéről.

Ezt követte a belső kommunikáció kiszivárgása is, amely a Conti számos működési titkát felfedte, és nyugtalanságot okozott a társszervezetek körében. A Costa Rica-i kormány elleni nagyszabású támadást követően az Egyesült Államok Külügyminisztériuma 10 millió dolláros jutalmat tűzött ki a Conti vezetőinek személyazonosságával vagy tartózkodási helyével kapcsolatos információkért, ami valószínűleg hozzájárult ahhoz, hogy a csoport májusban úgy döntött, leállítja tevékenységét.

A Conti eltűnése néhány hónapra a zsarolóvírusos tevékenység visszaeséséhez vezetett, de ez nem tartott sokáig, mivel az űrt hamarosan más csoportok töltötték be, amelyek közül néhányat újonnan hoztak létre, és feltételezhetően a Conti, a REvil és más, az elmúlt két évben megszűnt csoportok egykori tagjainak keze ezekben is benne van.

Hardverek, szoftverek, tesztek, érdekességek és színes hírek az IT világából ide kattintva!