Af Eskil Sørensen, 23/05/24
Antallet af nye ransomware-stammer i omløb er mere end halveret i løbet af de sidste 12 måneder.
Det skriver The Register i en artikel med henvisning til en ny rapport fra sikkerhedsfirmaet Rapid7. I denne hedder det, at der kun blev observeret 43 nye ransomware-familier i 2023, mod 95 året før.
I analysen af disse tal vurderes det hos Rapid7, det sandsynligvis afspejler, at de eksisterende ransomware-kapaciteter er blevet mere modne og effektive. Rapporten beskriver også, at der blev udført næsten 5.600 ransomware-angreb mellem januar 2023 og februar 2024, hvorfra rapportens tal stammer. Det tilføjes, at antallet forventes dog at være væsentligt højere, da ikke alle angreb bliver rapporteret.
De mest aktive grupper i tidsrummet frem til februar 2024 er LockBit 3.0 eller LockBit Black, der har været blandt de mest produktive cyberkriminelle organisationer i de sidste fire år, men som i al fald i første omgang er blevet sat ud af spillet ved en stort anlagt international indsats i vinter. En anden kendt gruppe, der nævnes som en af de mest aktive i rapporten, er ALPHV/BlackCat, der også har været i fokus efter en politiindsats, hvor gruppens infrastruktur blev forsøgt nedtaget og nøglepersoner anholdt. Derudover nævnes også BianLian, Play, Medusa og Black Basta på listen over årets andre mest succesrige bander.
Det bliver interessant at se, om indsatserne mod LockBit og ALPHV/BlackCat har båret frugt og om der kommer færre ransomwareangreb i indeværende år.
Gammelkendte metoder
Rapporten beskriver, hvordan aktørerne kom ind og planter ransomwaren. Den mest almindelige indledende adgangsvektor var misbrug af adgangskoder, der blev udnyttet i 41 procent af tilfældene. Udnyttelse af sårbarheder tegnede sig for 30 procent af tilfældene, mens social engineering-metoder såsom phishing stod for 12 procent.
Rapporten beskriver også, at der er en stigning i angreb, hvor der har været udnyttet 0-dagssårbarheder. Denne type angreb næsten matchede sidste år ”all-time-high” i 2021. Udnyttelsen af 0-dagssårbarheder var årsag til flere hændelser sidste år end de såkaldte n-dagssårbarheder; n-dag refererer til perioden mellem en sårbarheden afsløres til berørte systemer er patchet. At det hedder n-dag er et udtryk for, at det er vilkårligt, hvornår sårbarhederne er rettet. Modsat er 0-dagssårbarheder sårbarheder i software, hvor man har haft nul dages forspring til at opdatere sine programmer.
Det er ifølge Rapid7 anden gang på tre år, dette sker, og ifølge Caitlin Condon, som er direktør for vulnerability intelligence hos Rapid7, er årsagen cyberkriminalitetens rentabilitet. "Cyberkriminalitet er rentabelt, og ligesom ethvert andet finansielt økosystem stimulerer efterspørgslen efter nye 0-dagsudnyttelser deres udvikling. Rapid7 ser jævnligt opslag på Dark Web, der efterspørger nye 0-dagsudnyttelser til populære teknologier såsom enterprise VPN'er for over 100.000 dollars. En ransomware-gruppe, der kan generere mere end 10 mio dollar ifm. globale angrebskampagner, har råd til at købe eller bestille masser af skræddersyede nye 0-dagsudnyttelser."
Endelig siger rapporten, at dataene tyder på, at angribere i stigende grad kigger på netværksenheder for at starte deres angreb i fremtiden. Antallet af udnyttelser blev næsten fordoblet sidste år, hvor 36 procent af alle udbredte fejl blev fundet i netværksenheder i perimeteren.
Links:
https://www.theregister.com/2024/05/21/with_ransomware_whales_becoming_so/