Ransomware je kybernetický bezpečnostný útok určený na šifrovanie súborových systémov počítača a počítačoví zločinci požadujú výkupné na poskytnutie dešifrovacieho kľúča.
Platenie výkupného kybernetickým zločincom však problém nevyrieši.Moderné CISO/CIO sú ohromené sofistikovanými útokmi ransomware.Odešli dni tradičných spôsobov jednoduchého šifrovania súborov v útokoch ransomware.Dnešní bezpečnostní analytici a lídri sa hádajú s pokročilými kybernetickými zločincami, ktorí používajú prispôsobené a zložité metódy s zločineckými spoločnosťami, ktoré kontrolujú obchodné operácie.
Cactus ransomware je sofistikovaný kybernetický útok. Od objavenia kaktus ransomware, vzal svet búrkou, čo spôsobuje celosvetový dopad ako kybernetické bezpečnostné riziko.
Niektoré účinky Black Basta ransomware sú nasledovné:
- Celková suma vydierania vo výške 107 miliónov dolárov v bitcoinoch bola hlásená v roku 2023 a hrozbou za tým bola skupina Black Basta.
- Samotná Severná Amerika bola najviac napadnutá týmto incidentom, po ktorej nasledovala Európa, ktorá predstavovala 18 percent.
- Black Basta ransomware zasiahol výrobný, nehnuteľný a stavebný priemysel najťažšie. bol spojený s 28 z 373 incidentov ransomware hlásených v apríli 2024.
- Poradenstvo o kybernetickej bezpečnosti, ktoré spoločne vydali agentúry Spojených štátov, FBI, CISA, HHS a MS-ISAC, zdôraznilo, že Black Basta, ransomware v novembri 2024, zasiahol 12 zo 16 kritických sektorov.
- Správa o hrozbách od spoločnosti Kaspersky uviedla, že Black Basta ransomware patril v roku 2023 medzi 12. najaktívnejšie rodiny ransomware a v 1. štvrťroku 2024 zaznamenal významný nárast.
Kľúčovou vlastnosťou kaktus ransomware je dvojité vydieranie. Hrozba hráč neposkytuje dešifrovací kľúč ani po výkupné platby. Môžu vyfiltrovať dáta tým, že ukradne on-line. Avšak, hrozba hráč za kaktus ransomware je nejasný; bezpečnostní obhajcovia sa domnievajú, že má zdroj z malajzijskej hacktivist skupiny.
A Look at the Cactus Attack Chains
Cactus ransomware nie je priemerná kybernetická hrozba – je tohighly sophisticatedSkupina hrozieb za útokmi Cactus ransomware používa viacstupňový útokový proces, ktorý kombinuje sociálne inžinierstvo (ako sú falošné správy Microsoft Teams), nástroje na vzdialený prístup a vlastné implantáty škodlivého softvéru, aby infiltrovali systémy a zostali skryté.
Akonáhle sa dostane do cieľového systému, hráči hrozieb nielen zamknú súbory. Navigujú sieťami, zvyšujú výsady a udržiavajú sa skryté, zatiaľ čo sa pripravujú na posledný úder: šifrovanie a vydieranie. Aj keď je ich šifrovanie zablokované, ako v nedávnom prípade, stále posielajú ohrozujúce výkupné poznámky prostredníctvom e-mailu - dôkaz, že sa môžu prispôsobiť a vykonať útoky od začiatku až do konca.
Ako počiatočný kompromis, ransomware hrozieb herci často využívajú neupravené zraniteľnosti v široko používanom softvéri, ako sú VPN služby, vzdialené desktopové protokoly, alebo webové aplikácie, získať počiatočný prístup k obete siete. Útočníci môžu tiež použiť phishingové e-maily alebo ohrozené legitímne webové stránky distribuovať škodlivé úžitkové zaťaženie. Tieto e-maily často obsahujú škodlivé prílohy alebo odkazy, ktoré, keď sú otvorené, nasadiť ransomware.
V tejtoEstablishing Persistence phase,Akonáhle sa dostanú dovnútra, útočníci nasadia legitímne nástroje na diaľkové riadenie alebo škodlivé implantáty, ako sú napríklad trójske kone na vzdialený prístup. Tieto nástroje umožňujú nepretržitý prístup a pomáhajú pri vyhýbaní sa detekcii. Útočníci často vypúšťajú poverenia z ohrozeného systému (prostredníctvom pamäťových dumpov alebo poverení webového prehliadača), aby zvýšili práva a rozšírili sa v sieti.
Po získaní prístupu k jednému počítaču útočníci často používajú sieťové skenovacie nástroje na identifikáciu iných zraniteľných zariadení v sieti ako bočného pohybu. Skenovanie siete im umožňuje presunúť sa bočne cez systémy a získať prístup k viac vysoko hodnotným cieľom.
