2021년이 랜섬웨어에 휩싸인 후 2022년에도 공격 규모는 계속해서 증가하고 있습니다. 실제로 화요일에 발표된 보고서에 따르면 올해 첫 XNUMX개월 동안 랜섬웨어 탐지 규모가 작년 전체에 대해 보고된 총 규모의 거의 두 배에 달하는 것으로 나타났습니다. .
2021년 말에 주요 랜섬웨어 그룹인 REvil이 몰락한 것처럼 보였지만 점점 더 많은 숫자가 발생했습니다. 이것은 랜섬웨어 전술에서 상당한 이익을 얻기 위해 범죄 조직을 개혁, 브랜드 변경 및 재편성하는 범죄 행위자의 끈기를 보여주는 증거입니다.
이러한 지속성은 보안 연구원들이 최근 두 달 동안 Black Basta 랜섬웨어 갱의 출현에 이어 빠르게 증가했음을 주목한 보안 연구원들에 의해 연구되었습니다. LAPSUS$ 그룹 올해 초이다.
Ransomware 2022 볼륨: 상향, 상향, 상향
오늘 수치는 분기별 "인터넷 보안 보고서” 1년 2022분기 위협 동향을 조사한 WatchGuard Threat Lab에서 발췌했습니다. 이 회사의 연구원들은 2021년 첫 1개월 동안 고유한 랜섬웨어 탐지가 2022년 같은 기간에 비해 80배 증가했다고 보고했습니다. 한편, 2021년 XNUMX분기 랜섬웨어 볼륨은 XNUMX년 전체에 기록된 총 볼륨의 XNUMX% 이상에 해당했습니다.
WatchGuard의 최고 보안 책임자인 Corey Nachreiner는 "올해 랜섬웨어의 초기 급증과 이전 분기의 데이터를 기반으로 볼 때 2022년에는 연간 랜섬웨어 탐지 기록이 경신될 것으로 예상합니다"라고 말했습니다. 다시 2018.
LAPSUS$, 지하 경제에 한 단계 도약
그의 팀 보고서에 따르면 세간의 이목을 끄는 체포와 기소에도 불구하고 US 과 러시아인 2021년 말과 2022년 초에 당국에 의해 수많은 REvil 랜섬웨어 갱단이 중단된 결과, 랜섬웨어 공격은 계속해서 발생하고 있습니다. 그들의 분석은 REvil의 혼란이 LAPSUS$가 크게 등장할 수 있는 "문을 열었다"는 것을 보여줍니다.
“LAPSUS$ 그룹은 이중 갈취 랜섬웨어 기법 그로 인해 사이버 보안 의사 결정권자들이 주의를 기울였습니다.”라고 보고서는 설명합니다. “조직의 직원을 고용하여 내부 정보를 훔친 다음 갈취 기법을 사용하여 피해자 조직을 협박하는 것으로 알려졌습니다. 그들의 희생자 목록은 또한 의사 결정자들에게 주의를 환기시킵니다. Microsoft, Nvidia, Samsung, Ubisoft, Okta 및 T-Mobile은 모두 LAPSUS$의 피해자입니다.”
새로운 그룹의 이러한 종류의 부활은 XNUMX월에 운영을 중단한 것으로 보고된 REvil 및 Conti와 같은 그룹의 종말에 대한 보안 팀의 축하를 약화시킬 것입니다. NCC 그룹의 통계 랜섬웨어 갱단 Hydra의 다른 수장이 이미 등장하기 시작했다는 경고와 함께 그 달에 공격이 약간 감소했습니다.
Black Basta: 랜섬웨어 차단의 새로운 키드
가장 최근에는 Black Basta 랜섬웨어 갱단이 등장했습니다. 이달 초, 두 개의 별도 보고서 Uptycs와 NCC Group의 조사에 따르면 Black Basta는 ESXi 기반 시스템과 서버를 다른 피해자들 사이에서 표적으로 삼고 있으며 Qbot 악성코드 제품군(Qakbot이라고도 함)을 활용하여 추적하는 네트워크에서 지속성을 유지하고 있습니다.
Jake Williams는 "Black Basta가 ESXi에 대한 기능을 처음으로 개발한 것은 아니지만(LockBit, Hive 및 Cheerscrypt는 이미 ESXi 기능을 시연했음) Black Basta에서 랜섬웨어 작업을 수행하는 팀의 상대적 정교함을 보여줍니다"라고 말했습니다. SCYTHE의 사이버 위협 인텔리전스 전무 이사는 Dark Reading에 제공한 성명서에서 다음과 같이 말했습니다. “Qakbot과 같은 상용 맬웨어의 사용은 '상용' 맬웨어 감염과 같은 것이 없음을 보여줍니다. 조직은 모든 맬웨어 탐지를 위협 행위자가 랜섬웨어를 배포할 수 있는 기회로 간주해야 합니다."
그동안, 자문 보고서 지난주 Cybereason Nocturnus 연구팀은 Black Basta의 전술, 기술 및 절차에 대한 자세한 내용을 제공했습니다. 이들은 지난 50월부터 전 세계 영어권 기업 XNUMX여 곳을 공격해 그룹의 위협이 매우 심각한 것으로 판단했다. 연구원들은 회사의 특징이 이중 갈취를 사용하는 것이라고 말했습니다. 요구되는 금액은 종종 수백만 달러입니다.
Black Basta의 갑작스러운 부상은 그룹이 실제로 가장 최근에 해산된 두 그룹의 재편성일 뿐이라는 추측이 있습니다.
Cybereason의 CEO인 Lior Div는 "빠른 상승세와 공격의 정확성으로 인해 Black Basta는 2021년에 가장 수익성이 높은 두 랜섬웨어 갱인 Conti 및 REvil 갱단의 전 구성원이 운영할 가능성이 높습니다.
