Schimbarea pare să se producă în peisajul amenințărilor, conform ultimului raport lunar de amenințări al NCC Group pentru noiembrie, care dezvăluie o perspectivă asupra unei tulpini emergente de ransomware numită Ymir, care demonstrează modul în care actorii amenințărilor acționează din ce în ce mai mult cooperant.
Apariția unei tulpini de ransomware numită Ymir se poate dovedi a fi o dovadă în acest sens. Documentat pentru prima dată în timpul verii, Ymir vizează mai întâi victimele cu infostealer-ul RustyStealer – folosit de obicei pentru a obține acreditări și ca lansator de spyware.
În singurul atac Ymir pentru care există multe detalii – obținut prin Kaspersky, care a analizat un atac în Columbia – echipa de atac a executat etapa finală a atacului său foarte rapid, evitând atenția apărătorilor.
Modelul complet nou este configurabil pe scară largă și adaptat victimei. Se pare că se concentrează exclusiv pe metodologia tradițională de extorcare unică, adică doar criptează datele, nu le fură, iar operatorii lui Ymir, oricine ar fi ei, nu par să aibă un site de scurgeri – o dezvoltare oarecum neobișnuită. .
Un indiciu subtil și puțin neobișnuit cu privire la naționalitatea unui membru de bază poate fi găsit în utilizarea unui șir de comentarii scris în limba lingala, vorbită în Angola, Congo și Republica Democratică Congo.
În special, utilizarea de către Ymir a RustyStealer și timpul său remarcabil de rapid i-a împărțit pe comentatori dacă a acționat sau nu independent sau dacă a colaborat cu altcineva în acest caz.
„În pofida concentrării continue asupra sectorului, există o imagine interesantă când vine vorba de modelele modului în care funcționează grupurile de amenințări”, a declarat Matt Hull, șeful NCC pentru informații despre amenințări. „Colaborarea dintre grupurile de amenințări și estomparea liniilor dintre activitatea criminală și cea sponsorizată de stat, adesea legate de tensiunile geopolitice, creează un peisaj dinamic de amenințări în care motivele din spatele atacurilor pot fi greu de discernut. Acest lucru a fost evidențiat în continuare în avertismentele emise de NCSC în recenta revizuire anuală.”
Peisaj de amenințare
Hull a spus că apariția lui Ymir a declanșat conversații mai ample despre legăturile dintre bandele de ransomware și alți actori ai amenințărilor și fluiditatea actuală a peisajului amenințărilor.
Ultimele 12 luni au servit mai multe incidente în care aceste linii au fost estompate într-o oarecare măsură – de exemplu, tranziția aparent reușită a operațiunii KillSec de la un colectiv hacktivist la o operațiune de ransomware sau activitățile unei bande ucrainene de hacktiviști cunoscută sub numele de Cyber. Anarchy Squad care și-a revendicat responsabilitatea pentru o serie de lovituri distructive de ransomware asupra țintelor rusești.
În altă parte, a spus NCC, hacktiviștii aliniați echipei Turk Hack au lovit ținte în Filipine cu LockBit 3.0. Și o aparentă colaborare între APT Jumpy Pisces din Coreea de Nord și banda de ransomware Play – în care nord-coreenii au acționat posibil ca un broker de acces inițial (IAB) pentru criminalii cibernetici – creează, de asemenea, un precedent interesant și alarmant.
„Această proliferare de ransomware de la o gamă mai largă de actori decât am văzut anterior este probabil să continue până în 2025”, au scris autorii raportului. „Ransomware-ul a crescut, a evoluat și a devenit din ce în ce mai sofisticat în ultimii câțiva ani, iar alți actori au observat cu siguranță că ransomware-ul poate fi folosit ca mijloc de distrugere de către hacktiviști ca măsură suplimentară, alături de atacurile lor DDoS mai tipice, și îi ajută pe hacktiviști. operațiunile fac bani pentru a finanța alte campanii hacktiviste sau chiar acționează ca o cortină de fum pentru a ascunde adevăratele activități ale unei rețele intruziunea unui APT adversar.”
Volumul total de atacuri ransomware a crescut cu 16% în noiembrie 2024 comparativ cu luna precedentă, telemetria NCC înregistrând un total de 565 de atacuri, peste trei sferturi dintre acestea afectând organizații situate în Europa și America de Nord.
Creșterea atacurilor a provocat o schimbare în „diagrama lunară” a ransomware-ului, RansomHub a fost eliminat de pe primul loc cu 80 de atacuri atribuibile, pentru a fi înlocuit de Akira, care a reprezentat 87. ElDorado, cu 43 de atacuri, și Killsec, cu 33, au fost, de asemenea, foarte activi în perioada respectivă. Defalcate pe sectoare, industria a rămas cea mai vizată verticală, urmată de consumer goods și IT.
NCC a declarat că a observat, de asemenea, o creștere „susținută” a atacurilor din partea actorului rus Sandworm, o amenințare persistentă avansată (APT). Sandworm, care a fost transformat oficial într-un grup de sine stătător – APT44 – de către Mandiant la începutul acestui an, a fost implicat într-un mare număr de atacuri cibernetice de profil înalt de stat rusesc, inclusiv NotPetya.
Atacurile Sandworm concentrează în mare măsură țintele ucrainene în conformitate cu misiunile militare actuale ale Rusiei, dar pe măsură ce iarna se apropie în toată Europa, există dovezi că intensifică țintirea infrastructurii energetice.
„Activitatea necruțătoare a diferiților actori ai amenințărilor cibernetice a devenit aproape obișnuită, dar accentul pus pe sectorul industrial, și în special pe organizațiile care operează ca parte a infrastructurii naționale critice, rămâne o preocupare reală”, a spus Hull.
„Pe măsură ce 2024 se apropie de sfârșit, amenințarea globală imediată a ransomware-ului rămâne, așa că îndemnăm companiile să fie mai vigilente ca niciodată atunci când se protejează împotriva atacurilor”, a spus el. „Și, pe măsură ce intrăm în perioada de vacanță, vă rugăm să fiți în siguranță și să aveți în vedere fluxul sezonier obișnuit de e-mailuri de escrocherie și phishing, care ne afectează pe toți personal în această perioadă a anului.”
