Без криптиране бандите по-лесно избягват от радара на вниманието
Случаите на пряка кражба на данни и изнудване вече изглеждат по-разпространена заплаха в сравнение с рансъмуера. Те се превръщат в най-чест вид нападение през второто календарно тримесечие на 2023
г., според данни, публикувани тази седмица от изследователи, пише TechNews.bg. Според телеметрията за реакция при инциденти на Cisco Talos,
случаите с кражба на данни и изнудване, които не включват никаква форма на криптиране на данни или внедряване на рансъмуер, са нараснали с 25% от 1 април до края на юни. Това представлява 30% от
инцидентите, наблюдавани от изследователите. Рансъмуерът все още е втората най-често наблюдавана заплаха със 17% от случаите.
Много от тези инциденти с изнудване вероятно произтичат от различни атаки, организирани от киберпрестъпния картел Clop, смятат анализаторите. Но Clop не е единствената група, която се отдръпва от
подхода с криптирането. Групата BianLian също изглежда е спряла да провежда рансъмуер операции в полза на "чисто" изнудване, основано на ексфилтрация. Други групи, включително Karakurt и
RansomHouse, също следват тенденцията.
"Изнудването заради кражба на данни не е ново явление, но броят на инцидентите през това тримесечие предполага, че финансово мотивираните участници в заплахите все повече виждат метода като
жизнеспособно средство за получаване на изплащане", пише авторът на доклада Никол Хофман.
"Извършването на атаки с рансъмуер вероятно става все по-предизвикателно поради усилията на глобалното правоприлагане, както и прилагането на защити – такива като разширените възможности за
откриване на нетипично поведение и решения за откриване и реагиране в крайна точка (EDR)", допълва Хофман.
В случая с Clop и техните атаки авторът отбелязва, че е "много необичайно" група за рансъмуер да се занимава толкова последователно с това да експлоатира заплахите тип "нулев ден", като се има
предвид огромното количество време, усилия и ресурси, необходими за разработване на експлойти. Това означава, че Clop вероятно има мощна финансова подкрепа, т.е. някой има интерес и финансира
бандата.
В далеч по-"традиционния" свят на рансъмуера Cisco Talos наблюдава растеж на нови формирования като 8Base и MoneyMessage, в допълнение към утвърдени и "плодовити" играчи като LockBit. 8Base е
активна от март 2022 г., бидейки "персонализирана версия на рансъмуера Phobos", който първо краде данни от ИТ системите на жертвата, а едва след това криптира данните из всички носители на
потърпевшата организация. Въпреки че е на близо 18 месеца, групата стана известна едва от юни 2023 г.
Междувременно MoneyMessage е наблюдавана за първи път през март 2023 г. и продължава да работи по все още успешния модел на двойно изнудване (криптиране плюс кражба на данни). Кодиран на C++,
техният софтуер използва редица функции за криптиране, любими на рансъмуер бандите.
Същата тенденция – за избягване на метода на криптирането – установи и най-новият доклад на Zscaler, оповестен на 4 юли. В него се говори за насочването на кибербандитите към публични субекти и
организации с киберзастраховки, растеж на "рансъмуер като услуга" (RaaS) и възход на изнудването без криптиране.
"Авторите на рансъмуер все по-често остават извън радара на внимание, като стартират атаки без криптиране, залагайки на ексфилтриране на данни," посочи Дийпен Десай, глобален CISO и ръководител на
отдела за изследвания на сигурността в Zscaler. За сметка на липсата на криптиране групите прилагат двойно или множествено ексфилтриране.
Тази тактика води до по-бързи и по-големи печалби за рансъмуер бандите, защото се елиминират циклите за разработка на софтуер и поддръжката за декриптиране. Освен това въпросните атаки са по-трудни
за откриване и получават по-малко внимание от правоохранителните органи, тъй като не блокират ключови файлове и системи и не причиняват прекъсване на дейността на организацията-жертва.