Ransomwarové gangy postupně napadají stejné sítě

16. 8. 2022. (redaktor: František Doupal, zdroj: Sophos)
Firma Sophos ve své nové studii uvádí, že tři významné ransomwarové gangy Hive, LockBit a BlackCat, postupně napadly stejnou síť. První dva útoky proběhly během dvou hodin a třetí útok se uskutečnil o dva týdny později. Každý z ransomwarových gangů zanechal vlastní požadavek na výkupné a některé soubory byly trojnásobně zašifrované.

„Už jeden požadavek na výkupné je velký problém, natož tři,“ řekl John Shier, hlavní bezpečnostní poradce společnosti Sophos. „Vícenásobné útoky představují zcela novou úroveň komplikací při obnově dat, zejména pokud jsou soubory v síti zašifrovány třikrát. Kybernetická bezpečnost, která zahrnuje prevenci, detekci a reakci, je proto zásadní pro organizace jakékoli velikosti a typu – protože žádná firma není imunní.“

Spolupráce útočníků

Studie dále popisuje případy překrývajících se kybernetických útoků, včetně kryptominerů, trojských koní pro vzdálený přístup (remote access trojans, RAT) a botů. Pokud se v minulosti více útočníků zaměřilo na stejný systém, útoky obvykle probíhaly v horizontu mnoha měsíců nebo několika let. Útoky popsané v uvedeném dokumentu společnosti Sophos se odehrály v rozmezí několika dnů nebo týdnů – a v jednom případě dokonce současně – přičemž různí útočníci často přistupovali do sítě svého cíle přes stejný zranitelný vstupní bod.

Zločinecké skupiny obvykle o zdroje soupeří, což znesnadňuje souběžnou činnost více útočníků. Kryptominery obvykle likvidují své konkurenty ve stejném systému a aktéři současných RAT virů na zločineckých fórech často vyzdvihují likvidaci botů jako jednu ze svých funkcí. Při útoku zahrnujícím tři ransomwarové skupiny však například BlackCat, poslední ransomwarová skupina v systému, nejen že odstranila stopy po své vlastní činnosti, ale zahladila i činnost skupin LockBit a Hive, které do systému pronikly před ní. V jiném případě byl systém infikován ransomwarem LockBit. Zhruba o tři měsíce později pak členové skupiny Karakurt Team, která má údajně vazby na Conti, dokázali využít zadní vrátka vytvořená ransomwarem LockBit ke krádeži dat, za která pak bylo požadováno výkupné.

„Celkově se zdá, že ransomwarové skupiny nejsou vůči sobě otevřeně nepřátelské. Ve skutečnosti LockBit svým členům výslovně nezakazuje spolupracovat s konkurencí, jak je uvedeno ve studii společnosti Sophos,“ doplnil Shier. „Nemáme důkazy o spolupráci, ale je možné, že je to způsobeno tím, že si útočníci uvědomují, že na stále konkurenčnějším trhu je omezený počet zdrojů. Nebo se možná domnívají, že čím větší tlak bude na cíl vyvíjen – tedy prostřednictvím více útoků – tím pravděpodobnější bude, že oběti zaplatí. Možná také vedou jednání na vysoké úrovni a uzavírají vzájemně výhodné dohody, kdy například jedna skupina data zašifruje a druhá exfiltruje. V určitém okamžiku se tyto skupiny budou muset rozhodnout, jak se ke spolupráci postaví – zda ji budou rozvíjet, nebo se stanou více konkurenčními. Prozatím je však hrací pole pro vícenásobné útoky různých skupin otevřené.“

