De bank-malware bekend als Carbanak Er is waargenomen dat het wordt gebruikt bij ransomware-aanvallen met bijgewerkte tactieken.
“De malware heeft zich aangepast om aanvalsleveranciers en -technieken te integreren om de effectiviteit ervan te diversifiëren”, zei cyberbeveiligingsbedrijf NCC Group in een analyse van ransomware-aanvallen die plaatsvonden in november 2023.
“Carbanak keerde vorige maand terug via nieuwe distributieketens en is verspreid via gecompromitteerde websites om verschillende bedrijfsgerelateerde software na te bootsen.”
Enkele van de nagebootste tools omvatten populaire bedrijfsgerelateerde software zoals HubSpot, Veeam en Xero.
Carbanak, sinds minstens 2014 in het wild gedetecteerd, staat bekend om zijn data-exfiltratie en afstandsbedieningsfuncties. Het begon als een bankmalware en is nu in gebruik genomen door het cybercriminaliteitssyndicaat FIN7.
In de nieuwste aanvalsketen die door NCC Group is gedocumenteerd, zijn de besmette websites ontworpen om kwaadaardige installatiebestanden te hosten die zich voordoen als legitieme hulpprogramma’s om de implementatie van Carbanak te activeren.
Deze ontwikkeling komt doordat er vorige maand 442 ransomware-aanvallen werden gemeld, tegen 341 incidenten in oktober 2023. Er zijn dit jaar in totaal 4.276 gevallen gemeld, wat ‘minder dan 1000 incidenten minder is dan het totaal voor 2021 en 2022 samen’. 5.198).”
Uit de gegevens van het bedrijf blijkt dat de industriële sector (33%), de cyclische consumentensector (18%) en de gezondheidszorg (11%) naar voren kwamen als de meest beoogde sectoren, terwijl Noord-Amerika (50%), Europa (30%) en Azië (10%) ) verantwoordelijk voor de meeste aanvallen.
Wat de meest voorkomende ransomwarefamilies betreft, droegen LockBit, BlackCat en Play bij aan 47% (of 206 aanvallen) van de 442 aanvallen. Nu BlackCat deze maand door de autoriteiten is ontmanteld, valt nog te bezien welke impact deze stap in de nabije toekomst zal hebben op het dreigingslandschap.
“Met nog één maand van het jaar te gaan heeft het totale aantal aanvallen de 4.000 overschreden, wat een enorme stijging betekent ten opzichte van 2021 en 2022, dus het zal interessant zijn om te zien of de ransomware-niveaus volgend jaar blijven stijgen”, zegt Matt Hull, Global hoofd van de dreigingsinformatie bij NCC Group, zei.
De piek in het aantal ransomware-aanvallen in november wordt ook bevestigd door cyberverzekeringsmaatschappij Corvus, die zegt dat het 484 nieuwe ransomware-slachtoffers heeft geïdentificeerd die op leksites zijn geplaatst.
“Het ransomware-ecosysteem als geheel heeft zich met succes van QBot afgewend”, aldus het bedrijf. “Het maken van software-exploits en alternatieve malwarefamilies tot hun repertoire werpt vruchten af voor ransomware-groepen.”
Hoewel de verschuiving het resultaat is van een verwijdering door de wetshandhaving van de infrastructuur van QBot (ook bekend als QakBot), heeft Microsoft vorige week details bekendgemaakt van een phishing-campagne met een laag volume waarin de malware werd verspreid, wat de uitdagingen onderstreepte bij het volledig ontmantelen van deze groepen.
De ontwikkeling komt op het moment dat Kaspersky onthulde dat de beveiligingsmaatregelen van de Akira-ransomware voorkomen dat de communicatiesite wordt geanalyseerd door uitzonderingen te maken terwijl wordt geprobeerd toegang te krijgen tot de site met behulp van een debugger in de webbrowser.
Het Russische cyberbeveiligingsbedrijf benadrukte verder de uitbuiting door ransomware-operators van verschillende beveiligingsfouten in het Windows Common Log File System (CLFS)-stuurprogramma – CVE-2022-24521, CVE-2022-37969, CVE-2023-23376, CVE-2023-28252 ( CVSS-scores: 7,8) – voor escalatie van bevoegdheden.
