Pięć grup ransomware odpowiada za 40% ataków w 2024 roku

securitybeztabu.pl 1 dzień temu

Wprowadzenie do problemu / definicja

Ransomware pozostaje jednym z najpoważniejszych zagrożeń dla organizacji publicznych i prywatnych. Najnowsze analizy pokazują, iż mimo dużej liczby aktywnych grup przestępczych znacząca część incydentów koncentruje się wokół niewielkiej liczby operatorów, co ma istotne znaczenie zarówno dla obrońców, jak i dla samej dynamiki rynku cyberprzestępczego.

Taka koncentracja oznacza, iż kilka najbardziej skutecznych gangów jest w stanie generować nieproporcjonalnie dużą liczbę ataków, rozwijać model Ransomware-as-a-Service i gwałtownie przejmować udziały po osłabieniu konkurencji. Z perspektywy bezpieczeństwa daje to możliwość lepszego profilowania taktyk przeciwnika, ale jednocześnie zwiększa skalę ryzyka dla ofiar.

W skrócie

W trzecim kwartale 2024 roku pięć grup ransomware odpowiadało za około 40% wszystkich odnotowanych ataków. Do najbardziej aktywnych należały RansomHub, PLAY, LockBit 3.0, MEOW oraz Hunters International.

W tym samym okresie liczba ofiar publikowanych na stronach wyciekowych wzrosła do 1257, a globalna liczba aktywnych grup ransomware osiągnęła 59. Jednym z najważniejszych wektorów wejścia pozostawały podatności oraz słabo zabezpieczone konta VPN, odpowiadające za blisko 30% incydentów.

pięć grup odpowiadało za około 40% ataków,
liczba aktywnych grup ransomware wzrosła do 59,
na stronach wyciekowych odnotowano 1257 ofiar,
VPN i słabe poświadczenia pozostawały kluczowym punktem wejścia.

Kontekst / historia

Krajobraz ransomware w 2024 roku był jednocześnie rozproszony i częściowo skonsolidowany. Z jednej strony rosła liczba nowych lub rebrandowanych grup, z drugiej zaś realny wolumen ataków był przez cały czas w dużej mierze generowany przez kilku dominujących operatorów.

Na tę strukturę wpłynęły również działania organów ścigania wymierzone w największe marki cyberprzestępcze. Operacja Cronos, która uderzyła w infrastrukturę LockBit, nie zakończyła zjawiska ransomware, ale doprowadziła do przetasowań wśród afiliantów i operatorów. Powstałą lukę gwałtownie zaczęły wypełniać inne grupy, w szczególności RansomHub.

Mechanizm ten potwierdza utrwalony model adaptacyjny cyberprzestępczości: choćby skuteczne zakłócenie działalności jednej marki nie eliminuje samego modelu biznesowego. Afilianci przenoszą się między platformami, korzystają z podobnych metod uzyskiwania dostępu i kontynuują działania pod nowym szyldem.

Analiza techniczna

Dominacja kilku grup nie oznacza jednolitego zestawu narzędzi, ale podobny sposób prowadzenia operacji. W praktyce ataki ransomware coraz częściej opierają się na schematach, które można obserwować u różnych operatorów niezależnie od nazwy i używanego malware.

uzyskanie dostępu początkowego przez usługi zdalne, zwłaszcza VPN,
wykorzystanie słabych haseł lub kont bez wieloskładnikowego uwierzytelniania,
nadużywanie brute force i password spraying wobec systemów dostępnych z internetu,
eskalacja uprawnień i ruch lateralny w sieci,
eksfiltracja danych przed szyfrowaniem,
publikacja informacji o ofierze na stronach wyciekowych jako element podwójnego wymuszenia.

Szczególnie istotnym elementem pozostaje bezpieczeństwo dostępu zdalnego. Przestarzałe urządzenia brzegowe, źle chronione koncentratory VPN i brak MFA tworzą relatywnie tani oraz szybki punkt wejścia do środowiska ofiary. W wielu przypadkach napastnicy nie muszą sięgać po zaawansowane exploity, jeżeli mogą wykorzystać słabe poświadczenia lub nieprawidłowo skonfigurowany dostęp.

