Οι συμμορίες Ransomware εξελίσσονται με νέα μοντέλα συνεργατών για να δελεάσουν κυβερνοεγκληματίες

Το τοπίο ransomware συνεχίζει να εξελίσσεται με ταχείς ρυθμούς και πρόσφατη έρευνα από την Secureworks αποκαλύπτει ότι οι φορείς απειλών υιοθετούν μια πιο εταιρική προσέγγιση στο έγκλημα στον κυβερνοχώρο. Δύο ομάδες ransomware, η DragonForce και η Anubis, προσφέρουν τώρα διευρυμένα προγράμματα θυγατρικών που μιμούνται τις νόμιμες επιχειρηματικές δομές—πλήρη με προσφορές υπηρεσιών, ευελιξία επωνυμίας και συστήματα υποστήριξης.

Αυτές οι εξελίξεις σηματοδοτούν μια ανησυχητική τάση στον κόσμο του ransomware-as-a-service (RaaS), ενός μοντέλου που έχει ήδη κάνει ανησυχητικά εύκολο για τους λιγότερο εξειδικευμένους εισβολείς να ξεκινήσουν καταστροφικές εκστρατείες ransomware.

Το DragonForce μεταμορφώνεται σε καρτέλ κυβερνοεγκλήματος

Το DragonForce, μια επιχείρηση RaaS που εμφανίστηκε για πρώτη φορά τον Αύγουστο του 2023, πρόσφατα μετονομάστηκε σε «καρτέλ», σε μια κίνηση που υπογραμμίζει τη στροφή της προς μια πιο αποκεντρωμένη δομή. Σύμφωνα με το Counter Threat Unit (CTU) της Secureworks, ο όμιλος προσφέρει τώρα ένα μοναδικό μοντέλο θυγατρικών που επιτρέπει στους εγκληματίες του κυβερνοχώρου να δημιουργούν τις δικές τους μάρκες ransomware.

Αντί να απαιτεί από τους συνεργάτες να χρησιμοποιούν το ransomware του, το DragonForce παρέχει πρόσβαση στην υποδομή του—συμπεριλαμβανομένων των πάνελ διαχειριστή και πελατών, εργαλείων κρυπτογράφησης, συστημάτων διαπραγμάτευσης λύτρων, λύσεων αποθήκευσης δεδομένων, ιστότοπου διαρροής που βασίζεται σε Tor και υποστήριξης πελατών. Αυτή η ευελιξία απευθύνεται σε επιτιθέμενους με το δικό τους κακόβουλο λογισμικό, αλλά που χρειάζονται βοήθεια με την επιμελητεία, την υποδομή ή την αλληλεπίδραση με τα θύματα.

Ενώ αυτό το μοντέλο μπορεί να προσελκύει ένα ευρύτερο φάσμα κυβερνοεγκληματιών, εισάγει επίσης κινδύνους. Εάν μια θυγατρική έχει παραβιαστεί, θα μπορούσαν επίσης να εκτεθούν άλλες συνδεδεμένες στην κοινόχρηστη υποδομή, αποκαλύπτοντας δυνητικά ολόκληρα δίκτυα συντονισμένων επιθέσεων.

Η Anubis προσφέρει τρεις γεύσεις συνεργασιών Ransomware

Η Anubis, ένας άλλος χειριστής RaaS, σπάει επίσης το καλούπι εισάγοντας τρία διαφορετικά μοντέλα θυγατρικών. Καθένα παρέχει διαφορετική διαδρομή για εγκληματίες που θέλουν να δημιουργήσουν έσοδα από επιθέσεις:

1. Μια κλασική ρύθμιση RaaS, με τις θυγατρικές εταιρείες να διατηρούν το 80% των πληρωμών λύτρων.
2. Ένα μοντέλο «λύτρων δεδομένων» όπου λεπτομερείς αναλύσεις θυμάτων δημοσιεύονται σε έναν ιστότοπο που προστατεύεται με κωδικό πρόσβασης για να πιέσουν τα θύματα να πληρώσουν.
3. Ένα μοντέλο «δημιουργίας εσόδων πρόσβασης» που βοηθά τις θυγατρικές εταιρείες να εκβιάζουν θύματα που είχαν προηγουμένως παραβιαστεί, προσφέροντας το 50% των εσόδων από λύτρα.

