INC Ransom affiliate hálózata
Az Australian Cyber Security Centre (ACSC) figyelmeztetése szerint az INC Ransom nevű kiberbűnözői csoport és annak affiliate hálózata egyre aktívabban céloz kritikus infrastruktúrákat és nagy értékű szervezeteket, különösen Ausztráliában, Új-Zélandon és a csendes-óceáni térségben. A csoport 2023 körül jelent meg, és Ransomware-as-a-Service (RaaS) modellben működik, ahol a központi operátorok fejlesztik és működtetik a ransomware-platformot, míg az affiliate partnerek hajtják végre a tényleges behatolásokat és támadásokat.
A műveletek során a támadók tipikusan double-extortion taktikát alkalmaznak. A behatolást követően először érzékeny adatokat gyűjtenek és exfiltrálnak a hálózatból, majd titkosítják a rendszereket. Ha az áldozat nem fizeti ki a váltságdíjat, a csoport az ellopott adatokat saját dark web alapú adatszvárogtató oldalán publikálással fenyegeti vagy ténylegesen kiszivárogtatja, ezzel növelve a nyomást a fizetésre.
A támadási lánc első lépése jellemzően kompromittált hitelesítési adatok vagy internetre nyitott sérülékeny rendszerek kihasználása. Az INC Ransom affiliate szereplők gyakran vásárolnak vagy megszereznek ellopott fiókadatokat, illetve kihasználják a nem frissített, publikus szolgáltatásokat a hálózati hozzáférés megszerzéséhez. Egyes esetekben spear-phishing kampányok is szerepet játszanak a kezdeti kompromittálásban.
A kezdeti hozzáférés után a támadók privilege escalation és laterális mozgás révén terjeszkednek a hálózatban. Gyakori módszer az új adminisztrátori fiókok létrehozása vagy meglévő szolgáltatásfiókok használata a jogosultságok növelésére és a tartós hozzáférés fenntartására. A támadók gyakran legitim adminisztrációs eszközöket és nyílt forráskódú programokat használnak. Az adatokat ezt követően tipikusan webes szolgáltatásokon vagy különféle fájlátviteli csatornákon keresztül exfiltrálják.
A jelentés szerint az INC Ransom különösen egészségügyi intézményeket és professzionális szolgáltatókat támadott az elmúlt időszakban. Egyes incidensek során személyes és egészségügyi adatok is kiszivárogtak, miközben a ransomware-payload titkosította a szervereket és végponti rendszereket. Az ilyen támadások nemcsak pénzügyi veszteséget okoznak, hanem jelentős működési zavarokat is eredményezhetnek, különösen a kritikus szolgáltatások esetében.
