poniedziałek , 9 września 2024

FBI zamyka serwery Dispossessor Ransomware Group w USA , Wielkiej Brytanii i Niemczech

Stany Zjednoczone. Federalne Biuro Śledcze (FBI) ogłosiło w poniedziałek zakłócenie infrastruktury online związanej z rodzącą się grupą ransomware o nazwie Dispossessor (aka Radar).

Wysiłki polegały na demontażu trzech amerykańskich serwerów, trzech serwerów w Wielkiej Brytanii, 18 niemieckich serwerów, ośmiu amerykańskich domenach przestępczych i jednej niemieckiej dziedzinie kryminalnej. Mówi się, że przesiadka jest prowadzona przez osoby (osoby), które idą przez internetowy przydomek „Brain”.

„Od momentu powstania w sierpniu 2023 roku Radar / Dispossessor szybko przekształcił się w wpływową na arenie międzynarodowej grupę ransomware, atakując i atakując małe i średnie firmy i organizacje z sektora produkcyjnego, rozwoju, edukacji, opieki zdrowotnej, usług finansowych i transportu” – napisano w oświadczeniu FBI.

Aż 43 firmy zostały zidentyfikowane jako ofiary ataków dysponów, w tym w Argentynie, Australii, Belgii, Brazylii, Kanadzie, Chorwacji, Niemczech, Hondurasie, Indiach, Peru, Polsce, Polsce, Zjednoczonych E.A., Wielkiej Brytanii i USA.

Wywłaszczenie, godne uwagi ze względu na jego podobieństwo do LockBit, pojawiło się jako grupa ransomware-as-a-service (RaaS) po tym samym modelu podwójnego wymuszenia, którego zapoczątkował inne gangi e-przestępczości. Takie ataki działają poprzez eksfiltrację danych ofiar, aby uzyskać okup, oprócz szyfrowania ich systemów.

Użytkownicy, którzy odmówią ugody, są zagrożeni ekspozycją na dane. Zaobserwowano, że łańcuchy ataków montowanych przez podmioty działające na ryzyko wykorzystują systemy z wadami bezpieczeństwa lub słabymi hasłami jako punkt wejścia do naruszania celów i uzyskania zwiększonego dostępu do zablokowania swoich danych za barierami szyfrującymi.

„Kiedy firma została zaatakowana, jeśli nie skontaktowała się z aktorem kryminalnym, grupa będzie aktywnie kontaktować się z innymi w firmie ofiar, albo za pośrednictwem poczty elektronicznej, albo przez telefon” – powiedział FBI.

E-maile zawierały również linki do platform wideo, na których wcześniej ukradły pliki zostały przedstawione. Zawsze miało to na celu zwiększenie presji szantażu i zwiększenie gotowości do zapłaty.

Wcześniejsze raporty z firmy zajmującej się cyberbezpieczeństwem SentinelOne wykazały, iż grupa Dispossessor reklama już wyciekła dane do pobrania i sprzedaży, dodając, że „wydaje się, że „wydaje się repostować dane wcześniej związane z innymi operacjami z przykładami od Cl0p, Hunters International i 8Base”.

Częstotliwość takich ataków jest kolejną wskazówką, że organy ścigania na całym świecie zwiększają wysiłki w celu zwalczania uporczywego zagrożenia ransomware, nawet gdy aktorzy zagrożeń znajdują sposoby na innowacje i rozwój w ciągle zmieniającym się krajobrazie.

Obejmuje to wzrost liczby ataków przeprowadzonych za pośrednictwem wykonawców i dostawców usług, podkreślając, w jaki sposób podmioty zajmujące się zagrożeniami wykorzystują zaufane relacje na swoją korzyść, ponieważ „podejście to ułatwia ataki na dużą skalę przy mniejszym wysiłku, często niezauważalne, dopóki nie zostaną odkryte wycieki danych lub zaszyfrowane dane”.

Dane zebrane przez Palo Alto Networks Unit 42 z miejsc przecieków pokazują, że branże najbardziej dotknięte przez oprogramowanie ransomware w pierwszej połowie 2024 roku były produkcją (16,4%), opieką zdrowotną (9,6%) i budownictwem (9,4%).

Niektóre z najbardziej ukierunkowanych krajów w tym okresie były Stany Zjednoczone, Kanada, Wielka Brytania, Niemcy, Włochy, Francja, Hiszpania, Brazylia, Australia i Belgia.

„Nowo ujawnione luki w zabezpieczeniach przede wszystkim napędzały aktywność ransomware, gdy atakujący przeszli, aby szybko wykorzystać te możliwości” – powiedziała firma. Podmioty zagrodzone regularnie atakują luki w zabezpieczeniach, aby uzyskać dostęp do sieci ofiar, podnieść przywileje i przenieść się w czasie przez przełożone środowiska.

Zauważalnym trendem jest pojawienie się nowych (lub zmodernizowanych) grup ransomware, które stanowiły 21 z 68 unikalnych grup publikujących próby wymuszenia i zwiększone ukierunkowanie na mniejsze organizacje, według Rapid7.

„Może to być z wielu powodów, z których nie mniej ważne jest to, że te mniejsze organizacje zawierają wiele takich samych podmiotów, które aktorzy grozy danych są, ale często mają mniej dojrzałe środki bezpieczeństwa” – napisano.

Kolejnym ważnym aspektem jest profesjonalizacja modeli biznesowych RaaS. Grupy ransomware są nie tylko bardziej wyrafinowane, ale także coraz bardziej skalują swoje działania, które przypominają legalne przedsiębiorstwa korporacyjne.

„Mają własne rynki, sprzedają własne produkty, aw niektórych przypadkach mają wsparcie 24/7” – wskazał Rapid7. Wydaje się również, że tworzą ekosystem współpracy i konsolidacji w zakresie oprogramowania ransomware, które wdrażają.

Źródło

About Marek Borkowski

Zawodowy elektryk interesujący się automatyką i informatyką.

Check Also

Ataki Brute Force (Cloudflare) – jak skutecznie uchronić stronę?

Ataki typu Brute Force (siłowe) to jedne z najstarszych i najbardziej powszechnych metod stosowanych przez …

One comment

  1. I bardzo dobrze !! , nie ma wyciągania pieniędzy od biednych!!

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *