Af Eskil Sørensen, 03/10/23
Ransomware-grupper forsætter sin produktudvikling i deres forsøg på at tage data som gidsel.
Dette advarer FBI om i en såkaldt Private Industry Notification fra sidste uge, som er refereret i The Record. Det er efterhånden en kendt sag, at ransomwareaktører er langt fremme, når det handler om produkt- og strategiudvikling. Der afprøves hele tiden nye angrebsmetoder, og denne gang går det på at anvende flere malwarestammer og destruktive værktøjer i det samme angreb ud for at opnå målet med aktiviteterne: kryptering eller tyveri.
Det fremgår af FBIs papir, ‘Two or More Ransomware Variants Impacting the Same Victims and Data Destruction Trends’, at bander i stigende grad bruger en kombination af forskellige malware og wiperværktøjer for at presse ofrene til forhandling.
FBI skriver i sin meddelelse, at der i nogle tilfælde er blevet tilføjet ny kode til kendte værktøjer for at forhindre, at angrebsforsøgene bliver opdaget. I andre tilfælde har værktøjerne ligget i dvale indtil et bestemt tidspunkt, hvor de så blev eksekveret.
FBI tilføjer, at der også er set flere grupper, der bruger en kombination af to ransomware-stammer under angreb. Disse grupper skulle efter det oplyste anvende forskellige typer som AvosLocker, Diamond, Hive, Karakurt, LockBit, Quantum og Royal, som har været installeret samtidig.
Intet nyt under solen
Ifølge eksperter, som The Record citerer, er der intet nyt i, at ransomwareaktører bruger forskellige værktøjer. Emsisofts ransomware-ekspert Brett Callow oplyser til The Record, at hans firma har set ’dobbeltkrypteringsangreb’ siden begyndelsen af 2021. Og der er fx set kryptering af data med én ransomware-stamme, hvorefter data er blevet genkrypteret med den anden stamme. I den slags angreb har Emsisoft set REvil-, Netwalker-, MedusaLocker- og GlobeImposter-stammerne blive brugt.
I andre tilfælde vil hackere kryptere nogle data med én stamme og resten med en anden. Givetvis for at gøre arbejdet med at genoprette data med kompliceret og dermed øge sandsynligheden for, at løsesummen blev udbetalt. Også for at sikre, at ransomwarestammerne kunne supplere hinanden, hvis den ene fejlede.
Mere Wiper
Uanset om FBI har ret i, at flere værktøjer bruges i forbindelse med ransomwareangreb, så siger The Records analytiker inden for trusselsefterretning, at wiper-malware i højere grad er begyndt at spille en rolle, hvis forhandlinger det går trægt med løsesumsforhandlingerne. Selv om destruktiv wipermalware primært blevet set ifm. ransomware-angreb ved krig eller geopolitiske konflikter, som fx. mod ukrainske systemer, så er wipermalware ifølge The Record efterhånden blevet et globalt fænomen, hvor wiperer blevet set i 24 lande i første halvdel af 2022.
Links:
https://www.ic3.gov/Media/News/2023/230928.pdf
https://therecord.media/ransomware-using-multiple-strains-fbi