RansomHub wyróżniał się w analizowanym okresie szybkim wzrostem aktywności i skutecznym przejmowaniem części rynku po osłabieniu LockBit. Jednocześnie spadek aktywności LockBit 3.0 pokazał, iż presja organów ścigania może ograniczać tempo działań dużych grup, ale nie usuwa z obiegu ich know-how, schematów operacyjnych ani afiliantów.

Konsekwencje / ryzyko

Dla organizacji oznacza to, iż zagrożenie ransomware nie maleje choćby wtedy, gdy część znanych gangów zostaje zakłócona. Ryzyko obejmuje dziś nie tylko szyfrowanie zasobów, ale także kradzież danych, szantaż publikacją informacji, przestoje operacyjne, straty finansowe i konsekwencje prawno-regulacyjne.

Koncentracja 40% incydentów wokół pięciu grup ma podwójny efekt. Z jednej strony pozwala zespołom bezpieczeństwa skuteczniej mapować techniki, taktyki i procedury najaktywniejszych operatorów. Z drugiej jednak oznacza, iż najbardziej efektywne grupy osiągają większą skalę działania, rozbudowują sieci afiliacyjne i szybciej monetyzują uzyskane dostępy.

Dodatkowe zagrożenie dotyczy sektorów o niskiej tolerancji na przestój. W takich organizacjach presja biznesowa na szybkie przywrócenie działania zwiększa skuteczność wymuszeń. W praktyce pojedynczy, źle zabezpieczony punkt dostępu zdalnego może doprowadzić do incydentu obejmującego całą organizację.

Rekomendacje

Skuteczna obrona przed ransomware wymaga podejścia wielowarstwowego, ze szczególnym naciskiem na ochronę tożsamości, usług zdalnych oraz widoczność zagrożeń w sieci.

wymusić MFA dla wszystkich usług zdalnych, w tym VPN i paneli administracyjnych,
usunąć słabe oraz domyślne konta i wdrożyć politykę silnych haseł,
regularnie aktualizować urządzenia brzegowe i systemy dostępne publicznie,
ograniczyć ekspozycję usług zdalnych oraz stosować segmentację sieci,
monitorować logowania pod kątem brute force, password spraying i anomalii,
utrzymywać odseparowane kopie zapasowe oraz regularnie testować odtwarzanie,
wdrożyć detekcję ruchu lateralnego, eskalacji uprawnień i eksfiltracji danych,
utrzymywać aktualny plan reagowania na incydenty obejmujący scenariusze podwójnego wymuszenia,
korzystać z threat intelligence do śledzenia aktywności najważniejszych grup,
prowadzić regularne ćwiczenia red team i purple team ukierunkowane na dostęp zdalny.

Warto podkreślić, iż samo MFA nie powinno być traktowane jako jedyny mechanizm ochrony. Najlepsze efekty przynosi połączenie kontroli dostępu, segmentacji, telemetrii bezpieczeństwa, ograniczania uprawnień i gotowości operacyjnej zespołów reagowania.

Podsumowanie

Dane z 2024 roku pokazują, iż rynek ransomware staje się jednocześnie bardziej rozproszony pod względem liczby aktywnych grup i bardziej skoncentrowany operacyjnie. Znaczącą część ataków przez cały czas realizuje niewielka grupa najbardziej skutecznych operatorów, którzy gwałtownie adaptują się do zmian i przejmują przestrzeń po osłabionych konkurentach.

Dla organizacji najważniejszy wniosek pozostaje niezmienny: trzeba ograniczać powierzchnię ataku, wzmacniać ochronę tożsamości i traktować dostęp zdalny jako krytyczny obszar ryzyka. To właśnie tam najczęściej zaczyna się droga prowadząca do pełnoskalowego incydentu ransomware.