CrazyHunter ransomware
A Trellix nem csak a CrazyHunter ransomware technikai részleteit mutatja be, hanem figyelmeztető példaként szolgál arra is, hogy a modern kiberbűnözők milyen komplex és kifinomult módszerekkel képesek áttörni a hagyományos védekező rendszereket. A CrazyHunter elsősorban az egészségügyi szektort célozza meg Tajvanon. A támadók a Prince zsarolószoftver egy továbbfejlesztett változatát használják, és jelentős előrelépéseket értek el a hálózati behatolási technikák, valamint a biztonsági mechanizmusok kijátszása területén.
A CrazyHunter csoport különösen hatékonyan alkalmazza a lopakodó taktikákat, a kártevő nem csak a hagyományos titkosítási módszerekre támaszkodik, hanem aktívan kerüli az automata védekező rendszerek felismerését, és gyorsan terjed a megfertőzött hálózatokon. A támadók például a Group Policy Object módosítási jogok átvételével és a többfaktoros azonosítás elkerülésével képesek komoly károkat okozni a célszervezetekben. A Trellix elemzése szerint a CrazyHunter nemcsak operatív zavart okoz a titkosítás által, hanem nyilvánosan közzéteszi áldozatai adatokat egy adatszivárgási oldalon, így reputációs károkat is okozva.
A CrazyHunter elleni védekezés kulcsa a többfaktoros azonosítás kötelező alkalmazása, valamint a GPO módosítási jogok szigorú ellenőrzése. A Trellix hangsúlyozza, hogy a CrazyHunter nemcsak technikailag fejlett, hanem stratégiailag is átgondolt támadási módszereket alkalmaz, ami különösen veszélyessé teszi az egészségügyi intézmények számára, ahol a rendszerzavarok és az adatszivárgások komoly következményekkel járhatnak.
