A Ransomware-bandák új társult modellekkel fejlődnek a kiberbűnözők csalogatására
A ransomware-környezet továbbra is gyorsan fejlődik, és a Secureworks legújabb kutatásai szerint a fenyegetések szereplői vállalatszerűbb megközelítést alkalmaznak a kiberbűnözéssel kapcsolatban. Két zsarolóprogram-csoport, a DragonForce és az Anubis most olyan kibővített társult programokat kínál, amelyek a törvényes üzleti struktúrákat utánozzák – szolgáltatásajánlatokkal, rugalmas márkaépítéssel és támogatási rendszerekkel kiegészítve.
Ezek a fejlemények aggasztó trendet jeleznek a ransomware-as-a-service (RaaS) világában, amely modell máris riasztóan megkönnyítette a kevésbé képzett támadók számára, hogy pusztító ransomware kampányokat indítsanak.
Table of Contents
A DragonForce kiberbűnözési kartellel alakul
A DragonForce, egy RaaS-művelet, amely először 2023 augusztusában jelent meg, a közelmúltban „kartell” néven nevezte át magát, ami rávilágít a decentralizáltabb struktúra felé való elmozdulásra. A Secureworks Counter Threat Unit (CTU) szerint a csoport most egy egyedülálló társult modellt kínál, amely lehetővé teszi a kiberbűnözők számára, hogy saját zsarolóprogram-márkákat hozzanak létre.
Ahelyett, hogy leányvállalataitól megkövetelné a ransomware használatát, a DragonForce hozzáférést biztosít infrastruktúrájához – beleértve az adminisztrációs és ügyfélpaneleket, titkosító eszközöket, váltságdíj-tárgyaló rendszereket, adattárolási megoldásokat, egy Tor-alapú kiszivárogtató oldalt és ügyfélszolgálatot. Ez a rugalmasság a saját rosszindulatú programokkal rendelkező támadók számára vonzó, de segítségre van szükségük a logisztikával, az infrastruktúrával vagy az áldozatokkal való interakcióban.
Bár ez a modell a kiberbűnözők szélesebb körét vonzhatja, kockázatokat is rejt magában. Ha az egyik leányvállalatot feltörik, a megosztott infrastruktúrához kapcsolódó többi vállalat is ki van téve, ami az összehangolt támadások egész hálózatát bonthatja fel.
Az Anubis háromféle Ransomware-partnerséget kínál
Az Anubis, egy másik RaaS szolgáltató szintén megtöri a formát azzal, hogy három különböző társult modellt mutat be. Mindegyik más-más utat kínál a támadásokkal pénzt keresni kívánó bűnözők számára:
- Klasszikus RaaS-beállítás, amelyben a váltságdíjfizetések 80%-át a leányvállalatok tartják.
- Egy „adat váltságdíj” modell, amelyben részletes áldozatelemzéseket tesznek közzé egy jelszóval védett webhelyen, hogy rákényszerítsék az áldozatokat a fizetésre.
- Egy „hozzáférési bevételszerzési” modell, amely segít a leányvállalatoknak kizsarolni a korábban kompromittált áldozatokat, és felajánlja a váltságdíjból származó bevétel 50%-át.
Az adat váltságdíj módszere a bűnözői tartalommarketing egy formájához való hasonlóságával tűnik ki. Az Anubis üzemeltetői "nyomozó cikket" tesznek közzé az áldozat ellopott adatairól, majd privátban megosztják az áldozattal, figyelmeztetve, hogy a fizetés elmulasztása az információ nyilvánosságra kerülését eredményezi. Még a közösségi médiában való jelenlétet is felhasználták arra, hogy növeljék a nyomást, és fenyegessék az ügyfeleket és a szabályozó szerveket.
A zsarolóvírus-kezelők most úgy működnek, mint a vállalkozások
Ezek a társult modellek azt mutatják, hogy a modern ransomware csoportok egyre inkább legitim cégekként működnek. A technikai támogatástól a márka testreszabásának lehetővé tételéig a stratégiákat úgy alakították ki, hogy a potenciális támadók szélesebb körét vonzzák. Valójában a DragonForce ajánlata nagyon hasonlít egy menedzselt szolgáltatóra – leszámítva a legalitást.
Rafe Pilling, a Secureworks fenyegetés-felderítési részlegének igazgatója szerint a védőknek el kell kezdeniük üzleti egységként tekinteni a ransomware bandákra. Ezek a fenyegetett szereplők gyorsan alkalmazkodnak, keresik a bevételt, és reagálnak a számítástechnikai bűnözés ökoszisztémájában bekövetkezett változásokra, beleértve a bűnüldözést és a váltságdíjak csökkenését.
Hogyan maradhatnak védettek a szervezetek
Mivel a ransomware támadások belépési korlátja még alacsonyabbra esik, a szervezeteknek proaktív lépéseket kell tenniük védelmük megerősítésére. A Secureworks CTU a következő biztonsági intézkedéseket javasolja:
- Rendszeresen javítsa az internetre néző rendszereket
- Az adathalászat-ellenálló többtényezős hitelesítés megvalósítása
- Biztonságos, offline biztonsági mentéseket készíthet a kritikus adatokról
- Figyelje a végpontokat és a hálózatokat a szokatlan viselkedés miatt
- Részletes incidensreagálási tervet dolgozzon ki és teszteljen
A ransomware-bandák és társult modelljeik növekvő kifinomultsága egyre nagyobb fenyegetést jelent a globális kiberbiztonságra nézve. Ezeknek a műveleteknek a működésének megértése – és a rájuk való felkészülés úgy, ahogyan egy hozzáértő vállalati versenytársra készülünk – lehet a kulcsa ahhoz, hogy egy lépéssel előttünk maradjon.
