À medida que as equipes de ransomware vão além de apenas criptografar os arquivos das vítimas e exigir um pagamento para desbloqueá-los, passando a roubar informações confidenciais imediatamente, algumas das organizações criminosas mais experientes estão desenvolvendo malware personalizado para roubar seus dados.
Em um relatório publicado na quarta-feira pela Cisco Talos, a unidade de inteligência de ameaças revisou os 14 principais grupos de ransomware e analisou suas táticas, técnicas e procedimentos (TTPs). A Talos selecionou os 14 com base no volume e impacto dos ataques e “comportamento atípico do ator de ameaças”, usando dados dos sites de vazamento dos criminosos, rastreamento interno e outros relatórios de código aberto.
Os 14, listados aqui por número de vítimas em seus respectivos sites de humilhação, são os que você provavelmente esperaria: LockBit, ALPHV, Play, 8base, BlackBasta, BianLian, CLOP, Cactus, Medusa, Royal/Blacksuit, Rhysida, Hunters International, Akira e Trigona.
“No ano passado, testemunhamos grandes mudanças no espaço do ransomware com o surgimento de vários novos grupos de ransomware, cada um exibindo objetivos, estruturas operacionais e vitimologia exclusivos”, afirmam os autores do relatório. observação.
“A diversificação destaca uma mudança em direção a atividades cibercriminosas mais específicas, à medida que grupos como Hunters International, Cactus e Akira conquistam nichos específicos, concentrando-se em objetivos operacionais distintos e escolhas estilísticas para se diferenciar”, acrescentam.
Além disso, à medida que muitas gangues recorrem a táticas de dupla extorsão, como vimos nos recentes ataques de alto perfil contra o Hospitais de Londres prestador de serviços de patologia Synnovis e Casa de leilões Christie’sentre outras, algumas operações mais estabelecidas de ransomware como serviço estão desenvolvendo malware personalizado para exfiltração de dados, de acordo com Talos.
Usando esse tipo de tática, os bandidos primeiro invadem a rede de suas vítimas, bisbilhotam e roubam arquivos valiosos, e só então criptografam os dados na rede. Geralmente, eles também publicam os nomes das vítimas em seus sites de vazamento, extorquem (ou pelo menos tentam extorquir) as organizações por grandes somas de dinheiro, e então, se e quando as negociações fracassarem, os criminosos vazarão uma amostra dos dados roubados para aumentar ainda mais a pressão sobre as vítimas para pagar o pedido de resgate.
Byte preto e Bloqueio de bits estão entre essas equipes mais maduras de ransomware como serviço, oferecendo ferramentas personalizadas de exfiltração de dados para seus afiliados.
“A ferramenta de exfiltração Exbyte personalizada da BlackByte tem como alvo hosts Windows escritos na linguagem de programação Go e facilita a transferência de arquivos roubados para um servidor externo ou serviços de armazenamento em nuvem”, disse James Nutland, analista de segurança da informação da Cisco Talos. O registro.
“Intercâmbio é usado por atores do BlackByte e incorpora várias técnicas de evasão para evitar a detecção por ferramentas de segurança, como testar se está sendo executado em um ambiente de sandbox”, acrescentou.
Enquanto isso, o LockBit, antes de ser desmontado por policiais internacionais em fevereiro, tinha seu próprio proprietário Malware StealBit.
“O StealBit foi criado para maximizar a eficiência geral das atividades de exfiltração de dados para afiliados da LockBit, encurtando o tempo de roubo de dados”, disse Nutland. “A ferramenta opera de forma semelhante a aplicativos legítimos em um host, com uma interface gráfica de usuário, incluindo a capacidade de arrastar e soltar arquivos dos atores escolhidos.”
Normalmente, as gangues seguem uma cadeia de ataque semelhante, começando com o acesso inicial e, em seguida, estabelecendo persistência no ambiente da vítima. A partir daí, eles bisbilhotam dados e credenciais valiosos para roubar e usam esse acesso para se mover lateralmente e escalar privilégios para que possam se aprofundar mais na rede. Finalmente, eles copiam os dados escolhidos e, em seguida, implantam o código de criptografia do ransomware.
Eles tendem a obter acesso inicial à rede alvo usando uma combinação de engenharia social, varredura de rede e outras pesquisas disponíveis publicamente para aprender sobre suas vítimas e a melhor forma de invadir seus sistemas.
Os criminosos “mais prolíficos” em cena priorizam “obter acesso inicial às redes alvos, sendo contas válidas o mecanismo mais comum”, de acordo com a pesquisa, e uma das maneiras pelas quais os criminosos obtêm essas credenciais de contas legítimas é usando malware infostealer.
Foi o que aconteceu recentemente Incidentes de roubo de dados de clientes da Snowflake — e vale a pena notar que essas organizações vítimas não tinham autenticação multifator ativada. Outras lojas de segurança também destacaram uma aumento no uso de infostealer entre equipes de ransomware no ano passado.
“Infostealers são uma ferramenta frequentemente utilizada por corretores de acesso inicial para coletar credenciais e dados pessoais de vítimas, que são então vendidos como despejos de credenciais na dark web”, disse Nutland.
“Essas credenciais fornecem aos afiliados de ransomware, entre outros criminosos cibernéticos, uma fonte potencial de acesso facilmente obtida aos sistemas e redes visados, facilitando o comprometimento inicial.”
Outra tendência que a Cisco Talos diz ecoar seu Year in Review anterior relatório [PDF]é que as equipes de ransomware “aplicam um foco significativo em táticas de evasão de defesa para aumentar o tempo de permanência nas redes das vítimas”, nos disseram. Essas táticas incluem o uso de ferramentas para desabilitar ou modificar antivírus ou detecção de endpoint, bem como recursos do sistema operacional destinados a detectar payloads de ransomware. ®
