Unità di Palo Alto 42 i ricercatori hanno fatto luce su quattro gruppi di ransomware emergenti che hanno fatto notizia quest'anno. La scoperta arriva dopo un'ampia ricerca e analisi del sottosuolo, inclusi siti di perdite web e siti di cipolle fresche.
Questi operatori ransomware-as-a-service rappresentano una minaccia reale per le reti aziendali e organizzative, così come le infrastrutture critiche. Poiché il loro modello di business è costruito sulla base "as-a-service", questi gruppi sono attualmente alla ricerca di affiliati.
Gruppo AvosLocker ransomware
Secondo Palo Alto, questo RaaS ha iniziato ad operare a fine giugno. Può essere riconosciuto dal logo dello scarabeo blu che gli attori della minaccia utilizzano nelle loro comunicazioni con le vittime e nei comunicati stampa per reclutare nuovi affiliati.
“AvosLocker è stato osservato mentre promuoveva il suo programma RaaS e cercava affiliati su forum di discussione del dark web e altri forum. Come molti dei suoi concorrenti, AvosLocker offre supporto tecnico per aiutare le vittime a riprendersi dopo essere state attaccate con un software di crittografia che il gruppo sostiene sia "a prova di errore".,"ha bassi tassi di rilevamento ed è in grado di gestire file di grandi dimensioni. Questo ransomware ha anche un sito di estorsioni, che afferma di aver avuto un impatto su sei organizzazioni nei seguenti paesi: gli Stati Uniti., il Regno Unito., gli Emirati Arabi Uniti, Belgio, Spagna e Libano. Abbiamo osservato richieste di riscatto iniziali che vanno da $50,000 a $ 75.000", unità di Palo Alto 42 disse.
Hive ransomware
Questo gruppo di ransomware è noto per il suo gioco a doppia estorsione che è iniziato per la prima volta a giugno. Sembra che da allora Hive ransomware ha attaccato 28 organizzazioni attualmente elencate sul suo sito di estorsione. Le vittime includono una compagnia aerea europea e tre statunitensi. organizzazioni.
La banda del ransomware utilizza diversi strumenti nel "set di strumenti di estorsione" per spingere la vittima a pagare, compreso il conto alla rovescia, data del compromesso iniziale, data della fuga di notizie sul loro sito, e la possibilità di condividere la fuga di notizie sui social media.
HelloKitty ransomware
Apparentemente, HelloKitty non è un nuovo gruppo di ransomware, come si può far risalire a 2020. Ha preso di mira principalmente i sistemi Windows, ma a luglio è stata rilevata una variante Linux che prendeva di mira l'hypervisor ESXi di VMware.
Questo non è l'unico gruppo di ransomware che sfrutta l'hypervisor ESXi di VMware. Nel mese di febbraio 2021, Operatori RansomExx utilizzato CVE-2019-5544 e CVE-2020-3992 in VMware ESXi. Il dispositivo è un hypervisor che consente a più macchine virtuali di condividere lo stesso spazio di archiviazione su disco rigido. Ci sono state anche indicazioni che anche la banda di ransomware Babuk Locker sta effettuando attacchi basati su uno scenario simile.
LockBit 2.0 Ransomware
Questo è un giocatore ben noto nel campo del ransomware-as-a-service, che esiste da almeno 3 anni. Affermare di avere una delle crittografie più veloci sul mercato, LockBit 2.0 ha avuto un impatto su più settori, con 52 le vittime ascoltano sul suo sito di perdite. Le vittime includono organizzazioni degli Stati Uniti, Messico, Belgio, Argentina, Malaysia, Australia, Brasile, Svizzera, Germania, Italia, Austria, Romania e Regno Unito, secondo i dati dell'Unità 42.
All'inizio di questo mese, il LockBit 2.0 gang ha colpito Accenture, una società di consulenza aziendale globale. I criminali informatici hanno pubblicato il nome e il logo dell'azienda. I clienti di Accenture includono 91 nomi della fortuna globale 100, e almeno tre quarti di Fortune Global 500. Alcuni dei suoi clienti sono Alibaba, Google e Cisco. Questa è una delle principali società di consulenza tecnologica al mondo, con oltre 500,000 dipendenti attraverso 50 paesi.
"Con i principali gruppi di ransomware come REvil e Darkside che si nascondono o si stanno facendo il rebranding per sfuggire al calore delle forze dell'ordine e all'attenzione dei media, emergeranno nuovi gruppi per sostituire quelli che non prendono più attivamente di mira le vittime,"Unità di Palo Alto" 42 concluso.
Un'altra tendenza a cui prestare attenzione sono gli operatori ransomware’ recenti sforzi per reclutare dipendenti dell'azienda. Secondo un rapporto di Abnormal Security, un attore di minacce nigeriano sta cercando di reclutare dipendenti di un'organizzazione per distribuire il ransomware Black Kingdom per un taglio dei profitti del riscatto.