Microsoft 2024 Q4 ransomware összefoglaló
A Microsoft Threat Intelligence 2024. negyedik negyedévében olyan fejleményeket figyelt meg a ransomware ökoszisztémában, amelyekre a kutatóknak és a kibervédelmi szakembereknek 2025-ben figyelniük kell. A sérülékenységek kihasználása továbbra is a kezdeti hozzáférés kulcsfontosságú módszere marad. Októberben a – fájlátviteli szoftverekben lévő zero-dayek kihasználásáról ismert – Lace Tempest kiberszereplő Cleo termékek sérülékenységeinek (CVE-2024-50623, CVE-2024-55956) kihasználását figyelték meg. A kihasználási tevékenység decemberben megnövekedett, és a korábbi kampányokhoz hasonlóan a Lace Tempest a Clop szivárogtató webhelyen keresztül kettős zsarolást hajtott végre.
A ransomware szivárogtató weboldalak közül azonban a RansomHubon volt a legnagyobb aktivitás. A RansomHub először 2024 februárjában jelent meg, a rendkívül népszerű LockBit megzavarását követően számos kiberszereplő gyorsan át is vett. Decemberben azonban a LockBit üzemeltetői bejelentették a ransomware új verzióját, a LockBit 4-et. A Microsoft elemzői megjegyezték, hogy a LockBit 4 a felderítés kikerülése, az antianalízis és a titkosítás terén elért fejlesztések mellett rendelkezik egy „csendes üzemmód” funkcióval is. Ez az üzemmód lehetővé teheti a kiberszereplők számára, hogy olyan támadásokat indítsanak, amelyekben a fájlkiterjesztések és a módosítási idők a titkosítás után is megmaradnak, és a váltságdíjfizetési feljegyzéseket nem helyezik el az áldozat hálózatán, ami kihívást jelent a felderítés és a nyomozás számára. Bár a Microsoft nem észlelte a LockBit 4 széles körű használatát, az elemzőknek és a védekezőknek érdemes figyelemmel kísérniük.
A social engineering továbbra is elterjedt kezdeti hozzáférési módszer. Az utolsó negyedévben a Storm-1674 és a Storm-1811 kiberszereplők továbbra is folytatták az adathalász és vishing kampányokat a Microsoft Teams-on keresztül, informatikai és help desk személyzetnek adva ki magukat, majd a Quick Assist és más eszközökkel visszaélve távoli hozzáférést biztosító trójaiakat (RAT) telepítettek. A Storm-1674 egy hozzáférés-közvetítő, amely a DarkGate, a SectopRAT és a Zloader terjesztéséről ismert, és hozzáférést adott át olyan kiberszereplőknek, mint a Storm-0506 és a Sangria Tempest. A Storm-1811 egy olyan kiberszereplő, amely a Qakbot és más rosszindulatú programok segítségével a BlackBasta telepítéséhez vezető social engineering támadásokról ismert. Október végén és november elején megfigyelték, hogy a Storm-1811 a célzott e-mail címeket spamekkel árasztotta el (e-mail bombing), mielőtt a help desk személyzetének adta ki magát, és felajánlotta, hogy segít a spam-probléma megoldásában. Ebben a kampányban a Storm-1811 egy új, ReedBed nevű rosszindulatú program betöltőt használt.
A Microsoft Defender adatai szerint 2024 utolsó negyedévében a legelterjedtebb zsarolóvírusváltozatok az Akira, a FOG, a Qilin, a Lynx, valamint a RansomHub és BlackBasta voltak. Ebben az időszakban jelentek meg a SafePay és a Hellcat új ransomware változatok is.
