Raport Accenture: Atacurile ransomware, un model de afaceri mai profitabil pentru infractorii cibernetici în ultimul an

199
Atacurile de tip ransomware au devenit rapid un model de afaceri mai profitabil în ultimul an pentru infractorii cibernetici, care au dus şantajul online la un nou nivel prin ameninţarea victimelor că vor publica datele furate pe site-uri web dedicate sau le vor vinde, relevă concluziile raportului Cyber Threatscape 2020 al Accenture, publicat vineri.

Documentul, întocmit cu ajutorul capacităţilor Cyber Threat Intelligence (CTI) ale Accenture, examinează tacticile, tehnicile şi procedurile folosite de unii dintre cei mai sofisticaţi adversari cibernetici şi explorează modul în care incidentele cibernetice ar putea evolua în anul următor.

În urma analizelor, cercetătorii Accenture au descoperit numeroase campanii de phishing şi ameninţări pentru dispozitivele mobile, care profită de îngrijorarea publicului şi confuzia cu privire la COVID-19 şi utilizează pandemia ca momeală. Printre grupările detectate de specialişti se află: Lucifershark, Snipefish, Rohu sau Pond Loach.

De asemenea, au fost descoperiţi infractorii cibernetici din spatele Maze, Sodinokibi (cunoscut şi sub denumirea de REvil) şi tulpinile de ransomware DoppelPaymer şi care generează profituri mai mari, având ca rezultat un val de actori imitatori.

"Ransomware-ul a devenit rapid un model de afaceri mai profitabil în ultimul an, infractorii cibernetici ducând şantajul online la un nou nivel, ameninţând că vor elibera public datele furate sau le vor vinde şi vor dezvălui identitatea şi vor face de râs victimele pe site-uri web dedicate. În plus, faimosul ransomware LockBit a apărut la începutul acestui an, care - pe lângă copierea tacticii de şantaj - a câştigat atenţie datorită funcţiei sale de auto-răspândire care infectează rapid alte computere dintr-o reţea corporativă. Motivaţiile din spatele LockBit par a fi şi ele financiare", menţionează experţii Accenture CTI.

Totodată, analiştii au urmărit criminalii cibernetici din spatele Lockbit pe forumurile Dark Web, unde au descoperit că fac publicitate actualizărilor şi îmbunătăţirilor periodice ale ransomware-ului şi recrutează în mod activ noi membri promiţând o parte din banii de răscumpărare. În plus, au fost observate campanii de recrutare într-un forum popular Dark Web de infractorii cibernetici din spatele Sodinokibi.

Un alt tipar urmărit de către experţii Accenture a fost Sourface, un grup de hackeri din Iran cunoscut şi sub numele de Chafer sau Remix Kitten.

"Activ din cel puţin 2014, grupul este cunoscut pentru atacurile cibernetice asupra industriilor de petrol şi gaze, comunicaţii, transporturi dar şi altele din SUA, Israel, Europa, Arabia Saudită, Australia şi alte regiuni (...) Sourface foloseşte funcţii Windows legitime şi instrumente disponibile în mod gratuit, cum ar fi Mimikatz, pentru dumping-ul de credenţiale. Această tehnică este utilizată pentru a fura acreditările de autentificare ale utilizatorilor, cum ar fi numele de utilizator şi parolele, pentru a permite atacatorilor să îşi extindă privilegiile sau să se deplaseze în reţea pentru a compromite alte sisteme şi conturi în timp ce sunt deghizaţi în utilizator valid", explică sursa citată.

Potrivit raportului de specialitate, un grup care operează din Rusia, denumit Belugasturgeon (cunoscut şi sub numele de Turla sau Snake) a vizat în mod agresiv sistemele care susţin Microsoft Exchange şi Outlook Web Access, pe care, apoi, le foloseşte pe post de "capete de pod" în mediul victimei pentru a ascunde traficul, a transmite comenzi, a compromite e-mailuri, a fura date şi a aduna acreditări pentru spionaj. Grupul este activ de peste zece ani, fiind asociat cu numeroase atacuri cibernetice îndreptate către agenţiile guvernamentale, firmele de cercetare în domeniul politicii externe şi think tank-uri din întreaga lume.

La raportul Cyber Threatscape 2020 au contribuit cercetători de la Context Information Security şi Deja vu Security, companii pe care Accenture le-a achiziţionat în martie 2020, respectiv iunie 2019. Pe lângă aceste achiziţii, Accenture a mai preluat în acest an diferite companii, inclusiv Symantec's Cyber Security Services business şi Revolutionary Security.

Accenture (NYSE: ACN) este o companie globală de servicii profesionale în domeniul digital, cloud şi securitate, cu 506.000 de angajaţi la nivel global. AGERPRES/(AS - autor: Daniel Badea, editor: Oana Tilică, editor online: Gabriela Badea)