Ransomware vezérelt adatszivárogtatás: technikák és hatások

Editors' Pick
TrainedR , , , ,

A Sekoia a jelentése a zsarolóprogramok és zsarolócsoportok által a jövedelmező kampányokban alkalmazott szivárogtatási technikákra összpontosít. A jelentés átfogó elemzést nyújt az exfiltrációs fázisban alkalmazott technikákról és eszközökről, valamint az érintett szervezetekre gyakorolt hatásról. A jelentés a gyűjtési taktikával kapcsolatos észrevételeket is tartalmaz, amelyeket alapvető fontosságú az exfiltrációs kampányok átfogó megértéséhez. A jelentés megvizsgálja az exfiltrációs technikák fokozatos átvételét a zsarolóprogramok és zsarolócsoportok által, valamint a kampányaik mögött álló motivációkat. Továbbá elemzi az exfiltrációs fázisban érintett adatok különböző kategóriáit.

A jelentés az opportunista, zsarolóprogramok által vezérelt behatolási készletekre és kampányokra összpontosít, érdemes megjegyezni, hogy a különböző pénzügyi motivációjú behatolási készletek széles köre alkalmazza a szivárogtatási taktikákat. Ide tartoznak az infostealer-ek, a távoli hozzáférést biztosító trójaiak (RAT-ok), a kémprogramok, a hitelkártya-leolvasók, a backdoor-ok és más típusú rosszindulatú szoftverek üzemeltetői. Ezenkívül az államilag támogatott szereplők is nagymértékben kihasználják az exfiltrációs taktikákat az információgyűjtő kampányok során. A kutatás nyílt forráskódú jelentéseken és házon belüli vizsgálatokon alapul.

  • Az adatok kiszivárogtatása 2019 és 2024 között a ransomware kampányok kritikus elemévé vált, összhangban a kettős zsarolási technika széles körű elterjedésével.
  • A támadók kihasználják az ellopott adatokat, hogy maximalizálják a pénzügyi és reputációs hatást a célzott kiszivárogtató oldalakon való nyilvános közzététel révén, miközben potenciálisan eladják az adatokat más kiberszereplőknek, vagy további zsarolásra és későbbi támadásokra használják fel azokat.
  • Ezek a motivációk, valamint olyan tényezők, mint a csökkentett erőfeszítés és a titkosítással kapcsolatos kihívások megkerülése, arra késztettek egyes zsarolóvíruscsoportokat, hogy részben vagy kizárólag az adatok zsarolás céljából történő szivárogtatásra összpontosítsanak, a fájlok titkosítása nélkül.
  • A jövedelmező zsarolóprogram- és zsarolócsoportok mellett az exfiltrációt az államilag támogatott behatolócsoportok is kihasználják a zsarolóprogram-műveletek során, valószínűleg azért, hogy félrevezessék az attribúciót, titkos hírszerzési kampányokat folytassanak és bevételt generáljanak.
  • Az elmúlt öt év során a ransomware-k üzemeltetői egyre inkább finomították zsarolási technikáikat, hogy maximalizálják a kettős zsarolás előnyeit. Stratégiai megközelítést alkalmaztak az összegyűjtött adatok előminősítésével és osztályozásával. Ennek során célzott kereséseket végeznek, amelyek célja a nagy értékű, érzékeny fájlok, például pénzügyi információk, személyes és orvosi feljegyzések, titkos dokumentumok, informatikai és hálózati adatok és egyéb rendkívül érzékeny információk kinyerése.
  • A ransomware csoportok egyedi és nyilvánosan elérhető eszközök kombinációját használják az adatok kiszivárogtatásának megkönnyítésére. Ez a sajátos jellemzőiknek és az exfiltrációs kampányokban való rendeltetésszerű használatuknak megfelelően történik: enumerálás, tömörítés, feltöltés stb.
  • A fejlett behatolócsoportok egyre inkább egyéni exfiltrációs eszközöket fejlesztenek és használnak a hatékonyság, a pontosság és a lopakodás fokozása érdekében.
  • A legális és nyilvánosan elérhető eszközöket széles körben használják a lopakodó és költséghatékony adatszivárogtatás megkönnyítésére, miközben elvegyülnek a legitim tevékenységekbe, hogy elkerüljék a felderítést.

Forrás

You May Also Like

ShrinkLocker: Új Ransomware-törzs titkosítja a BitLockert használó rendszereket

Yanac

A Muliaka zsarolóvírus banda orosz cégeket támad

Yanac

Piacvezető média- és gazdasági adatbázis elleni támadás

Yanac