Novo promatrani soj za ransomware ima zajednicu govoreći o više suradnje i zamagljenim linijama, između grupa prijetnji sljedeće godine, prema mjesečnom barometru NCC-a
Od
- Alex Scroxton,Sigurnosni urednik
Objavljeno: 12. dec 2024 15:00
Čini se da je promjena u nozi u pejzažu prijetnji, prema najnovijem mjesečnom NCC grupi Prijetnji impuls Izvještaj za novembar, koji otkriva uvid u pojavljivanje naistine na ransumware-u pod nazivom Ymir koji pokazuje kako akteri za prijetnju sve više djeluju kooperativno.
Pojava naprezanja ransumware-a koja se zove Ymir može se pokazati da su Prima facie dokazi o tome. Prvi put je prvi put tokom ljeta, Ymir prvo cilja žrtve s hrstystealeru Infostealer – obično se koristi za dobivanje vjerodajnica i kao kapljica špijunskog softvera prije nego što implementira svoj ormar.
U jedinom Ymir napadu za koji imamo mnogo detalja – dobijeni putem Kasperskyja, koji je analizirao napad u Columbia – posada je vrlo brzo izvršila konačnu fazu svog napada, izbjegavajući pažnju branitelja.
Njegov potpuno roman ormarić se proširiva i prilagođava žrtvi. Čini se da se fokusira isključivo na tradicionalnu metodologiju jednokratne iznude, to je samo šifrira podatke, ne krade ga, a Ymir-ovi operateri, čine da nemaju propuštanje – pomalo neobičan razvoj .
Suptilan i blago neobičan trag za državljanstvo jezgrenog člana može se naći u korištenju niza za komentar napisane na jeziku Lingala, u Angoli, Kongu i Demokratskoj Republici Kongu.
Značajno je, Ymir upotreba RustyStealera i njegova nevjerojatno brza vremena zaokreta podijelila komentatore o tome da li se neko postupila samostalno ili da li je surađivao s nekim drugim u ovom slučaju.
“Uprkos kontinuiranom sektoru fokusiranje, postoji zanimljiva slika za lakiranje kada je u pitanju obrasci zakona o prijetnji,” rekao je Matt Hull, NCC šef za prijetnju inteligenciju. “Suradnja između grupa prijetnji i zamagljivanje linija između kriminalističke i državne aktivnosti, često povezane sa geopolitičkim napetostima, stvara dinamičan pejzaž prijetnji u kojem motivi iza napada mogu biti teško razabrati. To je dodatno istaknuto u upozorenjima koje je izdala NCSC iz Velike Britanije u njihovom nedavnom Godišnji pregled. “
Pejzaž prijetnji
Hull je rekao da je Ymir-ova pojava postajala šire razgovore na vezama između bandi otpadnih softvera i drugih prijetnjih aktera i trenutne fluidnosti pejzaža prijetnji.
Proteklih 12 mjeseci poslužili su nekoliko incidenata u kojima su ove linije zamućene u određenoj mjeri – na primjer, naizgled uspješno prelazak u KillSec operaciju od kolekcije Hackivističkog kolektiva na operaciju ransomware ili aktivnosti ukrajinske hang-a ukrajine poznate kao cyber Anarhijski odred koji je tvrdio odgovornost za pophanje destruktivnih ransomware udara na ruske ciljeve.
Negdje drugdje, rekao je NCC, Hackivisti su uskladili s timom Turk Hack Hit ciljeve na Filipinima sa procurenim lockbitom 3.0 ormarićem. I očigledna saradnja između sjevernog korejskog prskava prikladnika i play-a Ransomware banda – u kojoj se sjeverni Korejci možda postupio kao početni broker za pristup (IAB) za cyber kriminalce – također postavlja zanimljivo i alarmantno, presedan.
“Ovo širenje ransumware-a iz šireg raspona aktera nego što smo ranije vidjeli, vjerovatno će se nastaviti u 2025.”, napisao je autore izvještaja.
“Ransomware raste, razvija i postaje neprestano sofisticiraniji u posljednjih nekoliko godina, a drugi akteri su sigurno obavijestili da se hackivisti mogu koristiti kao dodatna mjera zajedno sa svojim tipičnijim napadima DDOS-a i pomoći Hackivist-u operacije zarađuju novac za finansiranje daljnjih hackivističkih kampanja ili čak djeluju kao dimnjak za skrivanje istinskih aktivnosti mrežnog upada od strane protivničkih Apt. “
Ransomware Volumes raste
Sveukupni volumeni napada na ransomware porastao je 16% u novembru 2024. u odnosu na prethodni mjesec, s NCC-ovom telemetrijom za snimanje ukupno 565 napada, preko tri četvrtine koji utječu na organizacije koje se nalaze u Europi i Sjevernoj Americi.
Povećanje napada prouzrokovao je promjenu mjesečnog “Grafikona”, a Ransomhub je srušio s gornjeg mjesta sa 80 atributabilnih napada, koje bi zamijenila Akira, koja je iznosila 87. Sa 43 napada, i u Killsec, sa 33, sa 33, takođe su bili vrlo aktivni u periodu. Iznenađen po sektorima, industrijski su ostali najsmjerniji vertikalni, nakon čega slijede potrošački diskrecijski i to.
NCC je rekao da je i vidio “održavan” porast napada ruskih sandworm naprednih upornih prijetnja (APT) glumca. Sandworm, koji je formalno nadograđen u samostalnu grupu – APT44 – Mandiant Ranije ove godine, uključen je u veliki broj visokog profila ruskog državnog cyber napada, uključujući notpetyu.
Sandwormovi napadi u velikoj mjeri središnji ukrajinski ciljevi u skladu s trenutnim ruskim vojnim zadacima, ali kao zima u cijeloj Europi, postoje dokazi da se povećava ciljanje energetske infrastrukture.
“Neporobljana aktivnost raznih aktera cyber prijetnje gotovo je postala uobičajena, ali fokus na industrijsko sektor, a posebno organizacije koje djeluju kao dio kritične nacionalne infrastrukture, ostaje prave zabrinutost”, rekao je trup.
“Dok 2024. godine ostaje bliska, neposredna globalna prijetnja ransomware-om, tako da bismo pozirirali kompanije da budu budniju nego ikad kad se zaštiti od napada”, rekao je. “I, kao što ulazimo u praznični period, budite sigurni i budite pažljivi od uobičajenog sezonskog priliva prevara i krađe e-pošte koji nas svira lično u ovo doba godine.”
Pročitajte više o hakerima i prevenciji cyberfime-a
-
Funksec banda je u decembru pojavila ransomware toplinu
Napisao: Alex Scroxton
-
Geopolitički pogoni su povećali ransomware aktivnosti
Napisao: Alex Scroxton
-
NCC grupa: Ransomwaware dolje u junu, jul yoy
Napisao: Alexander Culafi
-
Nullbulge prijetnji glumac cilja lanac opskrbe softverom, AI Tech
Napisao: Alexander Culafi