A célba vett szervezet 3 különböző váltságdíj-követelést is kapott a háromszorosan titkosított fájlokhoz.
A Sophos a Sophos X-Ops Active Adversary “Multiple Attackers: A Clear and Present Danger” címet viselő kutatási anyagában ismertette, hogy 3 prominens zsarolóvírus csoport, a Hive, a LockBit és a BlackCat is megtámadta ugyanazt a hálózatot egymás után. Az első két támadás két órán belül ment végbe, a harmadik támadás pedig két héttel később. Mindegyik zsarolóvírus csoport saját váltságdíj-követelést hagyott maga után, a fájlok egy részét pedig háromszorosan is titkosították.
“Már egy zsarolóvírus váltságdíj-követelést kapni is elég rossz, nem hogy hármat.”
– mondta John Shier, a Sophos szenior biztonsági tanácsadója.
“A több támadó a helyreállítás komplexitását teljesen új szintre emeli, különösen úgy, hogy bizonyos hálózati fájlokat háromszorosan titkosították. A kiberbiztonság, amely részét képezi a megelőzés, észlelés és a reagálás, kritikus fontosságú minden méretű és típusú szervezet számára – egyetlen vállalkozás sem immunis.”
A kutatási anyag további, egymást átfedő kibertámadásokat is ismertet, például kriptobányászokat, távoli hozzáférésű trójai eszközöket (RAT-ket) és botokat beleértve. A múltban, amikor több támadó célozta meg ugyanazt a rendszert, a támadások általában több hónap vagy több év különbséggel mentek végbe. A Sophos kutatási anyagában leírt támadások napokon vagy heteken belül zajlottak le – egy esetben pedig egyidőben – gyakran úgy, hogy a különböző támadók ugyanazon a sebezhető behatolási ponton keresztül keresztül fértek hozzá a célpont hálózatához.
Általában a bűnözői csoportok versengenek az erőforrásokért, ami megnehezíti azt, hogy több támadó egyidejűleg tevékenykedjen. A kriptobányászok általában kiütik versenytársaikat ugyanazon a rendszeren, napjaink RAT-jei pedig gyakran kiemelik a botok kilövésének funkcióját a bűnözői fórumokon. Ám abban a támadásban, melyben a 3 zsarolóvírus csoport részt vett, például a BlackCat – az utolsó zsarolóvírus-csoport a rendszeren – nem csak a saját tevékenységének nyomait törölte, hanem a LockBit és a Hive tevékenységének is. Egy másik esetben egy rendszert a LockBit zsarolóvírus fertőzött meg. Majd körülbelül 3 hónappal később a Contihoz kapcsolódó Karakurt Team tagjai képesek voltak a LockBit által létrehozott hátsó ajtó kihasználásával adatokat lopni, majd váltságdíj fejében visszatartani azokat.
“Összességében véve a zsarolóvírus-csoportok nem tűnnek nyíltan ellenségesnek egymással szemben. Sőt, a LockBit kifejezetten nem tiltja a szövetségeseinek azt, hogy azok a versenytársakkal dolgozzanak együtt, amint azt a Sophos kutatási anyaga is ismerteti”
– mondta Shier.
“Nincs bizonyítékunk együttműködésre, de lehetséges, hogy a támadók felismerték: az egyre kompetitívebbé váló piacon véges számúak az ‘erőforrások’. Vagy talán úgy vélik, hogy minél nagyobb nyomás nehezedik egy célpontra – például több támadással – annál valószínűbb, hogy az áldozatok fizetni fognak. Talán magas szinten folynak tárgyalások és kölcsönösen előnyös megállapodásokat kötnek, például amikor egy csoport a titkosítást végzi, egy másik adatokat lop. Egy bizonyos ponton a csoportoknak döntenie kell majd, hogy hogyan vélekednek az együttműködésről – akár továbbvigyék azt, akár kompetitív mentalitásra váltsanak – de a színtér egyelőre nyitva áll a különböző csoportok által végrehajtott többszörös támadásokhoz.”
A kutatási anyagban kiemelt támadások kezdeti fertőzéseinek többsége vagy kijavítatlan sebezhetőségen keresztül történt, melyek közül a leginkább említésre méltók a Log4Shell, ProxyLogon és ProxyShell voltak, vagy a rosszul konfigurált, nem biztonságos Remote Desktop Protocol (“távoli asztal protokoll”, “RDP”) szervereken keresztül. A legtöbb esetben, amelyben több támadó vett részt, az áldozatok nem tudták hatékonyan orvosolni a kezdeti támadást, így az ajtó nyitva maradt a jövőbeli kiberbűnözői tevékenységhez. Ezekben az esetekben ugyanazok a hibás RDP konfigurációk és az olyan alkalmazások, mint az RDWeb vagy AnyDesk, könnyen kihasználható útvonalakká váltak a következő támadások számára. Sőt, a feltört RDP és VPN szerverekhez való hozzáférések a dark weben eladott legnépszerűbb tételek közé tartoznak.
“Ahogy azt a legutóbbi Active Adversary Playbook is megjegyzi, 2021-ben a Sophos egyre több szervezetet látott, amely egyszerre több támadásnak vált áldozatává és jelzésként szerepel, hogy ez egy növekvő tendencia lehet,”
– mondta Shier.
„Bár az olyan esetek számában történő növekedés, amelyben több támadó vett részt, továbbra is anekdotikus bizonyítékokon alapul, a kihasználható rendszerek elérhetősége bőséges lehetőséget ad a kiberbűnözőknek, hogy ebbe az irányba haladjanak tovább.”