Η μέθοδος λύτρων δεδομένων ξεχωρίζει για την ομοιότητά της με μια μορφή εγκληματικού μάρκετινγκ περιεχομένου. Οι χειριστές της Anubis δημοσιεύουν ένα «διερευνητικό άρθρο» σχετικά με τα κλεμμένα δεδομένα του θύματος και στη συνέχεια το μοιράζονται με το θύμα ιδιωτικά, προειδοποιώντας ότι η μη πληρωμή θα έχει ως αποτέλεσμα τη δημοσιοποίηση των πληροφοριών. Έχουν χρησιμοποιήσει ακόμη και μια παρουσία στα μέσα κοινωνικής δικτύωσης για να αυξήσουν την πίεση και να απειλήσουν με αποκάλυψη σε πελάτες και ρυθμιστικούς φορείς.

Οι χειριστές ransomware λειτουργούν τώρα σαν επιχειρήσεις

Αυτά τα μοντέλα συνεργατών δείχνουν ότι οι σύγχρονες ομάδες ransomware εκτελούν όλο και περισσότερο τις δραστηριότητές τους σαν νόμιμες εταιρείες. Από την προσφορά τεχνικής υποστήριξης έως την εξατομίκευση της επωνυμίας, οι στρατηγικές έχουν σχεδιαστεί για να απευθύνονται σε ένα ευρύτερο φάσμα επίδοξων εισβολέων. Στην πραγματικότητα, η προσφορά του DragonForce μοιάζει πολύ με έναν διαχειριζόμενο πάροχο υπηρεσιών — μείον τη νομιμότητα.

Σύμφωνα με τον Rafe Pilling, Διευθυντή Threat Intelligence της Secureworks, οι υπερασπιστές θα πρέπει να αρχίσουν να βλέπουν τις συμμορίες ransomware ως επιχειρηματικές οντότητες. Αυτοί οι παράγοντες απειλών προσαρμόζονται γρήγορα, κυνηγώντας τα έσοδα και αντιδρώντας σε αλλαγές στο οικοσύστημα του εγκλήματος στον κυβερνοχώρο, συμπεριλαμβανομένων των καταστολών από την επιβολή του νόμου και της μείωσης των πληρωμών για λύτρα.

Πώς οι οργανισμοί μπορούν να παραμείνουν προστατευμένοι

Καθώς το εμπόδιο εισόδου για επιθέσεις ransomware πέφτει ακόμη χαμηλότερα, οι οργανισμοί πρέπει να λάβουν προληπτικά μέτρα για να ενισχύσουν την άμυνά τους. Η CTU της Secureworks συνιστά τα ακόλουθα μέτρα ασφαλείας:

• Επιδιορθώνετε τακτικά συστήματα που αντιμετωπίζουν το Διαδίκτυο
• Εφαρμόστε έλεγχο ταυτότητας πολλαπλών παραγόντων ανθεκτικό στο phishing
• Διατηρήστε ασφαλή, εκτός σύνδεσης αντίγραφα ασφαλείας κρίσιμων δεδομένων
• Παρακολουθήστε τα τελικά σημεία και τα δίκτυα για ασυνήθιστη συμπεριφορά
• Αναπτύξτε και δοκιμάστε ένα λεπτομερές σχέδιο αντιμετώπισης περιστατικών

Η αυξανόμενη πολυπλοκότητα των συμμοριών ransomware και των μοντέλων συνεργατών τους αντιπροσωπεύει μια αυξανόμενη απειλή για την παγκόσμια ασφάλεια στον κυβερνοχώρο. Η κατανόηση του τρόπου με τον οποίο λειτουργούν αυτές οι λειτουργίες - και η προετοιμασία για αυτές όπως θα προετοιμαζόταν κανείς για έναν έξυπνο εταιρικό ανταγωνιστή - μπορεί να είναι το κλειδί για να παραμείνετε ένα βήμα μπροστά.