Play ransomware postaje komercijalan

AUTOR ·

Play ransomware postaje komercijalan pokazuje istraživanje sigurnosne kompanije Adlumin koja je uočila da zlonamjerni akteri koji stoje iza ovog zlonamjernog softvera počinju da nude ovaj ransomware kao uslugu (eng. as a service), odnosno uvode pretplatnički model distribucije zlonamjernog softvera.

Play ransomware

Play ransomware postaje komercijalan; Source: Bing Image Creator

PLAY RANSOMWARE POČETCI

Play ransomware poznat još kao Balloonfly i PlayCrypt otkriven je prošle godine tokom ljeta. Primijećeno je da cilja vladine agencije u latinskoj Americi, a nešto kasnije mete u SAD i Evropi. Ovaj ransomware zlonamjerni softver kao i većina zlonamjernog softvera iz ove grupe primjenjuje taktiku dvostruke ucjene, odnosno krađu podataka prije njihovog šifrovanja.

Play ransomware je dobio svoje ime po tome što dodaje ekstenziju “.play” nakon šifrovanja korisničkih podataka. Pored toga, njegova poruka u kojoj se zahteva otkup podatka sadrži riječ “PLAY” zajedno sa adresom elektronske pošte ransomware grupe. Vremenom su zlonamjerni akteri koji stoje iza ovog ransomware zlonamjernog softvera dodali više alata i zloupotrebili nove ranjivosti u svom rastućem arsenalu, uključujući ranjivosti ProxyNotShell, OWASSRF i daljinsko izvršavanje kôda na Microsoft Exchange Server sistemima.

Postoje dokazi da je Play ransomware povezan sa drugim ransomware porodicama kao što je Hive i Nokoyawa sa kojima dijeli neke taktike i alate, kao i Quantum ransomware zlonamjernim softverom koji je ogranak Conti ransomware grupe.

 

PLAY RANSOMWARE RAAS

Ransomware kao usluga (eng. Ransomware-as-a-Service – RaaS) je zlonamjerni poslovni model u kojem zlonamjerni akteri obezbjeđuju alate i infrastrukturu za ransomware drugim pojedincima ili grupama, poznatim kao filijale, koji žele da sprovode ransomware napade radi profita. Obično se RaaS isporučuje preko usluge zasnovane na pretplati, slično kao legitimna platforma softver kao usluga (eng. software-as-a-service – SaaS). RaaS omogućava zlonamjernim osobama sa malo tehničkog znanja i sposobnosti da brzo i lako pokrenu ransomware kampanje kao bi došlo do profita.

Od avgusta ove godine posmatrani napadi Play ransomware zlonamjernog softvera u različitim industrijskim granama pokazuju da su zlonamjerni akteri koristili iste taktike, tehnike i procedure (eng. tactics, techniques, and procedures – TTP), prateći uvijek iste korake istim redoslijedom – skoro identično. Još više, indikatore kompromisa u ovim incidentima skoro da nije bilo moguće razlikovati.

Ovaj visok nivo dosljednosti u metodama koje koriste zlonamjerni akteri mnogo govori. Prvo, to sugeriše oslanjanje na priručnike ili uputstva korak po korak koja se isporučuju sa RaaS kompletima. I drugo, ciljane žrtve su imale zajednički profil; bile su manje organizacije koje su posjedovale finansijske kapacitete da obezbijede otkupnine koje su dostizale ili prelazile milion američkih dolara.

 

ZAKLJUČAK

Svaka ransomware grupa koja prelazi na pretplatnički model ransomware kao usluga, trebalo bi da izazove alarm kod poslovnih organizacija. RaaS model predstavlja značajnu prijetnju, jer omogućava zlonamjernim akterima da povećaju broj napad i direktno podržava napadače u usavršavanju – to jest, napadači koji nisu imali tehničku stručnost ili sposobnost da pokrenu napad ransomware zlonamjernog softvera, sada je imaju.

 

“Kada RaaS operateri reklamiraju komplete ransomvare-a koji dolaze sa svim što će hakeru trebati, uključujući dokumentaciju, forume, tehničku podršku i podršku za pregovore o otkupu, djeca na skriptama će biti u iskušenju da okušaju sreću i iskoriste svoje vještine. A pošto danas vjerovatno ima više djece na skipti nego “pravih hakera”, kompanije i vlasti bi trebalo da to primjete i pripreme se za rastući talas incidenata.”

 – Adlumin –

 

Evolucija Play ransomware zlonamjernog softvera u profitabilan model ransomware kao servis (RaaS) označava značajan razvoj u okruženju sajber prijetnji. Privlačnost RaaS modela za širi spektar zlonamjernih aktera različitih profila, od iskusnih hakera do djece na skriptama, predstavlja rastuću pratnju. Sa sada dostupnim kompletima softvera za ransomware, zajedno sa dokumentacijom, forumima, tehničkom podrškom i pomoći u pregovorima o otkupnini, preduzeća i vlasti moraju ostati na oprezu i ojačati svoju odbranu kako bi se snašli u rastućoj plimi sajber incidenata.

 

ZAŠTITA

Kako bi se korisnici zaštitili od Play ransomware zlonamjernog softvera mogu da koriste neke od sljedećih koraka za ublažavanje ove prijetnje:

  • Implementirati autentifikaciju u više koraka (eng. multifactor authentication – MFA) za sve moguće usluge kako bi se spriječilo bočno kretanja napadača,
  • Primjenjivati princip najmanje privilegija, posebno na kritične sisteme i usluge,
  • Omogućiti logičku i fizičku segmentaciju mreže za razdvajanje pristupa različitim dijelovima poslovne organizacije,
  • Obezbijediti domenski kontroler (eng. domain controller – DC) koristeći najbolje prakse iz sajber bezbjednosti,
  • Primjenjivati pravilo 3-2-1 za pravljenje rezervne kopije podataka, sa vanmrežnim i šifrovanim rezervnim kopijama,
  • Primjenjivati redovno ažuriranje operativnog sistema i aplikacija kao bi se na vrijeme ispravili sigurnosni propusti.
  • Koristiti provjerena sigurnosna riješenja opremljena naprednim mehanizmima za otkrivanje prijetnji i prevenciju da bi se efikasno identifikovale i spriječile zlonamjerne aktivnosti.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.