IT SECURITY NETWORK NEWS je B2B komunitní web zaměřený na IT bezpečnost a související témata. #security #bezpečnost #ITSECNN

12 nových zranitelností použitých u ransomwarových útoků ve 3. čtvrtletí

ransomware-flaws-3Q-2021

Zpráva Q3 2021 odhalila 4,5% nárůst CVE souvisejících s ransomwarem a 3,4% nárůst rodin ransomwaru ve srovnání s Q2 2021.

V tomto čtvrtletí bylo při ransomwarových útocích použito tucet nových zranitelností, čímž se celkový počet chyb spojených s ransomwarem zvýšil na 278. To je podle výzkumníků nárůst o 4,5 procenta oproti 2. čtvrtletí.

Pět z těchto nováčků lze použít k dosažení vzdáleného spouštění kódu (RCE), zatímco dva lze použít k využívání webových aplikací a spouštění útoků typu denial-of-service (DoS). To není nikdy dobrá zpráva, ale je to obzvláště zlé vzhledem k tomu, že v tomto čtvrtletí, podle samostatné studie, také distribuované útoky DoS (DDoS) překonaly rekordy.

Zprávy o nových zranitelnostech, na které se vrhli operátoři ransomwaru, pocházejí z indexu ransomwaru společnosti Ivanti za Q3 2021, vytvořeným se Cyber ​​Security Works a Cyware.

Aaron Sandeen, generální ředitel Cyber ​​Security Works, v tiskové zprávě uvedl, že třetí čtvrtletí bylo zkopírováním trendů ransomwaru ze zbytku roku. Konkrétně: „Ve 3. čtvrtletí jsme i nadále byli svědky toho, že útoky ransomwaru agresivně rostly v sofistikovanosti a četnosti.“

Ranní ptáče dál doskáče
Čtvrtletní analýza ransomwaru také zjistila, že skupiny ransomwaru stále nacházejí a využívají slabiny zero-day před objevením a záplatou CVE. Příklad: Hodně hanobený ransomwarový gang REvil našel a využil chyby v softwaru Kaseya VSA, protože bezpečnostní tým společnosti stále pracoval na trojici záplat.

2. července gang REvil otevřel tři zero-day na platformě Virtual System/Server Administrator (VSA) společnosti Kaseya při více než 5 000 útocích. K 5. červenci se celosvětový útok rozpoutal ve 22 zemích a zasáhl nejen zákaznickou základnu poskytovatelů spravovaných služeb (MSP) společnosti Kaseya, ale vzhledem k tomu, že mnoho z nich používá VSA ke správě sítí jiných podniků, sápal se po vlastních zákaznících těchto MSP.

Počty ransomwaru rostou na všech frontách
Třetí čtvrtletí také přineslo devět nových zranitelností s nižším hodnocením závažnosti spojených s ransomwarem. Aktualizace indexu ransomwaru za 3. čtvrtletí pro rok 2021 také identifikovala skupiny ransomwaru, které ve 3. čtvrtletí rozšiřují svůj útočný arzenál o 12 nových asociací zranitelnosti.

Analýza Q3 také identifikovala pět nových rodin ransomwaru, čímž se celkový počet zvýšil na 151. Nové skupiny ransomwaru se rychle vrhly na některé z nejnebezpečnějších zranitelností, jako jsou PrintNightmare, PetitPotam a ProxyShell, jen několik týdnů poté, co se začaly objevovat.

Techniky používané při ransomwarových útocích jsou také stále sofistikovanější. Jedním z příkladů citovaných v analýze je dropper as-a-service – služba, která technicky nenáročným zločincům umožňuje distribuovat malware prostřednictvím programů, které dokážou spustit škodlivou zátěž na počítač oběti.

Dalším je trojan-as-a-service, také známý jako malware-as-a-service: služba, která umožňuje komukoli, kdo má připojení k internetu, pronajmout si přizpůsobené malwarové služby, což mu umožňuje získávat, implementovat a vydělávat na cloudu s nulovou instalací.

Zdá se, že všechny špatné věci se dají pronajmout: Ransomware-as-a-service (RaaS) například podporuje šíření ransomwaru a šetří podvodníky nutnosti zaplétat se s kódem.

Zpráva také zjistila, že tři zranitelnosti datované do roku 2020 nebo dříve byly ve 3. čtvrtletí 2021 nově spojeny s ransomwarem, čímž se celkový počet starších zranitelností souvisejících s ransomwarem zvýšil na 258. Neuvěřitelných 92,4 procent všech zranitelností je spojených s ransomwarem.

Zdroj: threatpost.com

@RadekVyskovsky