Analisis daripada Laporan Tahunan Keadaan Ancaman Secureworks menunjukkan purata masa kediaman tebusan perisian tebusan telah jatuh daripada 4.5 hari kepada kurang daripada 24 jam dalam setahun
ATLANTA, 5 Okt. 2023 — Ransomware sedang digunakan dalam masa satu hari akses awal dalam lebih daripada 50% penglibatan, kata Secureworks® (NASDAQ: SCWX) Counter Threat Unit (CTU). Dalam hanya 12 bulan, purata masa kediaman yang dikenal pasti dalam Laporan Tahunan Keadaan Ancaman telah merosot dengan bebas daripada 4.5 hari kepada kurang daripada satu hari. Dalam 10% kes, ransomware bahkan digunakan dalam tempoh lima jam akses awal.
“Pemandu untuk pengurangan dalam purata masa kediaman mungkin disebabkan oleh keinginan penjenayah siber untuk peluang pengesanan yang lebih rendah. Industri keselamatan siber telah menjadi lebih mahir dalam mengesan aktiviti yang merupakan pendahulu kepada tebusan perisian. Akibatnya, pelaku ancaman memberi tumpuan kepada operasi yang lebih mudah dan lebih cepat untuk dilaksanakan, dan bukannya peristiwa penyulitan besar-besaran di seluruh perusahaan yang jauh lebih kompleks. Tetapi risiko dari serangan itu masih tinggi,” kata Don Smith, Naib Presiden Perisikan Ancaman, Secureworks Counter Threat Unit.
“Walaupun kita masih melihat nama-nama yang biasa sebagai kumpulan ancaman yang paling aktif, kemunculan beberapa kumpulan ancaman baru yang sangat aktif sedang membakar peningkatan ketara dalam bilangan mangsa dan kebocoran data. Walaupun ada penutupan profil tinggi dan sekatan, penjenayah siber adalah tuan dalam penyesuaian, dan oleh itu ancaman terus berkembang,” Smith meneruskan.
Laporan Tahunan Keadaan Ancaman meneliti landskap keselamatan siber dari Jun 2022 hingga Julai 2023. Penemuan utama termasuk:
- Walaupun beberapa nama biasa termasuk GOLD MYSTIC (LockBit), GOLD BLAZER (BlackCat/ALPV), dan GOLD TAHOE (Cl0p) masih mendominasi landskap tebusan perisian, kumpulan baru muncul dan menyenaraikan kiraan mangsa yang ketara pada laman “nama dan malu”. Empat bulan terakhir tempoh pelaporan ini telah menjadi yang paling subur untuk bilangan mangsa sejak serangan nama dan malu bermula pada 2019.
- Tiga vektor akses awal (IAV) terbesar yang diperhatikan dalam penglibatan tebusan perisian di mana pelanggan terlibat pemulihan insiden Secureworks ialah: imbas dan eksploitasi, kredensial curi dan perisian biasa melalui e-mel phishing.
- Pengeksploitasian kelemahan yang diketahui dari 2022 dan sebelumnya terus berlaku dan membentuk lebih daripada separuh daripada kelemahan yang paling dieksploitasi sepanjang tempoh laporan.
Kumpulan Tebusan Perisian Yang Paling Aktif
Kumpulan ancaman yang sama terus mendominasi pada 2023 seperti pada 2022. GOLD MYSTIC’s LockBit kekal di hadapan kumpulan, dengan hampir tiga kali ganda bilangan mangsa berbanding kumpulan paling aktif seterusnya, BlackCat, yang dikendalikan oleh GOLD BLAZER.
Skim baru juga muncul dan memaparkan banyak mangsa. MalasLocker, 8BASE dan Akira (yang berada di tempat ke-14) semuanya pendatang baru yang memberi kesan dari Q2 2023. 8BASE menyenaraikan hampir 40 mangsa di laman bocor pada Jun 2023, hanya sedikit kurang daripada LockBit. Analisis menunjukkan bahawa sebahagian mangsa kembali seawal pertengahan 2022, walaupun mereka dibuang pada masa yang sama. Serangan MalasLocker terhadap pelayan Zimbra dari akhir April 2023 membentuk 171 mangsa di laman bocornya pada bulan Mei. Laporan ini meneliti apa yang sebenarnya didedahkan oleh aktiviti laman bocor mengenai kadar kejayaan serangan tebusan perisian — ia tidak semudah kelihatan.
Laporan ini juga mendedahkan bahawa bilangan mangsa per bulan dari April-Julai 2023 adalah yang paling subur sejak nama dan malu muncul pada 2019. Bilangan mangsa bulanan tertinggi pernah dipaparkan di laman bocor pada Mei 2023 dengan 600 mangsa, tiga kali ganda berbanding Mei 2022.
Vektor Akses Awal Teratas untuk Tebusan Perisian
Tiga vektor akses awal (IAV) terbesar yang diperhatikan dalam penglibatan tebusan perisian di mana pelanggan terlibat pemulihan insiden Secureworks ialah: imbas dan eksploitasi (32%), kredensial curi (32%) dan perisian biasa melalui e-mel phishing (14%).
Imbas dan eksploitasi melibatkan pengenalan sistem yang terdedah, berpotensi melalui enjin carian seperti Shodan atau pengimbas kelemahan, dan kemudian mencuba menjejaskannya dengan exploit tertentu. Dalam 12 kelemahan yang paling kerap dieksploitasi, 58% mempunyai tarikh CVE sebelum 2022. Satu (CVE-2018-13379) juga membuat senarai 15 paling kerap dieksploitasi pada 2021 dan 2020.
“Walaupun banyak gempar mengenai ChatGPT dan serangan gaya AI, dua serangan profil tinggi 2023 setakat ini adalah hasil infrastruktur yang tidak dipatch. Pada akhirnya, penjenayah siber menuai ganjaran dari kaedah serangan yang telah dicuba dan diuji, jadi organisasi mesti memberi tumpuan untuk melindungi diri mereka dengan kebersihan siber asas dan tidak terperangkap dalam gempar,” Smith meneruskan.
Dunia Penyerang Negara Bangsa
Laporan ini juga meneliti aktiviti dan trend penting dalam kelakuan kumpulan ancaman tajaan negara yang tergolong dalam China, Rusia, Iran, dan Korea Utara. Geopolitik kekal sebagai pemacu utama bagi kumpulan ancaman tajaan negara merentasi papan.
China:
China telah mengalih sebahagian perhatiannya ke Eropah Timur, sambil terus memberi tumpuan kepada Taiwan dan jiran berdekatan yang lain. Ia memaparkan penekanan yang semakin meningkat pada tradecraft rahsia dalam serangan siber perisikan — perubahan daripada reputasi “pecah masuk dan rampas” sebelum ini. Penggunaan alat komersial seperti Cobalt Strike, serta peralatan sumber terbuka Cina, meminimumkan risiko atribusi dan bercampur dengan aktiviti dari kumpulan tebusan perisian pasca-intrusi.