2024-es ransomware jelentés (Cyberint)
2024-ben a globális ransomware támadások száma 5414 volt, ami 11%-os növekedést jelent 2023-hoz képest. A lassú kezdés után a támadások megugrása volt megfigyelhető a második és a negyedik negyedévben. Az utolsó negyedév 1827 regisztrált incidense az év összes incidensének 33%-a volt. A LockBithez hasonló nagy csoportok elleni bűnüldözési intézkedések széttöredezettséget okoztak, ami nagyobb versenyhez és a kisebb csoportok számának növekedéséhez vezetett. Az aktív ransomware csoportok száma 40%-kal ugrott meg, a 2023-as 68-ról 2024-ben 95-re. 2023-ban még csak 27 új csoport volt. 2024-ben drámai növekedés következett be, 46 új csoportot azonosítottak, 2024 negyedik negyedévében már 48 új csoport volt aktív.
A 2024-ben azonosított 46 új ransomware csoport közül a RansomHub vált dominánssá, amely meghaladta a LockBit aktivitását.
A Cyberint jelentése szerint a top 10 legaktívabb ransomware csoport áldozatok szerinti sorrendben:
RansomHub (531), LockBit 3.1 (522), Play (355), Akira (315), Hunters (227), Medusa (211), BlackBasta (183), Qilin (182), BianLian (168), INC Ransom (159).
A Cyberint blogbejegyzése 3 új szereplőt, a RansomHub-ot, a Fog-ot és a Lynx-et elemzi részletesen, és megvizsgálja a 2024-es hatásukat, valamint elmélyül az eredetükben és a TTP-jükben.
Ransomhub
2024-ben a RansomHub volt a vezető ransomware csoport, amely a 2024. februári működésének kezdete óta 531 ismert támadást hajtott végre a leak oldala szerint. Az ALPHV FBI általi megzavarását követően a RansomHubot tekintik a csoport „szellemi utódjának”, amelybe potenciálisan korábbi affiliate-ek is bekapcsolódhattak. A Ransomware-as-a-Service (RaaS) szolgáltatásként működő RansomHub szigorú partneri megállapodások alapján működik, és azokat szigorúan be is tartatja, ellenkező esetben megszünteti a partnerséget . A csoport a váltságdíj 90/10 arányú megosztását kínálja az ügyfeleknek. A RansomHub elkerüli a FÁK-országok, Kuba, Észak-Korea, Kína és a nonprofit szervezetek megcélzását, és a hagyományos orosz ransomware-ek jellemzőit mutatja. Az orosz kötődésű nemzetek elkerülése és a megcélzott vállalatokban más orosz ransomware csoportokkal való átfedés miatt valószínűsíthető, hogy a csoport kapcsolatban áll az orosz kiberbűnözői ökoszisztémával. A Cyberint 2024. augusztusi megállapításai szerint az áldozatok mindössze 11,2%-a fizetett (190-ből 20), és a tárgyalások során gyakran csökkentették a követeléseket. A RansomHub a támadások mennyiségét helyezi előtérbe a fizetési rátával szemben.
Fog Ransomware
A Fog ransomware 2024. április elején jelent meg, és lopott VPN-csatlakozási adatokat kihasználva amerikai oktatási hálózatokat célzott meg. Kettős zsarolási stratégiát alkalmaznak, és egy TOR-alapú leak oldalon teszik közzé a megszerzett adatokat, ha az áldozatok nem fizetnek. 2024-ben világszerte 87 szervezetet érintett a Fog tevékenysége. Egy 2024 novemberében készült Arctic Wolf jelentés szerint a Fog legalább 30 behatolást kezdeményezett, mindegyiket a SonicWall kompromittált VPN-fiókjain keresztül. Figyelemre méltó, hogy e behatolások 75%-a az Akirához kapcsolódott, a többi a Fognak tulajdonítható, ami közös infrastruktúrára és együttműködésre utal.
A Fog elsősorban az oktatást, az üzleti szolgáltatásokat, a turizmust és a gyártást veszi célba az Egyesült Államokra összpontosítva. A jelentés szerint a Fog egyike azon kevés ransomware csoportnak, amely az oktatási szektort tekintik elsődleges célpontnak. A Fog ransomware esetében a legrövidebb megfigyelt idő a kezdeti hozzáféréstől a titkosításig mindössze két óra volt. Tevékenysége a tipikus ransomware támadási láncot követik, úgy, mint a hálózat enumerálás, oldalirányú mozgás, titkosítás és az adatok kiszivárogtatása.
Lynx
A Lynx egy kettős zsarolás alapú ransomware csoport, amely az utóbbi időben nagyon aktív volt, és számos áldozatot sorolt fel a weboldalán. Állításuk szerint kerülik a kormányzati szervezeteket, kórházakat, nonprofit csoportokat és más alapvető társadalmi szektorok szereplőit. Amint hozzáférést szereznek egy rendszerhez, a Lynx titkosítja a fájlokat, a „.LYNX” kiterjesztést csatolva. Ezután egy „README.txt” nevű váltságdíjfizetési feljegyzést helyeznek el több könyvtárban. Csak 2024-ben a Lynx több mint 70 áldozatot követelt, ami bizonyítja folyamatos aktivitásukat és jelentős jelenlétüket a ransomware piacon.
