Ransomware-bander udvikler sig med nye affilierede modeller for at lokke cyberkriminelle
Ransomware-landskabet fortsætter med at udvikle sig hurtigt, og nyere forskning fra Secureworks afslører, at trusselsaktører tager en mere virksomhedslignende tilgang til cyberkriminalitet. To ransomware-grupper, DragonForce og Anubis, tilbyder nu udvidede affilierede programmer, der efterligner legitime forretningsstrukturer – komplet med servicetilbud, branding-fleksibilitet og supportsystemer.
Denne udvikling markerer en bekymrende tendens i verden af ransomware-as-a-service (RaaS), en model, der allerede har gjort det alarmerende nemt for mindre dygtige angribere at lancere ødelæggende ransomware-kampagner.
Table of Contents
DragonForce forvandles til et cyberkriminalitetskartel
DragonForce, en RaaS-operation, der først dukkede op i august 2023, omdøbte for nylig sig selv til et "kartel" i et træk, der fremhæver dets skift mod en mere decentral struktur. Ifølge Secureworks' Counter Threat Unit (CTU) tilbyder gruppen nu en unik affiliatemodel, der lader cyberkriminelle skabe deres egne ransomware-mærker.
I stedet for at kræve, at tilknyttede selskaber skal bruge sin ransomware, giver DragonForce adgang til sin infrastruktur – inklusive admin- og klientpaneler, krypteringsværktøjer, løsesumsforhandlingssystemer, datalagringsløsninger, et Tor-baseret lækagested og kundesupport. Denne fleksibilitet appellerer til angribere med deres egen malware, men som har brug for hjælp til logistik, infrastruktur eller offerinteraktion.
Selvom denne model kan tiltrække en bredere vifte af cyberkriminelle, introducerer den også risici. Hvis en affiliate er kompromitteret, kan andre, der er forbundet til den delte infrastruktur, også blive afsløret, hvilket potentielt optrævler hele netværk af koordinerede angreb.
Anubis tilbyder tre varianter af Ransomware-partnerskaber
Anubis, en anden RaaS-operatør, bryder også formen ved at introducere tre forskellige affiliate-modeller. Hver giver en anden vej for kriminelle, der ønsker at tjene penge på angreb:
- En klassisk RaaS-opsætning, hvor tilknyttede selskaber beholder 80 % af løsesumsbetalingerne.
- En "data løsesum"-model, hvor detaljerede offeranalyser bliver lagt ud på et password-beskyttet websted for at presse ofrene til at betale.
- En "adgangsindtægtsgenerering"-model, der hjælper tilknyttede virksomheder med at afpresse tidligere kompromitterede ofre, og tilbyder 50 % af løsesumsindtægterne.
Data løsesum-metoden skiller sig ud for sin lighed med en form for kriminel indholdsmarkedsføring. Anubis-operatører udgiver en "undersøgelsesartikel" om ofrets stjålne data, og deler dem derefter med offeret privat og advarer om, at manglende betaling vil resultere i, at informationen bliver offentlig. De har endda brugt en tilstedeværelse på sociale medier til at øge presset og true afsløring til kunder og regulerende organer.
Ransomware-operatører fungerer nu som virksomheder
Disse affilierede modeller viser, at moderne ransomware-grupper i stigende grad kører deres aktiviteter som legitime virksomheder. Fra at tilbyde teknisk support til at tillade brandtilpasning, strategierne er designet til at appellere til en bredere vifte af potentielle angribere. Faktisk minder DragonForces tilbud meget om en administreret tjenesteudbyder – minus lovligheden.
Ifølge Rafe Pilling, direktør for Threat Intelligence hos Secureworks, bør forsvarere begynde at se ransomware-bander som forretningsenheder. Disse trusselsaktører tilpasser sig hurtigt, jagter indtægter og reagerer på ændringer i cyberkriminalitetens økosystem, herunder lovhåndhævelse og faldende løsepengebetalinger.
Hvordan organisationer kan forblive beskyttet
Da adgangsbarrieren for ransomware-angreb falder endnu lavere, skal organisationer tage proaktive skridt for at styrke deres forsvar. Secureworks' CTU anbefaler følgende sikkerhedsforanstaltninger:
- Reparer jævnligt internet-vendte systemer
- Implementer phishing-resistent multifaktorgodkendelse
- Oprethold sikre, offline sikkerhedskopier af kritiske data
- Overvåg endepunkter og netværk for usædvanlig adfærd
- Udvikle og test en detaljeret hændelsesresponsplan
Den stigende sofistikering af ransomware-bander og deres tilknyttede modeller repræsenterer en voksende trussel mod global cybersikkerhed. At forstå, hvordan disse operationer fungerer – og at forberede sig på dem, som man ville forberede sig på en erfaren virksomhedskonkurrent – kan være nøglen til at være et skridt foran.
