top of page

Stigning i Maj 2023 Ransomware-angreb knyttet til 8BASE ransomware gruppe

En nylig undersøgelse foretaget af NCC Group, et fremtrædende cybersikkerhedskonsulentfirma, har kastet lys over en betydelig stigning i ransomware-angreb på organisationer verden over i løbet af maj.


8BASE, Ransomware, IT-kriminalitet, Hackerbande, NCC Group, IT-sikkerhed

Stigningen i antal angreb, der beløber sig til næsten 25% sammenlignet med den foregående måned, markerer det højeste registrerede antal angreb hidtil i år, og en nøglefaktor bag denne stigning er fremkomsten af ​​en ny ransomware-bande kendt som 8BASE.


Maj 2023 var vidne til en svimlende stigning på 56 % i rapporterede ransomware-angreb sammenlignet med april. I alt 436 ransomware-ofre blev identificeret i maj, i modsætning til de 352 ofre i den foregående måned.


Matt Hull, Global Head of Threat Intelligence hos NCC Group, bemærkede, at ransomware-aktiviteten fortsætter med at eskalere i 2023, hvor hver måned, der går, overgår angrebsmængderne i samme periode i det foregående år. Blandt årsagerne til denne stigning er fremkomsten af ​​8BASE-banden, som spillede en bemærkelsesværdig rolle i ransomware-landskabet.


8BASE-gruppen var ansvarlig for at offentliggøre data fra 67 i maj, der tegnede sig for over 15 % af alle ransomware-ofre i løbet af måneden. En anden ransomware-gruppe kaldet Akira skabte også bølger i hackerfællesskabet i maj, men dens online tilstedeværelse ser ud til at være mere begrænset sammenlignet med andre grupper.


Undersøgelsen viste, at 8BASE udførte 28 angreb i maj, en markant stigning fra de seks ofre, det var målrettet mod i april, hvilket repræsenterer en svimlende stigning på 250 %. Selvom 8BASE og Akira har rejst bekymringer, er den mest aktive trusselsaktør i 2023 stadig den berygtede Lockbit-bande, ansvarlig for 18 % (78 ofre) af angrebene i maj, situation den oplevede et fald på 27 % i angreb i forhold til april.


Rapporten kortlægger også andre grupper


Forskningsrapporten identificerede også flere andre nye ransomware-grupper, der opererede i maj, såsom BlackSuit, MalasLocker og RAGroup.


Interessant nok fremhæver undersøgelsen en tendens i ransomware-angreb rettet mod højprofilerede organisationer i løbet af året. En russisktalende trusselsaktør kendt som Cl0p har overvejende ledet disse angreb. Navnlig har Cl0p-udnyttelser, såsom dem på Moveit-filoverførselssystemet og Fortra Go Anywhere-filhåndteringssystemet, fået stor opmærksomhed og påvirket store virksomheder som Shell, British Airways, Ernst & Young, NortonLife Lock og Telos.


Den ekstra høje angrebsvolume fra 8BASE


Hvad angår 8BASE, tilskriver efterretningsrapporten dets høje angrebsvolumen til det faktum, at meget af de data, den frigav i den foregående måned, dateres tilbage til april 2022. 8BASE fungerer som et mørkt lækagested, med en side dedikeret til ofre og deres data, et sæt forhandlingsregler og accept af løsesumsbetaling kun i Bitcoin.


Banden hævder at være "ærlige og simple pentestere", der sigter på at sikre en løsesum til det større gavn. Deres Telegram-kanal tegner dog et andet billede og viser adskillige indlæg med filer, der kan downloades, indeholdende identificerbare virksomhedsregistre, medarbejder-id'er, kørekort og pas fra virksomheder over hele verden.


I deres angreb bruger 8BASE typisk en taktik kendt som "dobbelt afpresning", hvor de først bryder målet, eksfiltrerer følsom information, krypterer virksomhedens data og derefter kræver løsesum for dekrypteringsnøglen og sletning af de stjålne data. Denne metode har udviklet sig, efterhånden som organisationer begyndte at lave sikkerhedskopier af deres systemer, hvilket gør dekrypteringsnøglen mindre kritisk for datagendannelse.


Undersøgelsen observerede også, hvordan ransomware-grupper målretter mod ofre baseret på geografisk placering, industrisektor og den type data, de besidder. Nordamerika havde det højeste antal ofre, efterfulgt af Europa og Sydamerika, som oplevede en stigning på 89%, delvist på grund af 8BASEs aktiviteter i regionen. Industrisektoren toppede listen over målrettede industrier, hvor teknologien fulgte tæt efter. Personligt identificerbare oplysninger (PII) og intellektuel ejendom (IP) var de mest eftertragtede typer data af cyberkriminelle.

Comments


bottom of page