ICS-i lunavaraoht, hoolimata vähematest rünnakutest

ICS-i lunavaraoht, hoolimata vähematest rünnakutest

Ajatempel: 26. jaanuar 2024 9:19
Allikasõlm: 3087183

Vaatamata peamiste lunavaragruppide mahaarvamisele on need allesjäänud ohus osalejad jätkanud uute trikkide väljatöötamist, säilitades samal ajal võimaluse ära kasutada nullpäeva turvaauke, aidates neil teha vähemate rünnakutega rohkem kahju tööstuslikele juhtimissüsteemidele (ICS), selgub uutest uuringutest. .

Dragos avaldas oma uusima tööstuslik lunavara analüüs 2023. aasta viimases kvartalis, leides, et maastik on ICS-i vastu suunatud rünnakutes rafineeritum ja võimsam kui kunagi varem. See on üllatav paljastamine, arvestades hiljutisi kõrgetasemelisi lunavaraoperaatorite katsid kosmoses, sealhulgas Ragnar Kapp ja ALPHV, selgitati uues aruandes.

Tõsi, neid oli vähem lunavararünnakud, mis mõjutavad tööstussüsteeme analüüsiperioodil. Aruande kohaselt oli 32-st teadaolevalt ICS-i rünnanud rühmitusi kokku 77, mis olid eelmises kvartalis aktiivsed ning intsidentide arv langes eelmise aasta 231-lt 204. aasta neljandas kvartalis 2023-le.

Kuigi aruanne ei seosta rünnakute arvu muutumist ühegi konkreetse põhjusega, juhiti tähelepanu sellele, et üldine oht ICS-ile on endiselt "märkimisväärne".

Dragose meeskond teatas, et üks potentsiaalne panustaja on tõsiasi, et lunavararühmad nagu LockBit, BlackCat, Roya ja Akira on viimastel kuudel uuendusi teinud, lisades selliseid tehnikaid nagu kaugkrüptimine.

"See meetod hõlmab ohvri võrguga ühendatud lõpp-punkti kahjustamist ja selle kasutamist lunavararünnaku käivitamiseks ohvri keskkonnas, suurendades seeläbi eduka rünnaku tõenäosust," ütles meeskond.

ICS Ransomware tõstab oma PR-mängu

Need rühmad on samuti hakanud töötama oma meediasuhete kallal.

"Nad suhtlevad aktiivselt meediaga, et kujundada oma tegevust ümbritseva narratiivi, abistades ajakirjanikke ning pakkudes pressiteateid, KKK-sid ja intervjuusid, et manipuleerida avalikkuse arusaamaga," lisasid Dragose teadlased. "See arvutatud lähenemisviis võimaldab lunavarajõugudel oma kurikuulsust tugevdada ja ohvritele survet avaldada, suurendades lõpuks nende kasumlikkust."

Dragos lisas, et kaitsjate ülesanne on samamoodi oma suhtlusmängu intsidentidele reageerimisel parandada.

Lunavararühmad teevad ka tihedamat koostööd ja jagavad omavahel luureandmeid, aidates neil küberrünnakuid kiiresti arendada, hoiatavad teadlased. Aruandes osutati koostööle BianLian, White Rabbit ja Mario Ransomware, et sihtida finantsteenuseid osutavaid organisatsioone kui head näidet sellisest ohust.

"See kasvav koostöö kujutab endast potentsiaalseid riske kriitilisele infrastruktuurile ja tööstussektoritele, kuna küberkurjategijad jätkavad taktikate, tehnikate ja potentsiaalselt isegi haavatavuste jagamist, mida saab tulevaste rünnakute korral ära kasutada," lisas Dragos.

Samal ajal kui kõik rühmad lisavad oma lunavaraarsenali uusi tööriistu, lisasid Dragose teadlased, et nullpäeva haavatavuste ärakasutamine on jätkuvalt nende tegevuse jaoks kõige tõhusam, tuues välja hea näitena möödunud sügisest laialivalguvad LockBiti lunavararünnakud, mis võimendasid Citrix Bleedi nullpäev, mis mõjutas organisatsioone, sealhulgas Boeing, Hiina tööstus- ja kaubanduspank, Comcast Xfinity, ja rohkem.

Aktiivseimad ICS-i lunavaranäitlejad

Kuigi tööstussüsteemide vastu suunatud lunavararünnakute arv on vähenenud, hoiatab Dragos, et need küberkurjategijad on endiselt ohtlikud ohud.

Aruande järeldustes lisati LockBit 3.0 grupp oli kvartali kõige aktiivsem, põhjustades 25.5 protsenti (ehk 52 juhtumit). Black Basta lunavara oli 10.3 protsendiga teine.

"Tulevikku vaadates hindab Dragos mõõduka kindlusega, et lunavaraohu maastik areneb edasi, mida iseloomustab uute lunavaravariantide esilekerkimine," prognoosib aruanne. "Neid arenguid on oodata, kuna lunavararühmad püüavad täiustada oma ründemetoodikat, hoides tõenäoliselt nullpäeva haavatavused oma töövahendite komplekti võtmekomponendina."

Ajatempel:

Veel alates Tume lugemine