A zsarolóvírusok továbbra is az egyik legnagyobb kiberbűnözési fenyegetést jelentik a szervezeteknek – derül ki a Sophos 2023 Threat Report című elemzéséből. A jelentés részletezi, hogy a kiberfenyegetések hogyan léptek új szintre a kereskedelmi alapú működés terén, illetve milyen magas szintű kényelmet nyújtanak a leendő támadóknak azzal, hogy a kiberbűnözés szolgáltatásos alapokra való kiterjesztésén keresztül a bűnelkövetés szinte minden akadályát elhárították. A jelentés arra is kitér, hogy a zsarolóvírusok továbbra is az egyik legnagyobb kiberbűnözési fenyegetést jelentik a szervezetek számára, ahogy a csalók megújítják zsaroló-technikáikat és ahogy tovább növekszik a lopott hitelesítő adatok iránti kereslet.
Az olyan alvilági bűnözői piacterek, mint a Genesis, már régóta lehetővé teszik a malware-ek és malware telepítő szolgáltatások (“malware-as-a-service”) vásárlását, valamint a lopott hitelesítő adatok és egyéb adatok nagy tételben való eladását. Az elmúlt évtizedben a zsarolóvírusok növekvő népszerűségével egy egész “zsarolóvírus-szolgáltatás” ágazat alakult ki. Most, 2022-ben ez a szolgáltatásos (“as-a-service”) modell kibővült és a kiberbűnözés eszköztárának majdnem minden része - a kezdeti fertőzésektől az észlelések elkerülésének módszereiig - megvásárolható vált.
“Ez nem csak a szokásos szituáció, mint például kártevők, illetve csaló- és adathalász készletek eladása,” mondta Sean Gallagher, a Sophos vezető fenyegetéskutatója. “A magasabb rangú kiberbűnözők most olyan eszközöket és képességeket árulnak szolgáltatásként más feleknek, amelyek korábban kizárólag a legkifinomultabb támadók kezében voltak. Például az elmúlt évben láttunk olyan OPSEC-szolgáltatás hirdetéseket, ahol az eladók az ajánlották fel, hogy segítenek a támadóknak elrejteni a Cobalt Strike-fertőzéseket, valamint láttunk szkennelő szolgáltatást, amely hozzáférést biztosít a vevőknek olyan legitim kereskedelmi forgalomban és ingyenesen is elérhető eszközökhöz, mint a Metasploit, hogy megtalálják és kihasználják a sebezhetőségeket. A kiberbűnözés szinte minden összetevőjének árult termékké tétele hatással van a fenyegetések színterére és lehetőségeket nyit meg a támadók előtt, bármilyen típusba is tartozzanak és bármilyen szintű képzettséggel is rendelkezzenek”.
A “szolgáltatásos” gazdasági ágazat terjeszkedésével az underground kiberbűnözői piacterek is egyre inkább elüzletiesednek és úgy működnek, mint a mainstream vállalkozások. A kiberbűnözéssel foglalkozó eladók nem csak saját szolgáltatásokat, hanem állásajánlatokat is hirdetnek, hogy különböző képességekkel rendelkező támadókat toborozzanak. Egyes piacterek már dedikált oldalakat is tartalmaznak, ahol állásokat hirdetnek és csapattagokat toboroznak, míg az álláskeresők összefoglalókat tesznek közzé készségeikről és képesítéseikről.
Kifinomult módszerek
Valóban, ahogy a kiberbűnözési infrastruktúra bővült, a zsarolóvírusok továbbra is rendkívül népszerűek maradtak - és rendkívül jövedelmezőek. Az elmúlt évben a zsarolóvírus-üzemeltetők azon dolgoztak, hogy kiterjesszék potenciális támadási szolgáltatásukat a Windowson kívüli platformok megcélzásával, miközben olyan új programozási nyelveket is bevezettek, mint a Rust és a Go az észlelés elkerülése érdekében. Egyes csoportok, különösen a Lockbit 3.0, diverzifikálták műveleteiket és „innovatívabb” módszereket hoztak létre az áldozatok zsarolására.
„Amikor a bűnözői alvilág növekvő kifinomultságáról beszélünk, az a zsarolóvírus világára is kiterjed. Például a Lockbit 3.0 már bug bounty programot is kínál a kártevőjéhez és a bűnözői közösségből gyűjt ötleteket (“crowd-sourcing”), hogy javítsa annak működését. Más csoportok “előfizetési modellre” tértek át az általuk birtokolt, kiszivárogtatott adatokhoz való hozzáférés biztosítása kapcsán, mások pedig elárverezték azokat. A zsarolóvírus elsősorban üzletté vált” - mondta Gallagher.
Az alvilág fejlődő gazdaságát nem csak a zsarolóvírusok és a szolgáltatásos ágazat gyarapodása ösztönzi, hanem a lopott hitelesítő adatok iránti kereslet növekedése is. A webes szolgáltatások bővülésével a különféle hitelesítő adatok, különösen a cookie-k (sütik) számos módon felhasználhatóak arra, hogy a támadók stabilabban megvessék a lábukat a hálózatokon, akár az MFA-t is megkerülve. A hitelesítő adatok ellopása pedig továbbra is az egyik legegyszerűbb módja annak, hogy a zöldfülű bűnözők bejussanak az alvilági piacterekre és elkezdjék “karrierjüket”.
Fontos trendek
Az ukrajnai háború globális következményekkel járt a kiberfenyegetések színtere számára. Közvetlenül az inváziót követően robbanásszerűen megszaporodtak a pénzügyi indíttatású csalások, míg a nacionalizmus az ukránok és az oroszok közötti bűnözői szövetségek szétszakadásához vezetett, különösen a zsarolóvírus-hez kapcsolódó felek között.
A bűnözők továbbra is kihasználják a legitim végrehajtható fájlokat és a “living off the land binaries” (LOLBins) lehetőségeket a különféle típusú támadások indítására, beleértve a zsarolóvírusokat is. Egyes esetekben a támadók legitim, ám sérülékenységet tartalmazó rendszer-illesztőprogramokat telepítenek a “bring your own driver” támadásokban, hogy megpróbálják leállítani a végponti észlelő és válaszadó termékeket az észlelés elkerülése céljából.
A mobileszközök manapság már új típusú kibertámadások középpontjában állnak. A támadók továbbra is hamis applikációkat használnak a kártevő-injektorok, illetve a spyware-ek és a banki műveletekhez kapcsolódó malware-ek célba juttatására, ám emellett a kibervisszaélések új formái is egyre népszerűbbek, mint például a “pig butchering” sémák.
A kriptobányászok egyik legnépszerűbb kriptovalutájának, a Moneronak a leértékelődése a kriptobűnözés egyik legrégebbi és legnépszerűbb típusa, a cryptomining visszaeséséhez vezetett. Ám a bányász malware-ek továbbra is terjednek automatizált “botokon” keresztül, mind Windows, mind Linux rendszereken.
