Οι Cybersleuths της Microsoft βρήκαν μια σύνδεση μεταξύ των πρόσφατων επιθέσεων τύπου worm που βασίζονται σε USB «Raspberry Robin» και του EvilCorp, μιας διαβόητης ρωσικής επιχείρησης ransomware που έχει εγκριθεί από την κυβέρνηση των ΗΠΑ.
Σύμφωνα με νέα δεδομένα από την ομάδα πληροφοριών απειλών της Microsoft, μια συμμορία ransomware-as-a-service που παρακολουθεί ως DEV-0206 έχει συλληφθεί να νοθεύει διαδικτυακές διαφημίσεις για να ξεγελάσει στόχους ώστε να εγκαταστήσουν έναν φορτωτή για πρόσθετο κακόβουλο λογισμικό που προηγουμένως είχε αποδοθεί στην EvilCorp.
Ακόμη πιο δυσοίωνο, η Microsoft είπε ότι οι ερευνητικές της ομάδες ανακάλυψαν τακτικές διανομής κακόβουλου λογισμικού της EvilCorp και παρατήρησαν συμπεριφορά σε όλο το σκουλήκι «Raspberry Robin» που παρατηρήθηκε να στριμώχνεται μέσω εταιρικών δικτύων νωρίτερα αυτή την εβδομάδα.
Η σύνδεση υποδηλώνει ότι οι κυβερνοεγκληματίες πίσω από την επιχείρηση EvilCorp συνεργάζονται με άλλες ομάδες για να παρακάμψουν τις κυρώσεις του υπουργείου Δικαιοσύνης των ΗΠΑ που εμποδίζουν τις πληρωμές εκβιασμών από λύτρα.
“Η χρήση ενός ωφέλιμου φορτίου RaaS από την ομάδα δραστηριοτήτων “EvilCorp” είναι πιθανώς μια προσπάθεια του DEV-0243 να αποφύγει την απόδοση στην ομάδα τους, κάτι που θα μπορούσε να αποθαρρύνει τις πληρωμές λόγω της κατάστασής τους υπό κυρώσεις”, δήλωσε η Microsoft. Η EvilCorp φέρεται να διευθύνεται από Ρώσους υπηκόους Maksim Yakubets και Igor Turashev, οι οποίοι κατηγορήθηκαν από τις Ηνωμένες Πολιτείες το 2019.
Η Microsoft εξήγησε ότι οι συμμορίες έχουν διανείμει λειτουργίες με μία ομάδα που είναι υπεύθυνη για τη δηλητηρίαση των διαδικτυακών διαφημίσεων και την εξαπάτηση των χρηστών των Windows ώστε να κάνουν κλικ σε αρχεία ZIP που αναπτύσσουν αυτόματα ένα εμφύτευμα JavaScript.
Εδώ αναλαμβάνει η EvilCorp με πρακτικές ενέργειες πληκτρολογίου, λήψη πρόσθετων ωφέλιμων φορτίων, κλιμάκωση προνομίων σε ένα εταιρικό δίκτυο και ανάπτυξη ransomware κρυπτογράφησης δεδομένων.
Οι προειδοποιήσεις της Microsoft έρχονται λιγότερο από μία εβδομάδα αφότου η εταιρεία κυβερνοασφάλειας Red Canary αναχαίτισε ένα σκουλήκι των Windows που έκανε κατάχρηση των χακαρισμένων συσκευών αποθήκευσης συνδεδεμένων με το δίκτυο QNAP (NAS) ως stagers για να εξαπλωθεί σε νέα συστήματα.
Αυτό το σκουλήκι που βασίζεται σε USB, που ονομάζεται «Raspberry Robin», έχει παρατηρηθεί να εξαπλώνεται σε οργανισμούς που σχετίζονται με τους τομείς της τεχνολογίας και της κατασκευής.
Ξεχωριστά, η εταιρεία ανάκτησης ransomware Coveware λέει ότι η μέση πληρωμή λύτρων αυξήθηκε κατά περίπου 8% από το προηγούμενο τρίμηνο, φτάνοντας περίπου τα 228.000 $. Ενώ ο μέσος όρος ανέβηκε από πολλά ακραία στοιχεία, η Coveware υπολογίζει ότι η μέση πληρωμή λύτρων μειώθηκε στην πραγματικότητα στα 36.360 $, μείωση 51% από το πρώτο τρίμηνο του 2022.
“Αυτή η τάση αντανακλά τη στροφή των θυγατρικών και προγραμματιστών της RaaS προς τη μεσαία αγορά, όπου το προφίλ κινδύνου για ανταμοιβή της επίθεσης είναι πιο συνεπές και λιγότερο επικίνδυνο από τις επιθέσεις υψηλού προφίλ. Έχουμε επίσης δει μια ενθαρρυντική τάση μεταξύ μεγάλων οργανισμών που αρνούνται να εξετάσουν το ενδεχόμενο διαπραγματεύσεων όταν το ransomware οι ομάδες απαιτούν απίστευτα υψηλά ποσά λύτρων», είπε ο Coveware.
Η Coveware, η οποία βοηθά τους μολυσμένους οργανισμούς με τις διαπραγματεύσεις πληρωμής λύτρων και την ανάκτηση δεδομένων, είπε ότι η διείσδυση δεδομένων παραμένει διαδεδομένη σε περιπτώσεις ransomware.
«Το ποσοστό των εταιρειών που υποκύπτουν στην εκβίαση δεδομένων με εκβιασμό συνεχίζει να προκαλεί σύγχυση και απογοήτευση», ανέφερε η Coveware σε σημείωμα που περιλαμβάνει ενημερωμένους υπολογισμούς για την έκταση του προβλήματος ransomware.
“Κατά το δεύτερο τρίμηνο, είδαμε συνεχείς ενδείξεις ότι οι φορείς απειλών δεν τιμούν τον λόγο τους καθώς σχετίζεται με την καταστροφή δεδομένων που έχουν διεισδυθεί. Παρά την καθοδήγησή μας, τα θύματα της διείσδυσης δεδομένων συνεχίζουν να τροφοδοτούν την οικονομία των εκβιασμών στον κυβερνοχώρο με αυτές τις άκαρπες πληρωμές λύτρων.”
Τα δεδομένα της εταιρείας δείχνουν ότι οι πιο κοινές βιομηχανίες που επηρεάζονται από επιθέσεις ransomware περιλαμβάνουν τις επαγγελματικές υπηρεσίες και τον δημόσιο τομέα, την υγειονομική περίθαλψη, τις υπηρεσίες λογισμικού, το τεχνολογικό υλικό και τις χρηματοοικονομικές υπηρεσίες.