Eugene Wypiór
Ransomware – analiza trendów
Grupy ransomware na celowniku służb
W latach 2021 i 2022 wiele rządów uznało zagrożenie ransomware za istotne dla bezpieczeństwa narodowego. W odpowiedzi wprowadzono szereg środków, obejmujących działania prawne i regulacyjne, mające na celu zmienienie bilansu korzyści i kosztów dla cyberprzestępców. Jednocześnie pojawiło się wiele inicjatyw mających na celu zwalczanie ransomware i rozwiązanie tego pilnego problemu.
W wyniku działań organów ścigania, wiele grup ransomware zostało zmuszonych do wycofania się, a niektóre nawet poszły tak daleko, że udostępniły klucze deszyfrujące. Ponadto, agencje ścigania oferowały znaczne nagrody pieniężne za ujęcie członków grup ransomware. Dzięki międzynarodowej współpracy operacje organów ścigania zakończyły się aresztowaniem cyberprzestępców związanych z notorycznymi grupami zagrożenia ransomware, takimi jak REvil, Cl0p, NetWalker, LockerGoga, MegaCortex i inni.
Ransomware stał się punktem wzmożonych działań dla służb wojskowych i wywiadowczych, co doprowadziło do zauważalnych działań różnych podmiotów. Raporty publiczne wskazują, że amerykańskie wojsko aktywnie angażowało się w zwalacyanie grup
ransomware, demonstrując swoje zaangażowanie w usuwanie zagrożenia. Istotnym wydarzeniem było aresztowanie członków grupy ransomware REvil przez Federalną Służbę Bezpieczeństwa Rosji (FSB). Ta akcja może być przypisana do dążenia Rosji do osiągnięcia swoich strategicznych celów geopolitycznych lub jest możliwe, że grupa REvil zagrażała rosyjskim podmiotom.
W międzyczasie Biały Dom zorganizował spotkanie w celu skoordynowania międzynarodowej reakcji na ransomware, celowo wykluczając Rosję. W zakresie środków regulacyjnych ustawa o ujawnianiu okupu nakazała ofiarom ransomware informowanie rządu USA w ciągu 48 godzin od dokonania płatności okupu. Ponadto rząd Holandii zadeklarował zamiar wykorzystania swojego wywiadu i/lub sił zbrojnych w odpowiedzi na ataki ransomware.
Oczekuje się, że wysiłki organów ścigania w zakresie zakłócania działań grup ransomware będą kontynuowane w przewidywalnej przyszłości. Takie zainteresowanie ze strony organów ścigania nieuchronnie wpłynie na działania różnych grup ransomware, prowadząc do zmian ich modus operandi. Te zmiany mogą obejmować zwiększone zabezpieczenia operacyjne, zmianę nazwy, wewnętrzne konflikty i przesunięcie uwagi na mniejsze firmy. Prawdopodobnie również fora internetowe zareagują na działania organów ścigania, wprowadzając zakazy promowania programów partnerskich związanego z ransomware, przynajmniej na krótką metę.
Jednak długoterminowz wpływ działań organów ścigania na krajobraz zagrożenia ransomware pozostaje niepewnz. Istnieje możliwość, że powstaną nowe grupy, które zastosują innowacyjne metody działania, potencjalnie zwiększając ryzyko dla sprawców ransomware. Ponadto przewiduje się, że aktywność grup spoza USA wzrośnie, podczas gdy aresztowanie członków REvil przez Federalną Służbę Bezpieczeństwa Rosji (FSB) nie zniechęci rosyjskich cyberprzestępców.
Oczekuje się, że rządy będą przeznaczać większe zasoby na zwalczanie zagrożeń ransomware, zlecając swoim siłom zbrojnym i wywiadowczym zakłócanie działań cyberprzestępców, gromadzenie informacji o członkach grup i odzyskiwanie płatności okupów. To świadczy o rosnącym zaangażowaniu w rozwiązywanie problemu ransomware na szerszą skalę.
Karuzela marek
Zauważalny wzrost operacji ransomware, wraz z bardzo poważnymi incydentami, takimi jak atak na Colonial Pipeline, spowodował zintensyfikowanie działań agencji ścigania i rządów na całym świecie. W rezultacie grupy ransomware przyjęły strategię “odchodzenia na emeryturę” i zmiany marki, co zazwyczaj trwa średnio 17 miesięcy. Taki sposób postępowania pozwala im uniknąć wykrycia i dostosować się do zmieniających się środków bezpieczeństwa i działań organów ścigania.
Cyberprzestępcy wykazują takie zachowanie prawdopodobnie z kilku powodów, w tym:
a) Konieczność ponownego uruchomienia swoich działań w przypadku krytycznych zagrożeń dla ich narzędzi, taktyk lub infrastruktury. Na przykład, jeśli badacze bezpieczeństwa opracują narzędzie do deszyfracji lub inne środki zaradcze, cyberprzestępcy mogą zdecydować się na reorganizację swoich działań, aby zachować ich skuteczność.
b) Chęć uniknięcia kontroli ze strony organów ścigania, mediów i podmiotów politycznych. Poprzez “odchodzenie na emeryturę” i zmianę marki, cyberprzestępcy mogą zmniejszyć uwagę skierowaną na swoje działania, co utrudnia organom ścigania śledzenie i zatrzymanie ich.
c) Celowe utrudnianie i opóźnianie identyfikacji sprawców ataku. Ta celowa strategia pozwala sprawcom stworzyć przeszkody utrudniające identyfikację odpowiedzialnej strony. Dzięki temu dążą do tego, aby ofiary były zmuszone płacić okup osobie lub podmiotowi, którego nie dotyczą sankcje lub konsekwencje prawne.
d) Konieczność rozwiązania wewnętrznych konfliktów lub sporów w grupie cyberprzestępczej. “Odchodzenie na emeryturę” i zmiana marki mogą służyć jako sposób na rozwiązanie i łagodzenie wewnętrznych napięć, pozwalając grupie na reorganizację i kontynuację swoich szkodliwych działań w bardziej efektywny sposób.
