Случаите на пряка кражба на данни и изнудване вече изглеждат по-разпространена заплаха в сравнение с рансъмуера. Те се превръщат в най-чест вид нападение през второто календарно тримесечие на 2023 г., според данни, публикувани тази седмица от изследователи.
Според телеметрията за реакция при инциденти на Cisco Talos, случаите с кражба на данни и изнудване, които не включват никаква форма на криптиране на данни или внедряване на рансъмуер, са нараснали с 25% от 1 април до края на юни. Това представлява 30% от инцидентите, наблюдавани от изследователите. Рансъмуерът все още е втората най-често наблюдавана заплаха със 17% от случаите.
Кой стои зад киберизнудванията
Много от тези инциденти с изнудване вероятно произтичат от различни атаки, организирани от киберпрестъпния картел Clop, смятат анализаторите. Но Clop не е единствената група, която се отдръпва от подхода с криптирането. Групата BianLian също изглежда е спряла да провежда рансъмуер операции в полза на „чисто“ изнудване, основано на ексфилтрация. Други групи, включително Karakurt и RansomHouse, също следват тенденцията.
„Изнудването заради кражба на данни не е ново явление, но броят на инцидентите през това тримесечие предполага, че финансово мотивираните участници в заплахите все повече виждат метода като жизнеспособно средство за получаване на изплащане“, пише авторът на доклада Никол Хофман.
„Извършването на атаки с рансъмуер вероятно става все по-предизвикателно поради усилията на глобалното правоприлагане, както и прилагането на защити – такива като разширените възможности за откриване на нетипично поведение и решения за откриване и реагиране в крайна точка (EDR)“, допълва Хофман.
В случая с Clop и техните атаки авторът отбелязва, че е „много необичайно“ група за рансъмуер да се занимава толкова последователно с това да експлоатира заплахите тип „нулев ден“, като се има предвид огромното количество време, усилия и ресурси, необходими за разработване на експлойти. Това означава, че Clop вероятно има мощна финансова подкрепа, т.е. някой има интерес и финансира бандата.
В далеч по-“традиционния“ свят на рансъмуера Cisco Talos наблюдава растеж на нови формирования като 8Base и MoneyMessage, в допълнение към утвърдени и „плодовити“ играчи като LockBit. 8Base е активна от март 2022 г., бидейки „персонализирана версия на рансъмуера Phobos“, който първо краде данни от ИТ системите на жертвата, а едва след това криптира данните из всички носители на потърпевшата организация. Въпреки че е на близо 18 месеца, групата стана известна едва от юни 2023 г.
Междувременно MoneyMessage е наблюдавана за първи път през март 2023 г. и продължава да работи по все още успешния модел на двойно изнудване (криптиране плюс кражба на данни). Кодиран на C++, техният софтуер използва редица функции за криптиране, любими на рансъмуер бандите.
По-бързи и по-големи печалби
Същата тенденция – за избягване на метода на криптирането – установи и най-новият доклад на Zscaler, оповестен на 4 юли. В него се говори за насочването на кибербандитите към публични субекти и организации с киберзастраховки, растеж на „рансъмуер като услуга“ (RaaS) и възход на изнудването без криптиране.
„Авторите на рансъмуер все по-често остават извън радара на внимание, като стартират атаки без криптиране, залагайки на ексфилтриране на данни,“ посочи Дийпен Десай, глобален CISO и ръководител на отдела за изследвания на сигурността в Zscaler. За сметка на липсата на криптиране групите прилагат двойно или множествено ексфилтриране.
Тази тактика води до по-бързи и по-големи печалби за рансъмуер бандите, защото се елиминират циклите за разработка на софтуер и поддръжката за декриптиране. Освен това въпросните атаки са по-трудни за откриване и получават по-малко внимание от правоохранителните органи, тъй като не блокират ключови файлове и системи и не причиняват прекъсване на дейността на организацията-жертва.