MKD-CIRT National Centre for Computer Incident Response
Microsoft денеска откри дека неговите безбедносни тимови следат над 100 хакери кои шират ransomware за време на напади. Севкупно, компанијата изјави дека следи над 50 уникатни ransomware групи кои биле активни до крајот на минатата година.
„Некои од најистакнатите ransomware payloads во неодамнешните кампањи вклучуваат Lockbit Black, BlackCat (познато како ALPHV), Play, Vice Society, Black Basta и Royal“, изјави Microsoft.
„Меѓутоа, одбранбените стратегии треба помалку да се фокусираат на payloads, но повеќе на синџирот на активности што водат до нивно ширење“, бидејќи хакерите сè уште ги таргетираат серверите и уредите што сеуште не се закрпени поради вообичаени или неодамна адресирани пропусти.
Додека новите ransomware групи се активни цело време, повеќето хакери ги користат истите тактики кога пробиваат и се шират низ мрежите, што го прави напорот за откривање на таквото однесување уште покорисен за спречување на нивните напади.
Како што додаде Редмонд, напаѓачите се повеќе се потпираат на тактики надвор од фишинг за да ги спроведат своите напади, со напаѓачи, како што се DEV-0671 и DEV-0882, кои капитализираат од неодамна закрпените пропусти на Exchange Server за хакирање на ранливи сервери и распоредување на Cuba и Play ransomware.
Минатата недела, тимот на Exchange ги повика администраторите да го распоредат најновото Cumulative Update (CU) за да ги обезбедат серверите на Exchange и секогаш да бидат подготвени да инсталираат безбедносно ажурирање за итни случаи.
Над 60.000 сервери на Exchange кои се изложени на Интернет сè уште се ранливи на напади што ги користат експлоатите на ProxyNotShell RCE. Во исто време, илјадници сè уште чекаат да бидат заштитени од напади насочени кон недостатоците на ProxyShell и ProxyLogon, два од најексплоатираните безбедносни пропусти во 2021 година.
Други ransomware групи, исто така, се префрлаат или користат малициозни реклами за да шират малициозен софтвер како ransomware и разни други видови на малициозен софтвер, како што се крадците на информации.
Напаѓачот познат како DEV-0569, за кој се верува дека е првичен посредник за пристап до ransomware групите, сега ги злоупотребува Google Ads во широко распространети рекламни кампањи за да дистрибуира малициозен софтвер, да краде лозинки од заразени уреди и на крајот да добие пристап до мрежите.
Тие го користат овој пристап како дел од нивните напади или го продаваат на други хакери, вклучувајќи ја и Royal ransomware групата.
Минатата година беше означена со крајот на операцијата за сајбер криминал Conti и подемот на новите ransomware-as-a-service (Raas), вклучувајќи ги Royal, Play и BlackBasta.
Во меѓувреме, ransomware групите LockBit, Hive, Cuba, BlackCat и Ragnar продолжија со напади и со зголемување на бројот на жртви во текот на 2022 година.
Како и да е, ransomware групите забележаа огромен пад на приходите од околу 40% минатата година, бидејќи можеа да добијат само приближно 456,8 милиони долари од жртвите во текот на 2022 година, по рекордните 765 милиони долари во претходните две години, според компанијата за блокчејн аналитика Chainalysis.
Сепак, овој значителен пад не беше предизвикан од помалку напади, туку од одбивањето на жртвите да ги платат барањата за откуп на напаѓачите.
Оваа година започна со голема победа против ransomware групите, откако беа запленети темните веб-страници на Hive ransomware и мрачните плаќања на Tor како дел од меѓународната операција за спроведување на законот во која беа вклучени американското Министерство за правда, ФБИ, Тајната служба и Europol.
По хакирањето на серверите на Hive, ФБИ дистрибуираше повеќе од 1.300 клучеви за дешифрирање на жртвите на Hive и доби пристап до комуникациските записи на Hive, хашовите на датотеките со малициозен софтвер и детали за 250 филијали на Hive.
Истиот ден, Стејт департментот на САД понуди до 10 милиони долари за какви било информации што би можеле да помогнат во поврзувањето на Hive ransomware бандата (или други хакери) со странски влади
Извор: BleepingComputer
