Nowe metody grup ransomware. Nietypowy sposób wywierania wpływu
Autor. Freepik.com / AI
Cyberprzestępcy potrafią cechować się kreatywnością podczas żądania okupu. CERT Orange opisał metody działania nowych grup ransomware. W opracowaniu wskazano nietypowy sposób wywierania wpływu na organizację, która jest pośrednikiem między firmami a artystami.
Grupy ransomware starają się zmonetyzować ataki na wiele różnych sposobów. Cyberprzestępcy potrafią m.in. rozkładać płatności na raty czy budować swój „wizerunek” jako wiarygodnych partnerów do negocjacji, co szczegółowo przybliżył Krzysztof Dyki (były prezes ComCERT-u) w rozmowie z nami w lutym br.
W 2024 r. badacze z Uniwersytetu Twente przekazali, że eksfiltracja (kradzież) danych prowadzi do 5,5-krotnej wyższej kwoty okupu, jednocześnie nie wpływając na częstotliwość płatności. W opracowaniu stwierdzono również, że organizacje posiadające kopie zapasowe są 27 razy mniej skłonne do opłacenia okupu w porównaniu z tymi bez backupów.
Czytaj też
„Nowe grupy, nowe metody”
CERT Orange w „Krajobrazie zagrożeń” z 9 września br. opisało funkcjonowanie nowopowstałych grup ransomware.
„W ostatnim czasie obserwujemy coraz więcej ataków przeprowadzanych przez nowe grupy ransomware. Grupy najczęściej działają w modelu double extortion, chociaż zdarzają się też grupy używające triple lub quadruple extortion” – stwierdzono w opracowaniu.
Poniższe modele polegają na następujących działaniach:
- double extortion – kradzież oraz szyfrowanie danych, wraz z groźbą upublicznienia w przypadku braku opłacenia okupu;
- triple extortion – działania opisane powyżej oraz próba wpływu na funkcjonowanie organizacji, np. poprzez atak DDOS;
- quadruple extortion – działania opisane powyżej oraz kontakt z klientami zaatakowanej firmy.
Cephalus i Obscura
Eksperci CERT Orange opisali działanie grup Cephalus i Obscura. Pierwsza z grup cechuje się wykorzystaniem m.in.:
- protokołu RDP (zdalnego pulpitu) oraz skompromitowanych kont bez dwuetapowego uwierzytelniania (2FA) do uzyskania dostępu;
- MEGA Cloud do eksfiltracji danych;
- linków do artykułów opisujących ich działania w celu wywarcia wpływu na zaatakowaną organizację.
Wśród technik grupy Obscura wyróżniono m.in. wykorzystanie harmonogramu zadań (ang. task scheduler) do zmian zasad zapory ogniowej (ang. firewall) w celu utrzymania dostępu przez RDP.
Czytaj też
„Wyślemy dane do firm trenujących AI”
W Krajobrazie opisano również grupę LunaLock, która zaatakowała platformę pozwalającą nawiązać współpracę między artystami i klientami. Żądanie okupu opiewa na 50 tys. dolarów.
„Dodatkowo aktor zagroził wysłaniem twórczości artystów do firm zajmujących się AI w celach trenowania agentów” – stwierdzono w opracowaniu CERT Orange. Jest to nietypowa sytuacja, która według autorów Krajobrazu Zagrożeń może wskazywać na nowy model wyłudzeń grup ransomware, uderzający we własność intelektualną.
Autor. CERT Orange, „Krajobraz zagrożeń 01-07/09/25”
Czytaj też
Ransomware w Polsce
Ataki ransomware dotyczą również polskich przedsiębiorstw, co pokazują tegoroczne incydenty w Ekotrade, Smyku czy Eurocercie. Cyberprzestępcy celują również w administrację publiczną – ofiarami ich działań był m.in. Powiatowy Urząd Pracy w Żorach, którego dane opublikowano na publicznym hostingu.
Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do formularza w zakładce „Kontakt” (u dołu strony).
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].
Cyfrowy Senior. Jak walczy się z oszustami?