***Ransomware napadi: Naraščajoča grožnja za varnost podjetij***
Ransomware napadi postajajo vse bolj prefinjeni in pogosti, vodje varnosti pa so zaskrbljeni glede sposobnosti svojih organizacij, da se branijo pred njimi. Trg RaaS (Ransomware as a Service), DLS (Data Leak Sites) in partnerski programi prispevajo k porastu ransomware napadov.
Razvoj kibernetskih groženj
Hiter razvoj ransomware različic presega napredke na področju kibernetske obrambe, kar organizacije pušča ranljive za prihodnje grožnje. Da bi ostala pred napadalci, se morajo podjetja obveščati o novih kibernetskih grožnjah in pomembnih napadalcih.
DragonForce: Zmožno kibernetsko orožje
DragonForce, skupina za storitve ransomware kot storitev, deluje z uporabo prilagojene različice ContiV3 in uporablja taktike dvojnega izsiljevanja, šifriranje podatkov in grožnje z uhajanjem podatkov.
Njihov partnerski program ponuja orodja za prilagajanje in avtomatizacijo napadov z uporabo tehnik BYOVD za onemogočanje varnostnih procesov in brisanje Windows Event Logs za oviranje preiskav.
Ciljanje na ključne industrije
Ciljanje na različne industrije, DragonForce uporablja SystemBC, Mimikatz in Cobalt Strike za obstojnost, zbiranje poverilnic in lateralno premikanje, skupaj z orodji za skeniranje omrežij za širjenje ransomware napada.
Partnerstvo in odkupnine
Skupina DragonForce je lansirala partnerski program, ki ponuja 80 % celotnega zneska odkupnine tistim, ki se pridružijo. Skupina svojim partnerjem zagotavlja dve različici ransomware-a: eno prilagojeno in eno spremenjeno različico LockBit.
Obe različici lahko obideta EDR/XDR varnostne ukrepe. Partnerji lahko uporabljajo nadzorno ploščo za ustvarjanje in konfiguracijo vzorcev ransomware-a, ciljanje na specifična podjetja in prilagajanje nastavitev šifriranja.
Rast in grožnje
Od uvedbe programa je organizacija doživela znatno rast, kar predstavlja potencialno grožnjo za veliko število organizacij.
Oddelek “Moja ekipa” na partnerskem portalu skupine DragonForce ransomware omogoča partnerjem upravljanje oglaševalcev partnerjev, medtem ko oddelek “Add Adver” zagotavlja platformo za ustvarjanje novih oglaševalcev in spreminjanje njihovih dostopnih pravic.
Po navedbah Group IB oddelek “Publications” prikazuje informacije o žrtvah, katerih podatki so bili objavljeni na namenski spletni strani partnerja.
V oddelku “Constructor” lahko partnerji razporedijo objavo podatkov o žrtev v primeru neplačila odkupnine, medtem ko oddelek “Rules” vsebuje smernice, kontaktne informacije in pravila za uporabo ransomware-a DragonForce v ruščini, kot so jih objavili administratorji skupine.
Potek ransomware napada DragonForce
Ransomware napad DragonForce je vključeval večstopenjski proces, ki se je začel s prvotnim dostopom preko kompromitiranega RDP strežnika, kjer so napadalci uporabili veljavna poverila za nepooblaščen dostop in izvedli PowerShell ukaze za namestitev Cobalt Strike in SystemBC malware.
Vzpostavljena je bila obstojnost z uporabo registrov in kompromitiranih računov, medtem ko so bila izvedena zbiranja poverilnic in skeniranje omrežja za pridobivanje občutljivih informacij.
Lateralno premikanje je bilo doseženo z uporabo RDP, napadalci pa so onemogočili protivirusne programe in brisali dogodkovnike, da bi se izognili zaznavi. Na koncu je bil uporabljen ransomware za šifriranje datotek po celotnem omrežju, kar je povzročilo veliko motnjo v delovanju žrtve.
Analiza vzorcev: ContiV3
Analizirani vzorec ransomware-a je različica ContiV3, izboljšana z novimi funkcijami, kot sta BYOVD in prilagodljivost, ki šifrira datoteke z uporabo RSA-1024 in Salsa20 algoritmov, briše sence kopij in doseže obstojnost prek načrtovanih opravil.
Uporablja ranljiv gonilnik za prekinitev zaščitenih procesov in izvaja povzdignjenje privilegijev, da se izvaja kot SYSTEM, vzorec pa vključuje tudi omrežni skener, zadnja vrata in Cobalt Strike obremenitev.
Preberite tudi:
Objava DragonForce proti LockBit 3.0: Bitka z ransomware grozi večjim organizacijam se je prvič pojavila na Cyber Security News.
