Атаки с использованием программ-вымогателей продолжали происходить на уровне, близком к пиковому, в третьем квартале этого года, в ходе которого недавно созданная группа RansomHub обогнала ветерана LockBit и стала угрозой номер один среди программ-вымогателей.
Анализ данных с сайтов, содержащих утечки программ-вымогателей, показал, что злоумышленники, занимающиеся распространением программ-вымогателей, заявили о 1255 атаках в третьем квартале 2024 года, что незначительно меньше, чем 1325 во втором квартале, однако общее количество атак продолжает расти.
Рисунок 1. Заявленные атаки с использованием программ-вымогателей, совершенные злоумышленниками, эксплуатирующими сайты утечки данных, 2023–2024 г.
Самым большим событием в квартале стал спад LockBit, который ранее был доминирующим игроком в экосистеме программ-вымогателей, заявив о более чем в три раза большем количестве атак, чем его ближайший конкурент Qilin во втором квартале. Количество атак LockBit, заявленных в третьем квартале, составило 188, что меньше 353 атак, заявленных во втором квартале. LockBit стал целью международной правоохранительной операции в феврале 2024 года, что повлияло на уровень его активности в первом квартале этого года. Ко второму кварталу он, казалось, полностью восстановился, но не исключено, что операция привела к потере доверия среди аффилиатов LockBit, особенно после того, как власти указали, что они собрали информацию, которая может идентифицировать участников группировки.
Рисунок 2. Наиболее частые атаки с использованием программ-вымогателей, заявленные в третьем квартале 2024 г.
Наибольшую выгоду от упадка LockBit получил RansomHub, который стал активным только в феврале 2024 года, но теперь это группировка номер один по количеству заявленных атак. RansomHub заявил о 191 атаке в третьем квартале, по сравнению с 75 во втором квартале. Быстрый рост группы может быть объяснен ее успехом в привлечении опытных партнеров для своей операции по вымогательству как услуге, которая, как сообщается, предлагает более привлекательные условия, чем конкурирующие компании.
Еще одной группой, активизировавшей атаки, стала Qilin (она же Agenda), которая заявила о 140 нападениях в третьем квартале по сравнению с 97 во втором квартале.
Рисунок 3. Заявленные атаки LockBit и RansomHub, Q1–Q3 2024 г.
Снова была обнаружена существенная разница между общими, публично заявленными уровнями активности и активностью программ-вымогателей, расследованной Symantec. Хотя LockBit по-прежнему занимал высокое место в числе заявленных атак, на его долю пришлось всего 7% атак, расследованных Symantec в третьем квартале. Хотя на RansomHub пришлось 15% публично заявленных атак, он был ответственен за треть атак, расследованных Symantec, что подтверждает сообщения о том, что он нанимает опытных аффилированных злоумышленников из конкурирующих групп.
Рисунок 4. Соотношение публично заявленных атак и соотношений атак с использованием программ-вымогателей, расследованных Symantec, третий квартал 2024 г.
Инструменты двойного назначения
Сегодняшние атаки программ-вымогателей представляют собой сложные многоэтапные вторжения, включающие развертывание множества инструментов и часто значительное количество ручных действий на клавиатуре со стороны злоумышленников. Анализ наиболее часто встречающихся инструментов, используемых в атаках программ-вымогателей, дает некоторое представление о предпочитаемых тактиках, методах и процедурах (TTP) среди действующих лиц программ-вымогателей в настоящее время.
Рисунок 5. Наиболее часто используемые инструменты для атак программ-вымогателей, январь-сентябрь 2024 г.
Эти инструменты в основном делятся на четыре категории:
Living off the Land: Утилиты, которые являются родными для среды Windows, которые могут быть использованы злоумышленником. Такие инструменты, как PsExec и WMI, могут быть использованы злоумышленниками для горизонтального перемещения по сетям и выполнения команд на удаленных машинах. PowerShell, тем временем, является мощным инструментом для написания скриптов, который может быть использован для запуска команд, загрузки полезных данных, горизонтального перемещения и проведения разведки.
Нарушение защиты: Все больше злоумышленников используют инструменты, которые используют технику Bring Your Own Vulnerable Driver (BYOD). Злоумышленники развертывают подписанный уязвимый драйвер в целевой сети и используют его для завершения работы программного обеспечения безопасности. Драйверам предоставляется доступ к ядру, что означает, что их можно использовать для завершения процессов. В большинстве случаев уязвимый драйвер развертывается вместе с вредоносным исполняемым файлом, который использует драйвер для подачи команд.
Удаленный рабочий стол/Удаленное администрирование: Хотя эти программные пакеты используются законно для удаленного администрирования или технической поддержки, злоумышленники обращаются к ним, поскольку они фактически обеспечивают бэкдор-доступ к машине. Такие инструменты, как RDP, AnyDesk, Splashtop и ScreenConnect, часто используются злоумышленниками, занимающимися вымогательством.
Утечка данных: Большинство группировок программ-вымогателей осуществляют атаки с двойным вымогательством, похищая данные из сети жертвы до шифрования и используя угрозу утечки этих украденных данных в качестве дополнительной формы воздействия. Rclone является наиболее часто используемым инструментом эксфильтрации. Многие из пакетов удаленного администрирования, используемых субъектами программ-вымогателей, также имеют возможности эксфильтрации.
Надежная экосистема
Рост числа операций программ-вымогателей, таких как RansomHub и Qilin, которые должны составить конкуренцию LockBit, не является приятной новостью, поскольку это может сделать экосистему программ-вымогателей более устойчивой и снизить вероятность серьезных сбоев в случае, если доминирующий оператор будет заблокирован или выйдет из строя.
Источник: Ransomware: Threat Level Remains High in Third Quarter