Bod průniku

Většina počátečních infekcí pro útoky popisované ve studii proběhla buď prostřednictvím neopravené zranitelnosti, přičemž mezi nejvýznamnější z nich patří Log4Shell, ProxyLogon a ProxyShell, nebo prostřednictvím špatně nakonfigurovaných, nezabezpečených serverů, které využívaly Remote Desktop Protocol (RDP). Ve většině případů, které zahrnovaly více útočníků, se obětem nepodařilo účinně ošetřit síť po počátečním útoku, což ponechalo otevřené dveře pro budoucí aktivity kyberzločinců. V těchto případech se stejná chybná konfigurace protokolu RDP, stejně jako aplikace jako RDWeb nebo AnyDesk, staly snadno zneužitelnou cestou pro následné útoky. Ve skutečnosti patří nezabezpečené servery RDP a VPN k nejoblíbenějším nabídkám prodávaným na dark webu.

Vícenásobné útoky na vzestupu

„Jak je uvedeno v nejnovější studii Active Adversary Playbook, v roce 2021 začala společnost Sophos pozorovat organizace, které se staly obětí více útoků současně, a naznačila, že se může jednat o rostoucí trend,“ uzavřel Shier. „Ačkoli je nárůst počtu vícenásobných útoků zatím založen na neoficiálních důkazech, dostupnost zneužitelných systémů dává kyberzločincům dostatek příležitostí, aby tímto směrem i nadále pokračovali.“

Chcete-li se dozvědět více o vícenásobných kybernetických útocích, včetně bližšího pohledu na zločinecké podsvětí a užitečných rad pro ochranu systémů před takovými útoky, přečtěte si celý dokument „Vícenásobné útoky: Zřejmé a aktuální nebezpečí“ na Sophos.com.

Štítky: 
Bezpečnost, Ransomware, Sophos
Vytisknout Poslat e-mailem Sdílet na LinkedIn

Podobné články

Celosvětové výdaje na kybernetickou bezpečnost letos vzrostou o 12,2 %

27. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
IDC očekává, že celosvětové výdaje na bezpečnost vzrostou v roce 2025 meziročně o 12,2 %. Rostoucí složitost a četnost kybernetických hrozeb - urychlená umělou inteligencí - nutí organizace přijímat pokročilejší obranná opatření. V důsledku toho se předpokládá, že výdaje na bezpečnost budou po období mezi lety 2023 až 2028 trvale růst až na 377 miliard dolarů. Čtěte více

Stabilní a odolný: Takový byl podle IDC vloni trh s bezpečnostními zařízeními

12. 3. 2025. (redaktor: František Doupal, zdroj: IDC)
Podle společnosti IDC byly celkové tržby na trhu s bezpečnostními zařízeními stabilní. Ve čtvrtém čtvrtletí roku 2024 trh vykázal 1,5% růst v tržbách a dosáhly 5,1 miliardy dolarů (meziroční nárůst 77 milionů dolarů). Z hlediska tržeb si vloni nejlépe vedl region EMEA s meziročním nárůstem o 12,4 %. Dodávky činily 1,2 milionu kusů (2,7% nárůst ve srovnání se stejným obdobím roku 2023). Čtěte více

Boris Hlinka (Synology): Partneři oceňují náš provázaný ekosystém

27. 11. 2024. (redaktor: František Doupal, zdroj: DCD Publishing)
S Borisem Hlinkou, produktovým manažerem společnosti Synology pro Českou republiku a Slovensko, jsme hovořili nejen o novinkách v portfoliu tohoto výrobce. Kromě samotných produktů jsme se zaměřili také na důležitost komplexního ekosystému, rostoucí roli modelu SaaS, význam doplňkových služeb nebo dnes všudypřítomnou umělou inteligenci. Čtěte více

Zuzana Švecová (Cisco): Dívejte se na bezpečnost očima koncového zákazníka

19. 11. 2024. (redaktor: Michala Benešovská, zdroj: DCD Publishing)
Zuzana Švecová je od září novou generální ředitelkou české pobočky společnosti Cisco. V rozhovoru jsme probrali nejen její jedenáctileté působení ve firmě, ale i priority v nové roli či technologické novinky v portfoliu Cisco. Čtěte více