W okresie od 2021 do 2022 roku wiele rodzin ransomware wycofało się z krajobrazu cyberprzestępczości, w tym Egregor, REvil, BlackMatter i Doppelpaymer. Jednak pojawiły się nowe rodziny ransomware, często wykazujące podobieństwa do tych, które zniknęły. Kilka godnych uwagi przypadków zmiany marki grup ransomware to:
– Ransomware Grief wykazywał podobieństwa do DoppelPaymer pod względem działań i cech.
– W ramach operacji WastedLocker można było zaobserwować różne nazwy takie jak ransomware Hades lub Cryptolocker na wiosnę 2021 roku, Payloadbin latem 2021 roku oraz Macaw jesienią 2021 roku.
– Ransomware Darkside zmienił markę na DarkSide 2.0 po udostępnieniu narzędzia do deszyfracji, a następnie przekształcił się w BlackMatter206 po głośnym incydencie związanym z Colonial Pipeline. Grupa BlackMatter zakończyła swoje działania w listopadzie 2021 roku ze względu na presję organów ścigania. W lutym 2022 roku grupa BlackCat ransomware potwierdziła swoje powiązanie z poprzednimi operacjami DarkSide lub BlackMatter.
– GandCrab, złośliwy szczep ransomware, przekształcił się w rodzinę ransomware REvil, co oznacza zmianę tożsamości i strategii operacyjnych.
Te przypadki pokazują dynamiczną naturę grup ransomware, które adaptują się, ewoluują i zmieniają marki, aby kontynuować swoje nielegalne działania i uniknąć odpowiedzialności.
Eksfiltracja danych i wymuszenia bez użycia ransomware
Wkraczając od około 2021 roku, zauważalny trend pojawił się w taktyce stosowanej przez grupy ransomware, powszechnie określanej jako wieloaspektowe wymuszenia lub potrójne wymuszenia. Podczas gdy ta strategia pozostawała powszechna w 2022 roku, zaobserwowano wzrost incydentów kradzieży danych, z niektórymi przypadkami wymuszeń, w których nie dochodziło do żadnego szyfrowania danych. Cyberprzestępcy zdali sobie sprawę, że mogą żądać okupu bez użycia ransomware i następnie utworzyli dedykowane rynki, na których reklamowane i sprzedawane są skradzione dane.
Podczas fazy negocjacji grupy ransomware zaczęły odwoływać się do polis cyberubezpieczeniowych ofiar jako część swojej strategii. Do grup zaangażowanych w takie działania należą LAPSUS$ (znane również jako DEV-0537) i Karakurt. Grupy te aktywnie uczestniczą w przeprowadzaniu operacji wieloaspektowych wymuszeń, wykorzystując skradzione dane i dostosowując swoje taktyki, aby wykorzystać luki w zabezpieczeniach polis cyberubezpieczeniowych ofiar.
Rosnące znaczenie kradzieży danych, wraz z publicznym upokarzaniem i taktykami wymuszania, podkreśla podwyższone ryzyko związane z prywatnością, regulacyjne i reputacyjne, którym muszą stawić czoła organizacje będące ofiarami. Istotne jest, aby te organizacje zdały sobie sprawę, że posiadanie solidnych strategii tworzenia kopii zapasowych jest niezbędne, ale nie wystarczające. Muszą również priorytetowo traktować wdrażanie skutecznych kontroli bezpieczeństwa w celu wykrywania i zapobiegania taktykom eksfiltracji danych opisanym w ramach MITRE ATT&CK (TA0010233).
Skupiając się wyłącznie na strategiach tworzenia kopii zapasowych, organizacje mogą przeoczyć ważność aktywnego wykrywania i zapobiegania próbom eksfiltracji danych. Wdrażanie odpowiednich kontroli bezpieczeństwa zgodnych z taktyką eksfiltracji w ramach MITRE ATT&CK pomaga organizacjom wzmocnić swoje obronne zdolności przeciwko działaniom złośliwych aktorów dążących do kradzieży wrażliwych informacji. To kompleksowe podejście umożliwi organizacjom lepszą ochronę ich danych, ograniczenie ryzyka związanego z naruszeniami prywatności, spełnienie wymagań regulacyjnych oraz ochronę ich cennej reputacji.
Wnioski:
Ransomware pozostaje poważnym zagrożeniem dla firmy i bezpieczeństwa narodowego. Działania organów ścigania i rządów w celu zwalczania ransomware mają wpływ na grupy cyberprzestępcze, prowadząc do aresztowań, zakłóceń i zmiany marki. Jednak cyberprzestępcy nieustannie dostosowują się do tych działań, wdrażając strategie “odchodzenia na emeryturę” i zmiany marki w celu uniknięcia ścigania i sankcji. Przewiduje się, że walka z ransomware będzie długotrwałym wysiłkiem, wymagającym współpracy międzynarodowej, innowacyjnych rozwiązań technologicznych i ścisłej regulacji.
0 komentarzy