Phần mềm độc hại ngân hàng được gọi là Carbanak đã được quan sát thấy đang được sử dụng trong các cuộc tấn công ransomware với các chiến thuật cập nhật.
"Phần mềm độc hại đã thích nghi để kết hợp các nhà cung cấp và kỹ thuật tấn công để đa dạng hóa hiệu quả của nó", công ty an ninh mạng NCC Group cho biết trong một phân tích về các cuộc tấn công ransomware diễn ra vào tháng 11/2023.
Carbanak đã trở lại vào tháng trước thông qua các chuỗi phân phối mới và đã được phân phối thông qua các trang web bị xâm nhập để mạo danh các phần mềm liên quan đến kinh doanh khác nhau.
Một số công cụ mạo danh bao gồm phần mềm liên quan đến kinh doanh phổ biến như HubSpot, Veeam và Xero.
Carbanak, được phát hiện trong tự nhiên ít nhất từ năm 2014, được biết đến với các tính năng lọc dữ liệu và điều khiển từ xa. Khởi đầu là một phần mềm độc hại ngân hàng, nó đã được đưa vào sử dụng bởi tập đoàn tội phạm mạng FIN7.
Trong chuỗi tấn công mới nhất được ghi nhận bởi NCC Group, các trang web bị xâm nhập được thiết kế để lưu trữ các tệp cài đặt độc hại giả mạo là tiện ích hợp pháp để kích hoạt việc triển khai Carbanak.
Diễn biến này diễn ra khi 442 cuộc tấn công ransomware đã được báo cáo vào tháng trước, tăng từ 341 sự cố vào tháng 10/2023. Tổng cộng 4.276 trường hợp đã được báo cáo cho đến nay trong năm nay, "ít hơn 1000 sự cố so với tổng số của năm 2021 và 2022 cộng lại (5.198)".
Dữ liệu của công ty cho thấy các ngành công nghiệp (33%), chu kỳ tiêu dùng (18%) và chăm sóc sức khỏe (11%) nổi lên là những lĩnh vực được nhắm mục tiêu hàng đầu, với Bắc Mỹ (50%), Châu Âu (30%) và Châu Á (10%) chiếm hầu hết các cuộc tấn công.
Đối với các họ ransomware được phát hiện phổ biến nhất, LockBit, BlackCat và Play đã đóng góp 47% (hoặc 206 cuộc tấn công) trong số 442 cuộc tấn công. Với việc BlackCat bị chính quyền tháo dỡ trong tháng này, vẫn còn phải xem động thái này sẽ có tác động gì đến bối cảnh mối đe dọa trong tương lai gần.
"Với một tháng trong năm còn lại, tổng số cuộc tấn công đã vượt qua 4.000, đánh dấu sự gia tăng lớn từ năm 2021 và 2022, vì vậy sẽ rất thú vị để xem liệu mức độ ransomware có tiếp tục tăng vào năm tới hay không", Matt Hull, người đứng đầu toàn cầu về tình báo mối đe dọa tại NCC Group, cho biết.
Sự gia tăng đột biến các cuộc tấn công ransomware trong tháng 11 cũng đã được chứng thực bởi công ty bảo hiểm mạng Corvus, cho biết họ đã xác định được 484 nạn nhân ransomware mới được đăng lên các trang web rò rỉ.
"Hệ sinh thái ransomware nói chung đã xoay trục thành công khỏi QBot", công ty cho biết. "Việc khai thác phần mềm và các gia đình phần mềm độc hại thay thế trở thành một phần trong tiết mục của họ đang mang lại lợi ích cho các nhóm ransomware."
Trong khi sự thay đổi này là kết quả của việc thực thi pháp luật gỡ bỏ cơ sở hạ tầng của QBot (hay còn gọi là QakBot), Microsoft, tuần trước, đã tiết lộ chi tiết về một chiến dịch lừa đảo khối lượng thấp phân phối phần mềm độc hại, nhấn mạnh những thách thức trong việc triệt phá hoàn toàn các nhóm này.
Sự phát triển này diễn ra khi Kaspersky tiết lộ các biện pháp bảo mật của ransomware Akira ngăn chặn trang web liên lạc của họ bị phân tích bằng cách đưa ra các ngoại lệ trong khi cố gắng truy cập trang web bằng trình gỡ lỗi trong trình duyệt web.
Công ty an ninh mạng Nga nhấn mạnh thêm việc các nhà khai thác ransomware khai thác các lỗ hổng bảo mật khác nhau trong trình điều khiển Windows Common Log File System (CLFS) - CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 (điểm CVSS: 7.8) - để leo thang đặc quyền.