Višestruki regionalni sukobi, kao što su nastavak ruske invazije na Ukrajinu i sukob Izraela i Hamasa, rezultirali su porastom cynber napada i haktivističkih aktivnosti, navodi Trellix.
Ransomware vođen vještačkom inteligencijom pojačava taktike cyber kriminala
Istraživanje istražuje sve složeniji ransomware ekosistem u kojem su grupe usvojile napredne alate s ugrađenom vještačkom inteligencijom za širenje ransomwarea.
Trellix telemetrija otkriva da grupe hakera povezane s Kinom ostaju preovlađujući izvor aktivnosti napredne persistentne prijetnje (APT) u državi, pri čemu Mustang Panda generiše više od 12% samo otkrivene APT aktivnosti.
“Proteklih šest mjeseci donijelo je napredak vještačke inteligencije, od ransomware-a vođenih vještačkom inteligencijom do analize ranjivosti potpomognute vještačkom inteligencijom, razvojnih kriminalnih strategija i geopolitičkih događaja, koji su preoblikovali cyber landscape. Planiranje otpornosti nikada nije bilo važnije za timove za cyber sigurnost,” rekao je John Fokker , šef obavještajnih podataka o prijetnjama, Trellix Advanced Research Center. “Povećana upotreba generativne vještačke inteligencije od strane cyber kriminalaca takođe je postavila nove izazove. Industrija mora nastaviti pratiti transformativnu upotrebu vještačke inteligencije od strane cyber kriminalaca kako bi ojačala odbranu”, dodao je Fokker.
Uz nekoliko hapšenja, podizanje optužnice protiv čelnika LockBit -a i akciju globalnog provođenja zakona da demontira infrastrukturu, Trellix je uočio diverzifikaciju grupa ransomware-a, proširenu upotrebu alata sa vještačkom inteligencijom za isporuku zahtjeva za otkupninom i fokus na alate napravljene posebno za izbjegavanje endpoints rješenja za otkrivanje i odgovor (EDR).
Prvih pet najaktivnijih grupa čini manje od 40% svih napada, pokazujući manje koncentrisane aktivnosti među glavnim hakerima. Ovo naglašava potrebu da organizacije i vlade ostanu prilagodljive, kontinuirano ažurirajući svoje strategije kako bi odgovorile na evoluirajuće taktike grupa ransomware-a.
RansomHub se pojavio kao najaktivniji među grupama ransomware-a, čineći 13% Trellix detekcija. Njegov uspon, kao i aktivnost drugih manjih grupa, dodatno ilustruju fluidnu prirodu ransomware-a. LockBit ostaje aktivan, generirajući drugu po broju detekcija (11%), a slijede grupe Play (7%), Akira (4%) i Medusa (4%).
Napadi na ransomware i dalje ciljaju na zdravstvenu zaštitu i kritične sektore
Trellix je pronašao uspješno tržište za alate za izbjegavanje EDR-a na dark webu. Napravljeni su tako da izbjegnu otkrivanje pomoću alata na koje se većina organizacija oslanja kako bi identificirala poznate prijetnje i odgovorila na njih. RansomHub je usvojio jedan takav alat pod nazivom EDRKillShifter da onemogući EDR mogućnosti prije izvođenja njihovih napada.
Podzemlje cyber kriminala postalo je središte za maliciozne hakere koji prodaju nove alate zasnovane na vještakom inteligenciji za izvršenje zločina. Trellix je primijetio prodaju brojnih ovih alata na crnom tržištu, uključujući program Radar Ransomware-as-a-Service, koji prikriva način na koji se vještačka inteligencija koristi, ali nastoji da regrutuje korisnike foruma da se pridruže svojoj mreži pridruženih kompanija.
Zdravstvena zaštita, obrazovanje i kritična infrastruktura ostaju glavne mete, a globalno širenje ransomware-a nastavlja, fokusirajući se na SAD i druge razvijene ekonomije. SAD su primile 41% svih detekcija Trellix ransomwarea, nadmašivši sljedeću najciljanu zemlju (UK) devet puta.
Trellix Advanced Research Center ispitao je podatke o cyber prijetnjama u industriji, a analiza je ukazivala na porast napada grupe Kimsuky iz Sjeverne Koreje, koja je udvostručila aktivnost drugih APT grupa. Studija industrijskih izvještaja o događajima u cyber sigurnosti takođe je otkrila ciljanu distribuciju po kritičnim sektorima, pri čemu je najveći teret napada snosila vlada (13%), a zatim finansijski sektor (7%) i proizvodnja (5%).
Izvor:Help Net Security