Ransomwarové gangy postupně napadají stejné sítě

16. 8. 2022. (redaktor: František Doupal, zdroj: Sophos)
Firma Sophos ve své nové studii uvádí, že tři významné ransomwarové gangy Hive, LockBit a BlackCat, postupně napadly stejnou síť. První dva útoky proběhly během dvou hodin a třetí útok se uskutečnil o dva týdny později. Každý z ransomwarových gangů zanechal vlastní požadavek na výkupné a některé soubory byly trojnásobně zašifrované.

„Už jeden požadavek na výkupné je velký problém, natož tři,“ řekl John Shier, hlavní bezpečnostní poradce společnosti Sophos. „Vícenásobné útoky představují zcela novou úroveň komplikací při obnově dat, zejména pokud jsou soubory v síti zašifrovány třikrát. Kybernetická bezpečnost, která zahrnuje prevenci, detekci a reakci, je proto zásadní pro organizace jakékoli velikosti a typu – protože žádná firma není imunní.“

Spolupráce útočníků

Studie dále popisuje případy překrývajících se kybernetických útoků, včetně kryptominerů, trojských koní pro vzdálený přístup (remote access trojans, RAT) a botů. Pokud se v minulosti více útočníků zaměřilo na stejný systém, útoky obvykle probíhaly v horizontu mnoha měsíců nebo několika let. Útoky popsané v uvedeném dokumentu společnosti Sophos se odehrály v rozmezí několika dnů nebo týdnů – a v jednom případě dokonce současně – přičemž různí útočníci často přistupovali do sítě svého cíle přes stejný zranitelný vstupní bod.

Zločinecké skupiny obvykle o zdroje soupeří, což znesnadňuje souběžnou činnost více útočníků. Kryptominery obvykle likvidují své konkurenty ve stejném systému a aktéři současných RAT virů na zločineckých fórech často vyzdvihují likvidaci botů jako jednu ze svých funkcí. Při útoku zahrnujícím tři ransomwarové skupiny však například BlackCat, poslední ransomwarová skupina v systému, nejen že odstranila stopy po své vlastní činnosti, ale zahladila i činnost skupin LockBit a Hive, které do systému pronikly před ní. V jiném případě byl systém infikován ransomwarem LockBit. Zhruba o tři měsíce později pak členové skupiny Karakurt Team, která má údajně vazby na Conti, dokázali využít zadní vrátka vytvořená ransomwarem LockBit ke krádeži dat, za která pak bylo požadováno výkupné.

„Celkově se zdá, že ransomwarové skupiny nejsou vůči sobě otevřeně nepřátelské. Ve skutečnosti LockBit svým členům výslovně nezakazuje spolupracovat s konkurencí, jak je uvedeno ve studii společnosti Sophos,“ doplnil Shier. „Nemáme důkazy o spolupráci, ale je možné, že je to způsobeno tím, že si útočníci uvědomují, že na stále konkurenčnějším trhu je omezený počet zdrojů. Nebo se možná domnívají, že čím větší tlak bude na cíl vyvíjen – tedy prostřednictvím více útoků – tím pravděpodobnější bude, že oběti zaplatí. Možná také vedou jednání na vysoké úrovni a uzavírají vzájemně výhodné dohody, kdy například jedna skupina data zašifruje a druhá exfiltruje. V určitém okamžiku se tyto skupiny budou muset rozhodnout, jak se ke spolupráci postaví – zda ji budou rozvíjet, nebo se stanou více konkurenčními. Prozatím je však hrací pole pro vícenásobné útoky různých skupin otevřené.“

Bod průniku

Většina počátečních infekcí pro útoky popisované ve studii proběhla buď prostřednictvím neopravené zranitelnosti, přičemž mezi nejvýznamnější z nich patří Log4Shell, ProxyLogon a ProxyShell, nebo prostřednictvím špatně nakonfigurovaných, nezabezpečených serverů, které využívaly Remote Desktop Protocol (RDP). Ve většině případů, které zahrnovaly více útočníků, se obětem nepodařilo účinně ošetřit síť po počátečním útoku, což ponechalo otevřené dveře pro budoucí aktivity kyberzločinců. V těchto případech se stejná chybná konfigurace protokolu RDP, stejně jako aplikace jako RDWeb nebo AnyDesk, staly snadno zneužitelnou cestou pro následné útoky. Ve skutečnosti patří nezabezpečené servery RDP a VPN k nejoblíbenějším nabídkám prodávaným na dark webu.

Vícenásobné útoky na vzestupu

„Jak je uvedeno v nejnovější studii Active Adversary Playbook, v roce 2021 začala společnost Sophos pozorovat organizace, které se staly obětí více útoků současně, a naznačila, že se může jednat o rostoucí trend,“ uzavřel Shier. „Ačkoli je nárůst počtu vícenásobných útoků zatím založen na neoficiálních důkazech, dostupnost zneužitelných systémů dává kyberzločincům dostatek příležitostí, aby tímto směrem i nadále pokračovali.“

Chcete-li se dozvědět více o vícenásobných kybernetických útocích, včetně bližšího pohledu na zločinecké podsvětí a užitečných rad pro ochranu systémů před takovými útoky, přečtěte si celý dokument „Vícenásobné útoky: Zřejmé a aktuální nebezpečí“ na Sophos.com.

Štítky: 
Bezpečnost, Ransomware, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

České podniky čelí většímu počtu kyberútoků než organizace v okolních zemích

26. 4. 2024. (redaktor: František Doupal, zdroj: Check Point)
První čtvrtletí roku 2024 přineslo další posun v kybernetických válkách. Kyberbezpečnostní společnost Check Point Software Technologies zaznamenala výrazný nárůst kyberútoků, kdy v 1. čtvrtletí 2024 došlo k 28% nárůstu průměrného počtu kybernetických útoků na jednu organizaci v porovnání s posledním čtvrtletím roku 2023. Největší nápor směřuje na vzdělávací a výzkumné organizace. Čtěte více

Eviden monitoruje na dark webu ukradená data a pomáhá tak firmám předvídat kybernetické hrozby

25. 4. 2024. (redaktor: František Doupal, zdroj: Eviden)
Eviden svým zákazníkům poskytuje službu prediktivní bezpečnosti založenou na řešení LUMINAR monitorující únik citlivých informací do prostředí dark webu. Jde o službu, která firmám na základě kontinuálního monitoringu umožňuje vyhledávat a sledovat data a informace, které by útočníci mohli zneužít pro kybernetický útok a proaktivně tak přijímat preventivní opatření. Čtěte více
Scott Tyson, ředitel prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos

Scott Tyson (Sophos): Pojďte s námi udávat trendy v kybernetické bezpečnosti

24. 4. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
Při příležitosti pražského setkání MSP partnerů jsme měli možnost hovořit se Scottem Tysonem, ředitelem prodejního kanálu MSP pro oblast EMEA ve společnosti Sophos. Mluvili jsme o spravovaných službách, řízené detekci a reakci na hrozby, budování vztahů s obchodními partnery a mnoha dalších aspektech oboru, které budou podle společnosti Sophos udávat směr vývoje celého odvětví. Čtěte více

Pět největších trendů v oblasti SASE pro rok 2024

19. 4. 2024. (redaktor: František Doupal, zdroj: Fortinet)
Situace na poli kyberbezpečnosti je komplikovaná. Společnosti využívají tzv. hybridní pracovní sílu, desítky aplikací a třeba i řadu IoT zařízení. Jedním z řešení možných otázek může být přístup SASE (Secure Access Service Edge), na který se v následujícím komentáři zaměřila společnost Fortinet. Čtěte více