Az elmúlt hetek is bővelkedtek zsarolóvírus eseményekben, cikkünkben összefoglaltuk a főbb történéseket.
QNAP NAS-ok elleni zsarolóvírus kampány
Kezdjük azzal, ami felhasználók ezreit érintheti: a QNAP fontos biztonsági javítást adott ki egy nulladik napi hiba kijavításához, amit támadók a hírhedt DeadBolt zsarolóvírus terjesztésére használnak. A hiba a Photo Station képmenedzser alkalmazást érinti. A cég a frissítések mielőbbi telepítését javasolja, vagy alternatívaként a QuMagie képkezelő alkalmazás használatát. NAS-ok elleni DeadBolt kampányra korábban is volt már példa, a témában az NBSZ NKI februárban riasztást is adott ki.
Az InterContinental elleni támadás
Valószínűleg ransomware támadás okoz fennakadást az egyik vezető hotellánc, az InterContinental Hotels Group PLC foglalási rendszereiben. A hivatalos közlemény jogosulatlan hozzáférésről szól, „azonban a helyreállítási munkálatok” azt sejtetik, hogy az incidens ransomware-típusú volt. A kiberhírszerzési cég, HudsonRock információk szerint 15 dolgozó és több, mint 4000 felhasználó érintett a támadásban. Az InterContinental több, mint 6000 hotelt üzemeltet világszerte, így jogosan várható bővebb tájékoztatás az esetről.
Támadás a Los Angeles-i egyesített iskolai körzet ellen
A Los Angeles Unified (LAUSD) az USA második legnagyobb iskolai körzete. Információk szerint a Vice Society ransomware okoz fennakadást egyes IT rendszerek működésében, azonban az iskolákat szerencsére nem kellett bezárni. A hacker csoport mindazonáltal azt állítja, 500 GB-nyi adatot loptak a támadás során, az LAUSD pedig minden dolgozót és iskolást arra kért, hogy cseréljenek jelszót minden LAUSD.net-es fiókjukon.
Egykori Conti tagok is részt vesznek ukrán és európai célpontok elleni támadásokban
A 2020-ban aktivizálódott Conti az elmúlt évek egyik fő ransomware fenyegetési szereplőjévé nőtte ki magát. A csoport azóta több kisebb alegységre bomlott, a Google fenyegetéselemző csoportja pedig arra figyelmeztet, hogy egyes volt Conti tagok is részt vesznek a UAC-0098 csoport kiberműveleteiben, amelyek elsősorban ukrán és európai szervezetek ellen irányulnak. Midez rávilágít arra a trendre, hogy a kelet-európai, eredendően pénzügyi motivációjú kiberberbűnözői csoportok politikai célok támogatásában is közreműködnek.
Veszélyes új technika jelent meg
Egyre több zsaroló csoport (Black Basta, ALPHV (BlackCat), PLAY, Agenda, Qyick) alkalmazza a szakaszos adattitkosítás (intermittent encryption) taktikát, ami lehetővé teszi, hogy gyorsabban titkosítsák az áldozat fájljait, ezzel együtt a támadás azonosítása is nehezebb. A taktika lényege, hogy nem a teljes fájl kerül titkosításra, például egy fájl minden második 16 bájtjának kihagyásával a titkosítási folyamat a teljes titkosításhoz szükséges idő majdnem felét veszi csak igénybe, miközben a tartalmat továbbra is véglegesen zárolja. További jelentős előny a támadó számára, hogy mivel a titkosítási folyamat így kevesebb írási-olvasási műveletet igényel, egyes detektáló szoftverek így nehezebben azonosítják a ransomware működését.