Οι συμμορίες Ransomware χρησιμοποιούν διάφορες επιχειρηματικές πρακτικές για να αυξήσουν τα κέρδη τους, καθιστώντας όλο και πιο δύσκολο για τους defenders να διακρίνουν τις διάφορες ομάδες, σύμφωνα με μια νέα έκθεση της WithSecure.

Αυτή η κίνηση προς την κατεύθυνση της αντικατοπτρισμού των νόμιμων επιχειρηματικών πρακτικών σημαίνει ότι οι τακτικές, οι τεχνικές και οι διαδικασίες (TTPs) θολώνουν, δήλωσε ο Stephen Robinson, Senior Threat Intelligence Analyst της WithSecure, κατά τη διάρκεια του Sphere23.

Για παράδειγμα, ενώ η πρόσφατη πτώση συμμοριών ransomware όπως η Conti και η Hive είναι θετική, έκτοτε έχουν εμφανιστεί περισσότερες ομάδες που χρησιμοποιούν TTP όπως η Conti. Αυτό δείχνει ότι οι μέθοδοι που χρησιμοποιούνται από αυτές τις συμμορίες μιμούνται και αντιγράφονται από άλλους φορείς.

Το underground marketplace περιλαμβάνει πλέον οντότητες όπως ομάδες ransomware-as-a-service (RaaS), initial access brokers (IAB), crypter-as-a-service (CaaS), cryptojackers και ομάδες malware-as-a-service (MaaS).

Ο Robinson σημείωσε ότι τα εθνικά κράτη χρησιμοποιούν τα εργαλεία που διατίθενται στην παράνομη αγορά για να αποκτήσουν πρόσβαση σε δίκτυα και συστήματα χωρίς να γίνουν αντιληπτά.

Σε τελική ανάλυση, αυτή η τάση επαγγελματοποίησης καθιστά την τεχνογνωσία και τους πόρους για την επίθεση σε οργανισμούς προσιτούς σε λιγότερο ειδικευμένους ή ανεπαρκώς εξοπλισμένους απειλητικούς φορείς.

Ο Robinson σημείωσε ότι τα IAB βιομηχανοποιούν το exploitation παρά τον υψηλό όγκο δραστηριότητάς τους.

Κατά τη διάρκεια μιας παρουσίασης, ο Robinson ανέδειξε ένα περιστατικό που διερευνήθηκε από την WithSecure, η οποία διαπίστωσε ότι ένας μόνο οργανισμός παραβιάστηκε από πέντε διαφορετικούς απειλητικούς φορείς, ο καθένας με διαφορετικούς στόχους και εκπροσωπώντας διαφορετικούς τύπους υπηρεσιών κυβερνοεγκλήματος.

• Το Monti ransomware group

• Qakbot MaaS

•Μια ομάδα cryptojacking γνωστή ως συμμορία 8220 (επίσης παρακολουθείται ως Returned Libra)

• Ένα ανώνυμο IAB

• Ένα υποσύνολο της Ομάδας Lazarus, μια προηγμένη απειλή που σχετίζεται με το Γενικό Γραφείο Εξωτερικών Πληροφοριών και Αναγνώρισης της Βόρειας Κορέας.

Ο Robinson σημείωσε ότι, παρά τα παραπάνω, γίνεται όλο και πιο δύσκολη η διάκριση μεταξύ των ομάδων. Αυτό θα επηρεάσει τις παραδοσιακές τεχνικές ανίχνευσης και θα πρέπει να υπάρξει ένας νέος τρόπος σκέψης για τους defenders.

Πηγή: infosecurity-magazine.com

Αφήστε ένα Σχόλιο

Το e-mail σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Διαβάστε επίσης

Η Google θα σε ενημερώνει όταν τα στοιχεία σου εμφανίζονται στην αναζήτηση

Η Google σε νέα ανάρτηση που έκανε στο Blog της, ανακοίνωσε νέα χαρακτηριστικά που θα στοχεύουν στα προσωπικά δεδομένα και την ασφάλεια στο διαδίκτυο.

Περισσότερα

Skuld malware: Κλέβει Discord και Browser data από Windows PCs

Ένα νέο κακόβουλο λογισμικό, το Skuld, έχει προσβάλει συστήματα Windows σε όλη την Ευρώπη, τη Νοτιοανατολική Ασία και τις ΗΠΑ.

Περισσότερα

Δεκάδες δημοφιλή mods του Minecraft έχουν μολυνθεί με malware

Οι λογαριασμοί CurseForge και Bukkit παραβιάστηκαν, φορτώνοντας mods με εκατομμύρια λήψεις που περιείχαν spyware.

Περισσότερα