Ransomwarové gangy postupně napadají stejné sítě

16. 8. 2022. (redaktor: František Doupal, zdroj: Sophos)
Firma Sophos ve své nové studii uvádí, že tři významné ransomwarové gangy Hive, LockBit a BlackCat, postupně napadly stejnou síť. První dva útoky proběhly během dvou hodin a třetí útok se uskutečnil o dva týdny později. Každý z ransomwarových gangů zanechal vlastní požadavek na výkupné a některé soubory byly trojnásobně zašifrované.

„Už jeden požadavek na výkupné je velký problém, natož tři,“ řekl John Shier, hlavní bezpečnostní poradce společnosti Sophos. „Vícenásobné útoky představují zcela novou úroveň komplikací při obnově dat, zejména pokud jsou soubory v síti zašifrovány třikrát. Kybernetická bezpečnost, která zahrnuje prevenci, detekci a reakci, je proto zásadní pro organizace jakékoli velikosti a typu – protože žádná firma není imunní.“

Spolupráce útočníků

Studie dále popisuje případy překrývajících se kybernetických útoků, včetně kryptominerů, trojských koní pro vzdálený přístup (remote access trojans, RAT) a botů. Pokud se v minulosti více útočníků zaměřilo na stejný systém, útoky obvykle probíhaly v horizontu mnoha měsíců nebo několika let. Útoky popsané v uvedeném dokumentu společnosti Sophos se odehrály v rozmezí několika dnů nebo týdnů – a v jednom případě dokonce současně – přičemž různí útočníci často přistupovali do sítě svého cíle přes stejný zranitelný vstupní bod.

Zločinecké skupiny obvykle o zdroje soupeří, což znesnadňuje souběžnou činnost více útočníků. Kryptominery obvykle likvidují své konkurenty ve stejném systému a aktéři současných RAT virů na zločineckých fórech často vyzdvihují likvidaci botů jako jednu ze svých funkcí. Při útoku zahrnujícím tři ransomwarové skupiny však například BlackCat, poslední ransomwarová skupina v systému, nejen že odstranila stopy po své vlastní činnosti, ale zahladila i činnost skupin LockBit a Hive, které do systému pronikly před ní. V jiném případě byl systém infikován ransomwarem LockBit. Zhruba o tři měsíce později pak členové skupiny Karakurt Team, která má údajně vazby na Conti, dokázali využít zadní vrátka vytvořená ransomwarem LockBit ke krádeži dat, za která pak bylo požadováno výkupné.

„Celkově se zdá, že ransomwarové skupiny nejsou vůči sobě otevřeně nepřátelské. Ve skutečnosti LockBit svým členům výslovně nezakazuje spolupracovat s konkurencí, jak je uvedeno ve studii společnosti Sophos,“ doplnil Shier. „Nemáme důkazy o spolupráci, ale je možné, že je to způsobeno tím, že si útočníci uvědomují, že na stále konkurenčnějším trhu je omezený počet zdrojů. Nebo se možná domnívají, že čím větší tlak bude na cíl vyvíjen – tedy prostřednictvím více útoků – tím pravděpodobnější bude, že oběti zaplatí. Možná také vedou jednání na vysoké úrovni a uzavírají vzájemně výhodné dohody, kdy například jedna skupina data zašifruje a druhá exfiltruje. V určitém okamžiku se tyto skupiny budou muset rozhodnout, jak se ke spolupráci postaví – zda ji budou rozvíjet, nebo se stanou více konkurenčními. Prozatím je však hrací pole pro vícenásobné útoky různých skupin otevřené.“

Bod průniku

Většina počátečních infekcí pro útoky popisované ve studii proběhla buď prostřednictvím neopravené zranitelnosti, přičemž mezi nejvýznamnější z nich patří Log4Shell, ProxyLogon a ProxyShell, nebo prostřednictvím špatně nakonfigurovaných, nezabezpečených serverů, které využívaly Remote Desktop Protocol (RDP). Ve většině případů, které zahrnovaly více útočníků, se obětem nepodařilo účinně ošetřit síť po počátečním útoku, což ponechalo otevřené dveře pro budoucí aktivity kyberzločinců. V těchto případech se stejná chybná konfigurace protokolu RDP, stejně jako aplikace jako RDWeb nebo AnyDesk, staly snadno zneužitelnou cestou pro následné útoky. Ve skutečnosti patří nezabezpečené servery RDP a VPN k nejoblíbenějším nabídkám prodávaným na dark webu.

Vícenásobné útoky na vzestupu

„Jak je uvedeno v nejnovější studii Active Adversary Playbook, v roce 2021 začala společnost Sophos pozorovat organizace, které se staly obětí více útoků současně, a naznačila, že se může jednat o rostoucí trend,“ uzavřel Shier. „Ačkoli je nárůst počtu vícenásobných útoků zatím založen na neoficiálních důkazech, dostupnost zneužitelných systémů dává kyberzločincům dostatek příležitostí, aby tímto směrem i nadále pokračovali.“

Chcete-li se dozvědět více o vícenásobných kybernetických útocích, včetně bližšího pohledu na zločinecké podsvětí a užitečných rad pro ochranu systémů před takovými útoky, přečtěte si celý dokument „Vícenásobné útoky: Zřejmé a aktuální nebezpečí“ na Sophos.com.

Štítky: 

Podobné články

Nová aliance All4Cyber chce bojovat proti kybernetickým hrozbám

30. 5. 2024. (redaktor: František Doupal, zdroj: All4Cyber)
V době, kdy se otázka kybernetické bezpečnosti stává stále zásadnějším momentem každodenní reality jednotlivců i organizací, vstupuje na český trh aliance All4Cyber. Zakládajícími členy All4Cyber jsou renomované společnosti Antesto, CNS, DATASYS, DATRON, IdStory a TeskaLabs. Čtěte více

ESET vydal zprávu o aktivitách státy podporovaných útočníků. Nejvíce operací bylo spojeno s Ruskem

27. 5. 2024. (redaktor: František Doupal, zdroj: Eset)
Nejnovější zpráva společnosti ESET, APT Activity Report, shrnuje zásadní aktivity útočných skupin, které byly sledovány bezpečnostními experty společnosti od října 2023 do konce března 2024. Hlavními cíli většiny útočných kampaní byly vládní organizace. Skupiny napojené na Rusko se zaměřily na špionáž v Evropské unii a pokračovaly také v útocích proti Ukrajině. Čtěte více

Útočníci zneužívali tzv. „Cat-Phishing“, falešné faktury, či legitimní mechanismus BITS

24. 5. 2024. (redaktor: František Doupal, zdroj: HP Inc.)
Čtvrtletní zpráva HP Wolf Security Threat Insights odhaluje, že útočníci aktuálně zneužívají otevřené přesměrování, falešné faktury a techniky využívající regulérní prostředky systému. Čtěte více

Průměrná česká společnost nyní čelí v průměru více než 2 000 útoků týdně

23. 5. 2024. (redaktor: František Doupal, zdroj: Check Point)
Kyberbezpečnostní společnost Check Point Software Technologies upozorňuje, že od začátku letošního roku vidíme další prudký nárůst kyberútoků. V dubnu čelily české společnosti v průměru enormním 2 000 kyberútokům týdně. Přitom průměr za první tři měsíce byl „pouze“ 1 570 kyberútoků týdně na jednu českou organizaci. Čtěte více