Driver nye bølger af ransomwareangreb
En ny analyse fra sikkerhedsfirmaet ReliaQuest viser, at ransomwaregrupper i stigende grad kombinerer automatiseret rekognoscering med målrettet udnyttelse af kendte sårbarheder for at få adgang til sårbare systemer. Tendensen har ført til markante stigninger i antallet af kompromitteringer i 2. kvartal 2025.
Det skriver Infosecurity Magazine.
Det er særligt RaaS-grupper, altså grupper opererer under ransomware-as-a-service-modellen, som skal have succes med metoderne. Konkret nævnes grupperne Qilin, Akira, DragonForce og det nyere aktørnetværk RansomHub, der har vist stor effektivitet i udnyttelsen af en række kendte sårbarheder i både kommercielle firewall- og fjernstyringsprodukter.
Kendte sårbarheder udnyttes i stor skala
I perioden har ReliaQuest dokumenteret følgende sårbarheder som aktivt udnyttet af de nævnte grupper:
- Qilin: Fortinet FortiOS (CVE-2024-55591, CVE-2024-21762)
- Akira: SonicWall (CVE-2024-40766), Cisco VPN (CVE-2023-20269)
- Clop: MFT-produkter fra Cleo og MoveIT (CVE-2024-50623, CVE-2023-34362)
- RansomHub: SimpleHelp Remote Management (CVE-2024-57726–28), Fortinet (CVE-2023-27997), Apache OpenWire (CVE-2023-46604)
Ifølge ReliaQuest sker udnyttelsen ofte via automatiserede værktøjer, der scanner efter sårbare systemer og udløser angreb kort tid efter offentliggørelse af sikkerhedsopdateringer – ofte før enheder når at blive patchet. Dette betyder, at "time-to-exploit" i mange tilfælde er reduceret til få dage, hvilket stiller store krav til institutioners patchmanagement og aktiveringshygiejne.
Et konkret eksempel er CVE-2024-21762, som blev udnyttet af Qilin, og hvor over 150.000 Fortinet-enheder stadig var sårbare mere end en måned efter patchen blev frigivet. Denne blev publiceret den 9. februar 2024. Den kom straks på CISAs KEV-liste over kendte udnyttede sårbarheder med deadline til håndtering sat allerede ugen efter, dvs. den 16. februar 2024.
Uadministrerede og ukendte aktiver i risikozonen
ReliaQuest peger på, at det i høj grad er ukendte eller uadministrerede aktiver – såkaldt “shadow IT” – som bliver indgangspunkt for angreb. Disse systemer er ofte svære at patch’e, enten på grund af manglende oversigt, tekniske afhængigheder eller organisatoriske barrierer.
Dette gør det endnu mere relevant at bl.a. gennemføre regelmæssige sårbarhedsscanninger, hurtig patchning og – ikke mindst – at identifikation af ukendte eller uadministrerede systemer.