Grupy wykorzystujące oprogramowanie wyłudzające informacje cały czas unowocześniają swoje narzędzia i techniki, aby atakować kolejne cele i skuteczniej wydobywać informacje. Na początku tego roku hakerzy za pomocą nowego programu Mimic włamali się do wyszukiwarki Everything i za pomocą serii zapytań o rozszerzenia i nazwy plików ustalili, które pliki można zaszyfrować, a które lepiej pominąć. W międzyczasie oprogramowanie Royal poszerzyło zasięg oddziaływania i w nowej wersji jest skierowane przeciwko platformom Linux.

Nasze badania nad atakami Royal i Mimic sugerowały powiązanie z dużą niesławną grupą Conti, natomiast analiza oprogramowania TargetCompany ukazała powinowactwo z rodzinami ransomware takimi jak BlueSky i GlobeImposter. Istnieje tych powiązań jest spójne z wynikami naszych analiz o rewolucji w oprogramowaniu ransomware, gdzie wskazaliśmy, jak współpraca hakerów może pomóc obniżyć koszty, a zwiększyć zasięg działania i skuteczność przestępczej aktywności.

Trzeba też pamiętać, że korzyści finansowe nie są jedyną motywacją działania grup używających oprogramowania wymuszającego okup, ponieważ często władze w zamian za odstąpienie od postawienia przed sądem oferują najlepszym hakerom legalne zatrudnienie. W naszym majowym raporcie o tylnej furtce RomCom opisywaliśmy, jak historyczne wykorzystywanie tej tylnej furtki w motywowanych geopolityką atakach na Ukrainę co najmniej od października 2022 roku sugeruje zmianę celów grupy Void Rabisu. Ostatnie ataki oprogramowaniem ransomware są pod względem demonstrowanych umiejętności, metodyki i zdolności prowadzenia działań porównywalne z atakami realizowanymi przez grupę APT.

Hakerzy nadal używający oprogramowania ransomware przede wszystkimi do wyłudzania pieniędzy mogą skierować swoje zainteresowanie na wykradanie danych z portfeli kryptowalutowych, podszywanie się pod autentycznych użytkowników systemów poczty e-mail (BEC) oraz sztucznego zbijania cen akcji (short-and-distort — krótka sprzedaż i następnie rozpowszechnianie fałszywych informacji mających doprowadzić do spadku notowań). Kryptowaluty ułatwiły hakerom budowanie systemów faktycznego ściągania pieniędzy od ofiar. Ukazało to konieczność stosowania podejścia shift left („przesunięcia w lewo”), czyli przede wszystkim wdrażania jak największej liczby środków i narzędzi blokujących sam dostęp do sieci, ponieważ ataki oprogramowaniem wyłudzającym okup muszą się najpierw dostać do systemów i wykraść z nich dane.

Na podstawie ankiet przeprowadzonych wśród 3700 przedsiębiorstw w czterech regionach w drugiej połowie 2022 roku indeks ryzyka cybernetycznego (CRI) spadł do poziomu umiarkowanego, osiągając wartość +0,01. Jednak wczytanie się w szczegóły raportu pokazuje, że najwyższą wartość — -0,10 — CRI osiąga w Ameryce Północnej. Tam również indeks przygotowania na cyberzagrożenia (Cyber Preparedness Index) pogorszył się z 5,30 na 5,29, a indeks cyberzagrożeń (Cyber Threat Index) spadł z 5,63 do 5,39. Jeśli chodzi o liczbę porad dotyczących luk w zabezpieczeniach, w pierwszej połowie 2023 roku opublikowano 894, tylko o 50 mniej niż w pierwszej połowie ubiegłego roku.

Równocześnie cyberprzestępcy zarzucają swoje sieci szerzej, wykorzystując luki w zabezpieczeniach mniejszych platform i tam szukając konkretnych celów. Dotyczy to na przykład usługi przesyłania plików MOVEit, oprogramowania do komunikacji biznesowej 3CX oraz systemu zarządzania drukiem PaperCut. W czerwcu oprogramowanie ransomware Clop wykorzystało lukę w zabezpieczeniach usługi MOVEit, a wcześniej zaatakowało różne instytucje publiczne w Stanach Zjednoczonych, w tym Departament Energii i wyższe uczelnie w wielu stanach. Ofiarami stały się też prywatne firmy.

W maju firma Google uruchomiła osiem nowych domen najwyższego poziomu (TLD), w tym .zip i .mov. Stanowi to potencjalnie duże zagrożenie dla bezpieczeństwa, ponieważ cyberprzestępcy mogą fałszować adresy URL autentycznych i wiarygodnych witryn internetowych w celu wprowadzania złośliwego oprogramowania i wykonywania innych ataków. To znana i wypróbowana technika, która pozostaje skuteczna do dziś.

Wraz z postępującą innowacyjnością i wykorzystywaniem coraz większej ilości danych cyberprzestępcy znajdują kolejne sposoby narażania ludzi na straty. Na przykład we współczesnych skomunikowanych samochodach system operacyjny i aplikacje zawierają ponad 100 milionów linii kodu źródłowego, tak aby użytkownicy otrzymali jak najwięcej inteligentnych funkcji. Jednak otwiera to również drzwi dla hakerów. Wraz z pojawianiem się coraz większej liczby zaawansowanych elektronicznie samochodów cyberprzestępcy będą się starali uzyskać dostęp do danych na kontach użytkowników i wykorzystać je do przestępczej działalności.

Zagrożenia te uwypuklają konieczność opracowania schematu proaktywnego zarządzania ryzykiem cybernetycznym, praktycznie wykorzystującego elementy strategii zerowego zaufania oraz zapewniającego ustawiczny wgląd w ryzyko i możliwość jego oceny przez cały okres występowania. Schemat powinien obejmować etapy wykrywania, oceny dotkliwości i łagodzenia skutków. Zainwestowanie w rozbudowany system wykrywania i reagowania spowoduje pozyskanie danych, funkcji analitycznych i narzędzi integracyjnych, dzięki którym zespoły odpowiedzialne za bezpieczeństwo i badania uzyskają szczegółowy wgląd w krajobraz zagrożeń i skuteczność działania systemów obrony.