Ransomware Tool Matrix frissítés
Még 2024-ben készített és tette közzé BushidoToken a Ransomware Tool Matrix-ot, amiről tavaly nyáron a YANAC-on is megjelent egy rövid hír. A kiberbiztonsági szakember most frissítette a Ransomware Tool Matrix-ot (RTM), valamint a Ransomware Vulnerability Matrix-ot (RVM) is. A Matrix OSINT kutatásokból származó, összeállított, közvetlenül a fenyegetésvadászatban, a felderítési tervezésben és az incidensreagálási műveletekben alkalmazható, egyszerű meglátásokat kínál. A Ransomware Tool Matrix-ot úgy tervezték, hogy fejlődő forrás legyen, amelyet rendszeresen frissítenek a legfrissebb fenyegetési információkkal, amint új információk válnak elérhetővé a ransomware TTP-kről.
A LockBit elleni Operation Cronos és az ALPHV/BlackCat által végrehajtott kilépési átverés hatására a ransomware ökoszisztéma a szokásosnál is instabilabbá vált. A kilépési csalások és a bűnüldöző szervek beszivárgási műveletei egyfajta zero trust környezetet teremtettek a zsarolóvírus piacon jelenlévő kiberbűnözők számára. Úgy tűnik, régen elmúltak azok az idők, amikor a partnerek egy RaaS-platformban bíztak, és sokan folyamatosan váltanak egyik RaaS-ről a másikra – áll a blogbejegyzésben. Az RTM-et a különböző cégek és vendorok kiberbiztonsági kutatói által megosztott OSINT jelentések alapján frissítették. Ezekkel a jelentésekkel kapcsolatban kiemelte a szakember, hogy az eszközhasználat kissé elavult a Matrix-ban, mivel az incidensreagáló csapatoknak időbe telik egy vizsgálat lezárása, a megállapítások összeállítása és a jelentés közzététele.
A jelentések alapján az olyan fenyegető csoportok, mint a Qilin, BlackSuit, RansomEXX, Medusa, BianLian, Hunters International és PLAY több mint egy éve aktívak. Ezek már befutott csoportok. Mivel a RansomHub és a LockBit leállt, valószínűbb, hogy a társszervezetek már átálltak valamelyik másik RaaS platformra, mint például a Qilin.
Számos olyan ransomware művelet volt a közelmúltban, amelyekről feltételezhető, hogy kínai kiberszereplőkhöz kapcsolódnak, mint például az RA World (a PlugX használata miatt), a NailaoLocker (a ShadowPad és a PlugX használata miatt) és a CrazyHunter (a Tajvanra való összpontosítása miatt). Az olyan kiberszereplők, mint az IMN Crew, a QWCrypt (a RedCurlhez kapcsolódik), a NightSpire, a SuperBlack és a Helldown mind olyan feltörekvő fenyegető csoportok, amelyek nemrégiben kezdték meg ransomware kampányaikat.
Ezek a tényezők ahhoz vezettek, hogy a ransomware műveletekben használt eszközök széles skálája figyelhető meg. A GitHubhoz és más hasonló oldalakról származó eszközökre használata azonban továbbra is jellemző számos ransomware műveletre. Az EDRSandBlast és a WKTools viszonylag új eszközök, amelyeket több csoport is használ az EDR eszközök megkerülésére. A tipikus ransomware csoportok által használt eszközök, mint például a PsExec, a Mimikatz és az Rclone továbbra is széleskörben használt eszközök és várhatóan azok is maradnak.
Ahogy az már az elmúlt időszakban megszokott, több ransomware csoport is a Fortinet hálózati eszközeit vette célba, hogy bejusson az áldozatok környezetébe. Több ransomware csoport továbbra is kihasználja a CLFS-t (Windows Common Log File System) a helyi jogosultságok kiterjesztésére, hogy kártékony kódokat futtasson és hitelesítő adatokat lopjon. Egyes szereplők peremeszközöket, például a Check Point VPN-eket vagy a PAN tűzfalakat, illetve az Internet felől elérhető elérhető szervereket, például az Atlassian Confluence Data Center szervereket vették célba. A Veeam biztonsági mentőszoftverek kihasználása nem meglepő, mivel a biztonsági mentések megakadályozása vagy az érzékeny fájlok, például az Active Directory biztonsági mentések megszerzése is a ransomware csoportok céljai közé tartozik.