Рансъмуер бандите се менят бързо като пролетно време

Активните кибер-престъпници с рансъмуер профил често работят за няколко „бизнеса“
(графика: CC0 Public Domain)

Рансъмуер бандите се променят постоянно и то много бързо. Тяхната активност се разраства и навярно 2023 година ще завърши с най-много жертви на този тип кибер-тормоз. Криптирането вече не е особено актуално – изнудването е много по-ефективно средство за изцеждане на пари от потърпевшите.

Регистрираните жертви на кибер изнудване са се увеличили с 46% през 2023 г., според доклада Security Navigator 2024 на Orange Cyberdefense, публикуван миналата седмица. Анализаторите на заплахи в Orange приписват това значително увеличение на дейността на бандата Clop. Според друг анализ – този на Cisco под заглавие „Cisco Talos Year in Review“ – Clop е третата най-активна рансъмуер група, отговорна за 8,2% от общия брой публикации, направени в сайтове за изтичане на данни. Лидерът обаче е LockBit (25,3% от публикациите), следвана от ALPHV (10,7%).

Динамични промени в пейзажа

Пейзажът в света на кибер-престъпността, особено в частта рансъмуер, се мени бързо като пролетно време. Рансъмуер бандите често се сливат или се преименуват в опит да объркат правоприлагащите органи и изследователите, които ги проследяват, казва докладът на Cisco. Активните кибер-престъпници с рансъмуер профил често работят за няколко „бизнеса“ от типа „рансъмуер като услуга“.

Множество изтичания на рансъмуер код – това е другият фактор, повлиял на пейзажа на този вид заплахи. Тези изтичания позволиха на повече хора (дори такива с малко технически познания) да започнат свои собствени изнудвачески дейности.

Като потвърждение на тенденцията за голяма динамика през 2023 г. екипът на Orange е проследил различни групи за изнудване, включително 31 новодошли, които никога не са били виждани по-рано, и 23, които са действали през 2022 г. Същевременно са изчезнали 25 други банди.

Приблизително половината от бандите за киберизнудване имат „живот“ от около шест месеца. Малко над 20% оцеляват от 7 до 12 месеца и само 10% надхвърлят една година. Анализаторите на Orange си обясняват това с факта, че „групите се разпадат и еволюират в други“ А това на свой ред подчертава предизвикателствата, пред които са изправени правоприлагащите органи и екипите по ИТ сигурност.

Всички са на прицел

Големите предприятия са по-голямата част от жертвите на атаки за изнудване, според показателите на Orange. Големият бизнес представлява 40% от жертвите, в сравнение с 23% сред средните организации и 25% сред малките предприятия.

От гледна точка на географско разпределение най-големият брой жертви са налице в англоговорящите страни: над 50% в САЩ, 6% в Обединеното кралство и 2% в Канада. Orange наблюдава значително увеличение на обема на атаки (на годишна база) в Индия (до 97%), Океания (до 73%) и Африка (до 70%).

Докато наблюдаваме скок в броя на големите предприятия, засегнати от кибер-изнудване [40%], малките и средни предприятия заедно съставляват почти половината от всички жертви [48%]“, казват анализаторите на Orange.

Най-атакувани индустрии

Доколкото има данни за броя на жертвите по индустрии, най-атакуваният сектор, според наблюденията на Cisco Talos през 2023 г., е секторът на здравеопазването. Това не е изненадващо, тъй като организациите в този сектор често страдат от недофинансирани бюджети за киберсигурност и висока чувствителност към сривовете. Освен това тези организации са интересни мишени, защото притежават много деликатна, чувствителна здравна информация.

Другите най-атакувани сектори са държавните администрации, производството, хотелиерството и ресторантьорството, образованието.

Повече изнудване, по-малко криптиране

Друга забележителна тенденция в пейзажа на рансъмуер заплахите е, че все повече партньори на кибер-бандитите сега преминават към модел за изнудване чрез кражба на данни, вместо към обичайния модел на криптиране, според доклада на Cisco. При тези атаки кибер-престъпниците не разполагат с алгоритъм за шифриране на данните на жертвата. Вместо това те крадат поверителна информация на организациите, а после искат откуп.

Подобренията във възможностите за откриване на рансъмуер от системите за разпознaване на съмнително поведение в крайните точки и реагиране (EDR и XDR) може би е една от причините за смяната на тактиката и спирането на внедряването на рансъмуер у целевите системи. Cisco Talos също подозира, че агресивните преследвания от страна на американските и международни правоприлагащи органи срещу участниците в рансъмуер може да са друга причина за промяната.

Коментар