Ransomware-gjenger utvikler seg med nye tilknyttede modeller for å lokke nettkriminelle

Ransomware-landskapet fortsetter å utvikle seg raskt, og nyere forskning fra Secureworks avslører at trusselaktører tar en mer bedriftslignende tilnærming til nettkriminalitet. To løsepengevaregrupper, DragonForce og Anubis, tilbyr nå utvidede tilknyttede programmer som etterligner legitime forretningsstrukturer – komplett med tjenestetilbud, merkevarefleksibilitet og støttesystemer.

Denne utviklingen markerer en urovekkende trend i verden av ransomware-as-a-service (RaaS), en modell som allerede har gjort det alarmerende enkelt for mindre dyktige angripere å lansere ødeleggende løsepengevarekampanjer.

DragonForce forvandles til et kartell om nettkriminalitet

DragonForce, en RaaS-operasjon som først dukket opp i august 2023, rebranded seg nylig som et "kartell" i et trekk som fremhever skiftet mot en mer desentralisert struktur. I følge Secureworks' Counter Threat Unit (CTU) tilbyr gruppen nå en unik tilknyttet modell som lar nettkriminelle lage sine egne løsepengevaremerker.

I stedet for å kreve at tilknyttede selskaper bruker løsepengevare, gir DragonForce tilgang til sin infrastruktur – inkludert admin- og klientpaneler, krypteringsverktøy, løsepengeforhandlingssystemer, datalagringsløsninger, et Tor-basert lekkasjenettsted og kundestøtte. Denne fleksibiliteten appellerer til angripere med egen skadelig programvare, men som trenger hjelp med logistikk, infrastruktur eller interaksjon med offer.

Selv om denne modellen kan tiltrekke seg et bredere spekter av nettkriminelle, introduserer den også risiko. Hvis en affiliate blir kompromittert, kan andre som er koblet til den delte infrastrukturen også bli avslørt, og potensielt løse opp hele nettverk av koordinerte angrep.

Anubis tilbyr tre varianter av Ransomware-partnerskap

Anubis, en annen RaaS-operatør, bryter også formen ved å introdusere tre distinkte tilknyttede modeller. Hver gir en annen vei for kriminelle som ønsker å tjene penger på angrep:

1. Et klassisk RaaS-oppsett, med tilknyttede selskaper som beholder 80 % av løsepenger.
2. En «data løsepenge»-modell der detaljerte offeranalyser legges ut på et passordbeskyttet nettsted for å presse ofre til å betale.
3. En "tilgangsinntektsgenerering"-modell som hjelper tilknyttede selskaper med å presse ut tidligere kompromitterte ofre, og tilbyr 50 % av løsepenger.

Løsepengemetoden skiller seg ut for sin likhet med en form for kriminell innholdsmarkedsføring. Anubis-operatører publiserer en "etterforskningsartikkel" om offerets stjålne data, og deler dem deretter med offeret privat, og advarer om at manglende betaling vil føre til at informasjonen blir offentlig. De har til og med brukt en tilstedeværelse på sosiale medier for å øke presset og true avsløring til kunder og reguleringsorganer.

Ransomware-operatører opererer nå som bedrifter

Disse tilknyttede modellene viser at moderne løsepengevaregrupper i økende grad driver sin virksomhet som legitime selskaper. Fra å tilby teknisk støtte til å tillate merketilpasning, er strategiene designet for å appellere til et bredere spekter av potensielle angripere. Faktisk ligner DragonForces tilbud mye på en administrert tjenesteleverandør – minus lovligheten.

Ifølge Rafe Pilling, direktør for Threat Intelligence hos Secureworks, bør forsvarere begynne å se løsepengergjenger som forretningsenheter. Disse trusselaktørene tilpasser seg raskt, jager inntekter og reagerer på endringer i nettkriminalitetens økosystem, inkludert lovhåndhevelse og fallende løsepenger.

Hvordan organisasjoner kan holde seg beskyttet

Når adgangsbarrieren for løsepengevare-angrep faller enda lavere, må organisasjoner ta proaktive skritt for å styrke forsvaret. Secureworks' CTU anbefaler følgende sikkerhetstiltak:

• Reparer regelmessig internettvendte systemer
• Implementer phishing-resistent multifaktorautentisering
• Oppretthold sikre, offline sikkerhetskopier av kritiske data
• Overvåk endepunkter og nettverk for uvanlig oppførsel
• Utvikle og test en detaljert hendelsesresponsplan

Den økende sofistikeringen av løsepengevaregjenger og deres tilknyttede modeller representerer en økende trussel mot global cybersikkerhet. Å forstå hvordan disse operasjonene fungerer – og forberede seg på dem slik man ville forberede seg på en erfaren bedriftskonkurrent – kan være nøkkelen til å ligge et skritt foran.