Svět kybernetické bezpečnosti zažil nový šok po objevení se... vysoce pokročilá varianta ransomwaru BlackByteV posledních týdnech se různé analýzy zaměřily na Crux, což je nová generace malwaru, která posiluje pověst této skupiny jako jednoho z nejnebezpečnějších rivalů pro firmy a organizace.
Výzkumníci poznamenali, že Crux představuje kvalitativní skok v taktice a technice BlackByte, demonstrující bezprecedentní schopnost obcházet tradiční obranu a provádět bleskové útoky, které obětem ponechávají jen malý manévrovací prostor.
Fungování nové hrozby
Podle zdrojů specializujících se na analýzu hrozeb BlackByte nasazuje Crux na vybrané cíle s obzvláště pečlivou metodologií. Odborníci na kybernetickou bezpečnost zjistili, že jen za poslední měsíc Došlo k nejméně třem incidentům propojeno s Cruxem, což ukazuje na jeho aktivní povahu a zájem skupiny o další vývoj.
Při jednom ze zdokumentovaných útoků se kyberzločincům podařilo získat přístup k sedm zařízení v rámci stejné organizaceÚtočníci toho jako první využili legitimní nástroje z operačního systému samotného, jako například bcdedit.exe, k deaktivaci funkcí obnovy – například body obnovení systému Windows –. Tímto způsobem zablokovali jakýkoli pokus IT manažerů o zvrácení útoku po zašifrování souborů.
Odborníci poté zjistili vnitřní hnutí zaměřená na rozšíření kontroly nad sítíNejenže vytvářeli nové uživatele a přistupovali ke vzdáleným záznamům, ale také instalovali ovladače, které to umožňovaly. ohrozit ostatní připojené systémyVíce informací o tom, jak tyto hrozby detekovat, naleznete na Jak se chránit před ransomwarem v malých a středních podnicích.
Další opakující se technikou tohoto malwaru je předchozí exfiltrace datPřed zahájením fáze šifrování, Útočníci kopírují citlivé informace na externí servery a pomocí nástrojů, jako je rclone.exe, přenášejí soubory do cloudu.To přidává další vrstvu tlaku na oběti, které čelí dvojí hrozbě ztráty přístupu ke svým údajům a jejich zveřejnění nebo prodeji, pokud nevyhoví vydírání.
Přesnost a rychlost v útocích
Jedním z prvků, které přitahují největší pozornost odborníků, je rychlost, s jakou Crux realizuje své kampaněV jednom z nedávných případů sotva Sedm minut uplynulo od doby, kdy byl získán přístup k interní síti. dokud nebyl nasazen ransomware, což naznačuje předchozí a podrobná znalost technologické infrastruktury obětiAbyste si udrželi ostražitost vůči těmto typům hrozeb, je vhodné konzultovat specializované zdroje kybernetické bezpečnosti, jako například Vzestup kybernetických útoků poháněných umělou inteligencí.
Tento diferenciální faktor ukazuje, že členové BlackByte Tráví čas studiem svých cílů a využívají legitimní přihlašovací údaje – obvykle ukradené v dřívějších fázích narušení – k laterálnímu pohybu v rámci organizace, aniž by vzbudily podezření, zejména prostřednictvím vzdáleného přístupu (RDP).
Zvýšení deficitu obranných reakcí
Nedávné analýzy ukázaly, že Crux není distribuován v jediné standardní verzi.Ti, kteří jsou zodpovědní za BlackByte, generují unikátní vzorky v každé kampani, úprava jmen a digitálních podpisů aby se vyhnuli tradiční detekci založené na vzorcích bezpečnostními systémy. Abychom lépe pochopili, jak na tyto hrozby reagovat, je důležité znát rizika falešných aktualizací.
Díky tomuto personalizovanému přístupu je Crux hrozba, kterou je velmi obtížné včas identifikovat, protože to nutí bezpečnostní týmy spoléhat se na behaviorální analýzu a pokročilé monitorování namísto pouhého spoléhání se na databáze hrozeb.
Výsledkem je a mnohem větší schopnost poškození, protože ransomware může zůstat aktivní déle a snadněji se šířit v rámci organizací, než je odhalen. Jakmile je spuštěn, má zničující dopad: Data jsou šifrována a tlak na zaplacení výkupného se stupňuje kvůli riziku zveřejnění ukradených informací..
Pro IT a kybernetická bezpečnostní oddělení je řešení těchto typů útoků skutečnou výzvou, která prověřuje jejich schopnost reagovat na vysoce specializované a pečlivě zorganizované hrozby. Více podrobností o tom, jak předcházet malwaru, naleznete v kybernetická bezpečnost v zranitelných domácnostech.
Nasazením Cruxu společnost BlackByte znovu potvrzuje svou pozici mezi skupinami zabývajícími se ransomwarem s největší kapacitou pro technické a provozní inovace. Nové použité techniky v kombinaci s agresivní povahou útoků zvyšují naléhavost posílení obranných opatření, neustálého monitorování a školení interních týmů k efektivní detekci incidentů a reakci na ně.
