Volumul înregistrat de atacuri ransomware a crescut cu 19% în octombrie 2024, până la un total de 468 de incidente în întreaga lume, un număr semnificativ dintre acestea în SUA, unde controversatele alegeri prezidențiale probabil i-au încurajat pe actorii amenințărilor vorbitori de limbă rusă să lovească, potrivit ultimului raport lunar al NCC Group, „Threat”.
Deși amploarea tentativelor de intervenție a statului rus în procesul electoral din SUA nu este încă pe deplin cunoscută, șeful NCC al departamentului de informații despre amenințări, Matt Hull, a spus că nu a fost nicio surpriză în ultimele câteva săptămâni înainte ca sondajul din 5 noiembrie să fi văzut o creștere a activității amenințărilor. .
„Motivațiile geopolitice, precum alegerile din SUA, au arătat că state naționale precum Rusia continuă să aibă o influență puternică asupra volumului global de atacuri cibernetice”, a spus el. „Datele arată că asistăm la o dinamică în schimbare a peisajului amenințărilor, cu statele naționale și grupurile criminale organizate colaborând din ce în ce mai mult”, a spus Hull. „Întrucât diferiți actori amenințări își valorifică reciproc resursele, este esențial pentru organizații să se asigure că sunt în fruntea practicilor fundamentale de securitate, cum ar fi gestionarea parolelor, securitatea punctelor terminale și autentificarea cu mai mulți factori.”
Într-adevăr, împărțită după geografie, regiunea Americii de Nord – care include și țări precum Canada și Mexic – a reprezentat 272, sau 56%, din atacurile ransomware înregistrate. În comparație, 97 de atacuri, 20%, au victimizat organizații din Europa, așa că, în total, peste trei sferturi din toate atacurile ransomware observate luna trecută au vizat aceste două regiuni.
Desigur, acest lucru nu este pentru a exclude restul lumii și, în special, un atac a demonstrat în mod adecvat aparenta estompare a liniilor dintre statele naționale și criminalii organizați. Acesta a fost un incident în care sistemele gigantului japonez de electronice Casio au fost afectate de ransomware-ul Underground, care este legat de grupul rus de criminalitate cibernetică Storm-0978 sau RomCom.
Atacul dublu de extorcare a vizat datele angajaților, candidaților și partenerilor de afaceri și a cauzat întreruperi și întreruperi ale serviciilor. Probabil a început prin CVE-2023-36884, un vuln de execuție de cod de la distanță în Microsoft Office despre care se știe că a fost vizat de actori de stat ruși; și conform NCC, se crede că RomCom este una dintre numeroasele bande care efectuează atacuri în numele Kremlinului.
NCC a spus că tensiunea geopolitică tot mai mare dintre Rusia și Japonia a adăugat un strat „convingător” incidentului. Rusia, care deține insula Sakhalin – parte a patriei ancestrale a poporului indigen Ainu din Japonia – și insulele Kurile din apropiere, de la sfârșitul celui de-al Doilea Război Mondial, se crede că sunt preocupate de colaborarea militară din ce în ce mai mare a Japoniei cu alianța NATO. , iar Moscova a protestat împotriva unui exercițiu militar comun recent, Keen Sword 2024, între SUA și Japonia.
„Aceste activități militare și postura de apărare consolidată a Japoniei ar fi putut contribui la o creștere a tacticilor agresive din partea entităților cibernetice afiliate Rusiei”, au scris autorii raportului.
Atacurile asupra companiilor japoneze ar putea servi ca o formă de presiune sau de răzbunare, semnalând nemulțumirea Rusiei față de strategiile de apărare ale Japoniei. Prin țintirea unor întreprinderi cheie japoneze, Rusia, prin intermediul unor grupuri criminale cibernetice afiliate, ar putea urmări să perturbe stabilitatea economică și să proiecteze puterea fără o confruntare militară deschisă.
Situația arată complexitatea războiului cibernetic modern, în care întreprinderile criminale și actorii susținuți de stat ar putea urmări atât obiective financiare, cât și strategice… Ca atare, întreprinderile ar trebui să cuprindă o varietate de amenințări, tradiționale și susținute de stat, în strategia lor de apărare.
În ceea ce privește cei mai prolifici operatori de ransomware, RansomHub a fost cel care și-a continuat dominația ca cea mai activă bandă în octombrie, asumându-și responsabilitatea pentru 68 de atacuri, deși aceasta a scăzut puțin față de luna anterioară.
Locul al doilea a fost deținut de Play, care a reprezentat aproximativ 55 de atacuri; urmat de Killsec, cu intre 30 si 40; Sarcom, cu aproximativ 30; și Meow, cu vreo 25.
Restul celor mai active 10 operațiuni luna trecută au fost Fog, Hunters, ElDorado, Medusa și BlackSuit.
În general, sectorul industrial, care include operatorii de infrastructură națională critică (CNI), a rămas cel mai vizat, reprezentând 148, sau 30%, dintre atacurile observate. Consumar a urmat sectorul discreționar (retail), cu 100 de atacuri; iar sectorul sănătății a reprezentat 55.
„După cum sa demonstrat prin concentrarea asupra CNI, atacurile devin mai puțin aleatorii și mai direcționate către organizațiile care vor avea un impact maxim”, a spus Hull. „Cei care se bazează pe „uptime” și dețin cantități mari de proprietate intelectuală sau informații de identificare personală sunt ținte de mare valoare.”
