Spotlight på aktuella och nya ransomware-attacker

Covewares nya studie visar att att ge efter för ransomware-hot kan leda till fler ransomware-attacker och mer komplexa sådana.

I en studie som släpptes i måndags sa säkerhetsföretaget att genomsnittliga och medianutbetalningar av lösensummor ökade under det första kvartalet i år, och det ser ut som att vissa ransomware-grupper använde pengarna de tjänade för att köpa bättre sätt att komma in i organisationer. Under det första kvartalet såg Coveware en minskning av falska e-postmeddelanden och ökat missbruk av mjukvarusårbarheter. Enligt studien var de vanligaste utnyttjandena kända brister i Fortinet och Pulse Secure VPN-produkter.

Totalt sett ökade det genomsnittliga beloppet för ransomware-attacker med 43 %, från 154 108 USD under fjärde kvartalet 2020 till 220 298 USD under första kvartalet 2021. Under första kvartalet steg det genomsnittliga beloppet med mer än 50 % till 78 398 USD.

Studien säger att många hotgrupper, som de bakom Sodinokobi, Conti V2 och Lockbit, pressade på genomsnittet och medianen. Men i synnerhet Clop ransomware var mycket upptagen under det första kvartalet och drabbade många människor med mycket höga betalningskrav.

Coveware sa att att ge efter för dessa förfrågningar ger människor en falsk känsla av säkerhet, leder till oväntade effekter och skapar framtida förpliktelser.

Så, vad betyder detta? Vilka är de nuvarande och nya ransomware-attacker att hålla utkik efter? Kolla in det här vitboken för att lära dig mer.

Förstå vad är WannaCry & DearCry

Ransom: Win32/DoejoCrypt.A, även känd som "DearCry", är en ny familj av ransomware som infekterade flera organisationer genom flera zero-day sårbarheter i lokala versioner av Microsoft Exchange Server. Dessa sårbarheter användes först av olika hotaktörer, inklusive en kinesisk nationalstatsgrupp, för att attackera organisationer.

Den första rapporten om DearCry kom från Michael Gillespie i tisdags. Han är författaren till den kostnadsfria cybersäkerhetstjänsten för ransomware-spårning ID Ransomware. På torsdagen twittrade han att en ny version med "DEARCRY!" filmärken skickades till ID Ransomware-systemet från Exchange-servrar.

Gillespie sa att från och med torsdagen hade ID Ransomware fått rapporter om DearCry från sex IP-adresser i USA, Kanada och Australien. MalwareHunterTeam, en grupp säkerhetsforskare som arbetar med ID Ransomware, sa i en tweet att de också hört från personer i Österrike och Danmark som drabbats.

BleepingComputer släppte en rapport om ransomware för cybersäkerhet på torsdagskvällen. Ransomware-attackrapporten kopplade den till Microsoft Exchange Server-brister, varav den farligaste är ProxyLogon. Senare samma kväll skickade Microsoft Security Intelligence ut en tweet som var dess första tydliga svar på DearCry.

Black Kingdom skadlig kod genom att ändra Mega-lösenordet

Senaste ProxyLogon-attacker mot Microsoft Exchange-servrar hittade Black Kingdom ransomware. Ett enkelt lösenordsbyte stoppade det, åtminstone tillfälligt. Brett Callow, en säkerhetsforskare på Emsisoft, berättade för SearchSecurity att Black Kingdom gjorde krypteringsnycklar och skickade dem till molnlagringssajten Mega. Men, sa han, om ransomware-attacken inte kan nå Mega kommer den att använda en statisk, lokal nyckel istället. Under de senaste strejkerna verkade Black Kingdom inte kunna säkra de datorer det var ute efter, och i vissa fall använde det den statiska nyckeln istället.

"Någon ändrade lösenordet till Mega-kontot, så att ransomware inte kan komma åt det och går tillbaka till att använda den hårdkodade nyckeln," sa Callow. "Eftersom vi har den hårdkodade nyckeln kan vi kanske hjälpa människor att återställa sin data."

Det är oklart när lösenordet ändrades, men Callow berättade om det för SearchSecurity på måndagsmorgonen. SearchSecurity beslutade att inte publicera informationen omedelbart så att Black Kingdom-hotspelare inte skulle veta att ransomware-attacken hade stoppats.

Mark Loman, chef för tekniker för nästa generations teknologier på Sophos, skrev ett blogginlägg om cybersäkerhet ransomware på tisdagen. I den pratade han om hur det fungerar med Mega. Loman sa till SearchSecurity att den kan avkodas med samma statiska nyckel för att säkra den. Han sa också säkert att programvaran inte kan ansluta till Mega.

Ladda ner Tech Targets whitepaper för att lära dig mer om Spotlight on Current & Emerging Ransomware-hot endast på Whitepapers Online.