Operaterji izsiljevalske programske opreme zdaj izkoriščajo dostop do omrežja zunanjim izvajalcem, da pospešijo napade

  • Oct 19, 2023

Trend je v porastu, saj je izsiljevalska programska oprema še vedno donosna - zlasti v podjetniškem prostoru.

Operaterji izsiljevalske programske opreme se zdaj množično obračajo na prodajalce dostopa do omrežja, da preprečijo težaven korak v procesu okužbe.

Varnost

  • 8 navad zelo varnih delavcev na daljavo
  • Kako najti in odstraniti vohunsko programsko opremo iz telefona
  • Najboljše storitve VPN: Kakšna je primerjava najboljših 5?
  • Kako ugotoviti, ali ste vpleteni v kršitev podatkov – in kaj storiti naprej

V ponedeljek je Accenturejeva ekipa za obveščanje o kibernetskih grožnjah (CTI) objavila nove raziskave o nastajajočih trendih kibernetske varnosti, vključno s preiskavo narave odnosov med operaterji izsiljevalske programske opreme in izkoriščanje prodajalcev.

Po besedah ​​višjih varnostnih analitikov Accenture Thomasa Willkana in Paula Mansfielda nakup omrežnih dostopnih točk in že ogroženi načini infiltracije v ciljni sistem postajajo vse bolj priljubljeni, vključno z nakupom ukradenih poverilnic in ranljivosti.

Med napadi morajo operaterji izsiljevalskih programov najprej najti vstopno točko v omrežje. Ogroženi računi zaposlenih, napačne konfiguracije v javnih sistemih in ranljive končne točke so lahko vse uporabiti za uvedbo te posebne družine zlonamerne kode, ki vodi do šifriranja datotek, diskov in zahteva za plačilo v zameno za ključ za dešifriranje.

Poglej tudi: Pandemija COVID-19 prinaša izjemno paleto izzivov kibernetske varnosti

Težko je oceniti, koliko uspešnih napadov z izsiljevalsko programsko opremo je bilo letos. Europol meni, da ti specifični napadi pogosto ostanejo neprijavljeni, le z večjimi incidenti -- kot je nedavna smrt ženske, ki je potrebovala nujno oskrbo in je bila prisiljena preusmeriti iz duesseldorfske bolnišnice zaradi okužba z izsiljevalsko programsko opremo -- postane javno znano.

Plačilo odkupnine v teh dneh lahko doseže šestmestne zneske ali več, odvisno od tarče in njihove ocenjene vrednosti. Zdaj si skupine izsiljevalske programske opreme prizadevajo izločiti začetno stopnjo dostopa do napada, s čimer pospešijo postopek – in potencialno priložnost za nezakonit prihodek.

Prodajalci omrežnega dostopa običajno razvijejo začetno ranljivost in nato prodajo svoje delo na podzemnih forumih za nekje med 300 in 10.000 USD.

Večina ponudb dostopa do omrežja v podzemlju bo vključevala cilj po panogi in vrsti dostopa, od Citrixa do protokola za oddaljeno namizje (RDP), lahko pa tudi dokumentira število strojev, zaznanih na omrežje.

CNET: Kako se družbena omrežja pripravljajo na morebiten oktobrski vdor in uhajanje

»Od začetka leta 2020 in pojava zdaj priljubljene taktike »izsiljevalske programske opreme s krajo podatkov in izsiljevanjem« je izsiljevalska programska oprema Tolpe so uspešno uporabile temne spletne platforme za zunanje izvajanje zapletenih vidikov omrežnega kompromisa," so raziskovalci reči. »Uspešen napad z izsiljevalsko programsko opremo je odvisen od razvoja in vzdrževanja stabilnega dostopa do omrežja, ki vključuje večje tveganje odkrivanja ter zahteva čas in trud. Prodajalci dostopa zapolnijo to tržno nišo za skupine izsiljevalskih programov."

Od septembra letos je Accenture sledil več kot 25 vztrajnim prodajalcem omrežnega dostopa -- poleg občasnih enkratnih -- in več jih vstopa na trg na "tedenski osnovi".

Mnogi prodajalci so aktivni na istih podzemnih forumih, ki jih preganjajo skupine izsiljevalskih programov, vključno z Maze, NetWalker, Sodinokibi, Lockbit in Avaddon.

Prodajalci so zdaj začeli oglaševati svoje ponudbe v posameznih nitih foruma, namesto v ločenih objavah, RDP pa ostaja priljubljena možnost za dostop do omrežja. Zanimivo je, da nekateri trgovci namesto da bi razprodali ranljivost ničelnega dne enemu prodajalcu uporabljajo te nepopravljene hrošče za izkoriščanje številnih omrežij podjetij in prodajo dostopa akterjem groženj v ločenih svežnjih za ustvarjanje dodatnih prihodek.

TechRepublic: Proračuni za COVID-19, varnost podatkov in avtomatizacija so skrbi vodij in osebja IT

V oglasih so omenjeni tudi odjemalci Citrix in Pulse Secure VPN.

"Prodajalci z dostopom do omrežja izkoriščajo orodja za delo na daljavo, saj zaradi pandemije COVID-19 več delovne sile dela od doma," pravi Accenture. »Ta simbiotični odnos [prodajalci in kibernetski napadalci] omogoča nenehno ciljanje na vlado in podjetja. subjektov in poenostavi postopek ogrožanja omrežja, ki kibernetskim kriminalcem omogoča hitrejše in učinkovitejše ukrepanje."

Največji vdori, kršitve podatkov leta 2020 (doslej)

Prejšnja in sorodna pokritost

  • ZDA razkrivajo izvršilni okvir za boj proti terorističnim in kriminalnim dejavnostim kriptovalut
  • Zlonamerna programska oprema Waterbear, uporabljena v valu napadov na vladne agencije
  • Delo od doma povzroča porast kršitev varnosti, osebje se "pozablja" na najboljše prakse

Imate namig? Varno stopite v stik prek WhatsApp | Signal na +447713 025 499 ali na Keybase: charlie0