Data Exfiltration (Double Extortion)
Pred šifrovaním súborov skupiny ransomware exfiltrujú citlivé alebo cenné dáta do externých umiestnení (cloud storage, command-and-control servery). pokročilé útoky ransomware používajú dvojité vydieranie, v ktorom kybernetickí zločinci vyvíjajú ďalší tlak na obeť, aby zaplatila výkupnú sumu; inak môžu ukradnuté dáta distribuovať na verejné fóra alebo na temnú sieť.
Správa oISA Globálna aliancia pre kybernetickú bezpečnosť (ISAGCA)zdôraznil, že moderné aktéri hrozieb sa vyvinuli tak, aby používali nové metódy šírenia útokov v krajine hrozieb kybernetickej bezpečnosti a dvojitý ransomware je jednou z sofistikovaných metód, ktoré urobili titulky od roku 2020.
Súbory sú zvyčajne šifrované so silnými šifrovacími algoritmami a premenované s jedinečným príponou súboru, čo sťažuje obnovu bez dešifrovacieho kľúča. Niektoré kmene ransomware používajú špecifické techniky, ako je fragmentácia súborov alebo šifrovanie vyrovnávacou pamäťou, aby urýchlili proces šifrovania, čo sťažuje detekciu. Výkupné poznámka (často textový súbor alebo HTML stránka) je spustená na infikovanom systéme, vyžaduje platbu v kryptomene na dešifrovanie súborov.
Ransomware často používa techniky, ako je zablokovanie kódu alebo balenie (napr. UPX alebo vlastné balenie), aby sa vyhol detekcii tradičnými bezpečnostnými nástrojmi. Niektoré ransomware sú navrhnuté tak, aby zistili, či beží v prostredí sandbox, ktoré bezpečnostné nástroje používajú na analýzu malware.
Bezpečnostní analytici môžu monitorovať náhle, nezvyčajné prípony súborov alebo vzorce premenovania súborov, ktoré môžu naznačovať aktivitu šifrovania. Do určitej miery, sledovanie podozrivého sieťového prevádzky na exfiltráciu alebo komunikáciu s externými IP môže zvýrazniť aktivitu ransomware. Detekcia nezvyčajných príkazov, najmä tých, ktoré sú spojené s dumpingom poverení, nástrojmi bočného pohybu alebo nástrojmi vzdialeného prístupu, môže byť kľúčovým ukazovateľom. Vytvorenie výkupných poznámok v adresároch alebo vzhľad súborov s nezvyčajnými príponami naznačuje útok ransomware. Ransomware často zvyšuje využitie systémových zdrojov (napr. CPU, disk IO
Cactus's Tactics, Techniques, and Procedures (TTPs)
Aktivita skupiny zodpovedá mnohým známym technikám v rámci kybernetickej bezpečnosti MITRE ATT&CK. Tu je zjednodušené rozdelenie:
- Počiatočný prístup: Phishing (T1566.003), zneužitie nástrojov na spoluprácu (T1199)
- Vykonávanie: Vykonávanie škodlivých súborov (.bpx archives) (T1204.002)
- Pretrvávajúce: Úpravy registra (T1547.001)
- Privilege Escalation: DLL sideloading (T1574.001)
- Defense Evasion: Maskovanie súborov (T1036.005), vypnutie firewallov (T1562.004)
- Bočný pohyb: Pomocou WinRM a SMB (T1021.002, T1021.006)
- Príkaz a ovládanie: šifrované kanály s implantátmi BackConnect (T1071.001, T1571)
- Exfiltrácia: prenos súborov WinSCP (T1105)
- Dopad: Šifrovanie súborov (T1486), výkupné poznámky a hrozby
Final Thoughts
Ak chcete zmierniť a reagovať na útoky kaktusových ransomware, akonáhle je zistená kaktusová infekcia, izolácia postihnutých strojov z siete je dôležitá, aby sa zabránilo ďalšiemu šíreniu. Mať dobré, izolované a aktuálne zálohy je nevyhnutné pre obnovu. Pravidelné zálohovanie zabezpečuje, že systémy môžu byť obnovené bez platenia výkupného. Po útoku, vykonávanie forenznej analýzy môže pomôcť určiť vektor útoku, postihnuté systémy a rozsah exfiltrácie údajov. Organizácie musia zostať ostražití, monitorovať kľúčové ukazovatele a uprednostňovať povedomie o kybernetickej bezpečnosti a plánovanie reakcie, aby zostali pred hrozbami, ako je Cactus.
Úspech v obrane ransomware nie je otázkou nasadenia najpokročilejších nástrojov; je to o komplexnejšom používaní správnych nástrojov efektívne ako súčasť bezpečnostnej stratégie.
