Една голяма заплаха от ransomware просто изчезна. Сега друг скочи, за да запълни празнината

Внезапното изчезване на една от най -плодотворните услуги за ransomware принуди мошениците да преминат към други форми на ransomware и по -специално една от тях забеляза голям ръст в популярността.

REvil – известна още като Sodinokibi – бандата срещу ransomware затъмнява през юли, малко след като се оказва, че привлича вниманието на Белия дом след масивната атака срещу ransomware, която засегна 1500 организации по целия свят.

Все още не е ясно дали REvil се е отказал завинаги или ще се върне под различна марка – но филиалите на схемата за ransomware не чакат да разберат; преминават към използване на други марки ransomware и, според анализ на изследователи на киберсигурността в Symantec, LonsBit ransomware се превърна в оръжието на избор.

ВИЖ: Печеливша стратегия за киберсигурност (Специален доклад на ZDNet)

LockBit се появи за първи път през септември 2019 г. и тези, които стоят зад него, добавиха схема за ransomware като услуга през януари 2020 г., което позволява на киберпрестъпниците да отдават под наем LockBit, за да стартират атаки срещу ransomware-в замяна на намаляване на печалбите.

LockBit не е толкова популярен, колкото някои други форми на ransomware, но тези, които го използват, печелят пари за себе си от откупни плащания, платени в Bitcoin.

Сега очевидното изчезване на REvil доведе до увеличаване на броя на киберпрестъпниците, които се обръщат към LockBit за извършване на атаки срещу ransomware – подпомогнати от авторите на LockBit, които полагат усилия да предложат актуализирана версия.

“LockBit през последните седмици агресивно рекламираше нови филиали. Второ, те твърдят, че имат нова версия на полезния си товар с много по -високи скорости на криптиране. За нападател, колкото по -бързо можете да шифровате компютри, преди да бъде разкрита атаката ви, толкова повече щети ще предизвикате “, каза Дик О’Брайън, старши научен редактор в Symantec, пред ZDNet.

Изследователите отбелязват, че много от тези, които сега използват LockBit, използват същите тактики, инструменти и процедури, които са използвали преди в опитите да доставят REvil на жертвите – те просто са сменили полезния товар.

Тези методи включват използване на незапазени защитни стени и VPN уязвимости или атаки с груба сила срещу услуги за протокол за отдалечен работен плот (RPD), оставени изложени на интернет, както и използването на инструменти, включително Mimikatz и Netscan, за да се установи достъпът до мрежата, необходим за инсталиране на ransomware .

Подобно на други групи за изкупуване, нападателите на LockBit също използват атаки с двойно изнудване, крадат данни от жертвата и заплашват да ги публикуват, ако откупът не бъде платен.

Докато той донякъде е летял под радара, нападателите, използващи LockBit, го разгърнаха в опит за атака срещу рансъмуер срещу Accenture – въпреки че компанията заяви, че няма ефект, тъй като са успели да възстановят файлове от архивиране.

LockBit също привлече вниманието на службите за национална сигурност; австралийския център за киберсигурност (ACSC) пусна предупреждение за LockBit 2.0 тази седмица, предупреждавайки за увеличаване на атаките.

ВИЖ: Тази нова фишинг атака е „по -коварна от обикновено“, предупреждава Microsoft

Ransomware представлява заплаха за организациите, без значение каква марка се използва. Само защото една високопоставена група на пръв поглед е изчезнала – засега – това не означава, че ransomware е по -малка заплаха.

“Ние считаме LockBit за сравнима заплаха. Това не е само самият ransomware, това е умението на нападателите да го внедрят. И в двата случая нападателите зад заплахите са доста умели”, каза О’Брайън.

“В краткосрочен план очакваме Lockbit да продължи да бъде едно от най-често използваните семейства на ransomware при целеви атаки. По-дългосрочната перспектива зависи от това дали някои от напусналите наскоро разработчици на ransomware-като REvil и Darkside-ще се върнат, ” той добави.

За да се предпазят от това да станат жертва на атаки срещу ransomware, организациите трябва да гарантират, че софтуерът и услугите са актуални с най -новите корекции, така че киберпрестъпниците не могат да използват известни уязвимости, за да получат достъп до мрежи. Препоръчва се също така многофакторното удостоверяване да се приложи към всички потребителски акаунти, за да се предотврати лесно нападателите да използват пропуснати или откраднати пароли.

Организациите също трябва редовно да създават резервни копия на мрежата, така че в случай, че станете жертва на атака с ransomware, мрежата може да бъде възстановена, без да се плаща откуп.

ПОВЕЧЕ ЗА СИГУРНОСТ

Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com