WithSecure – kyberhyökkäysten määrä on kasvanut uusien kiristyshaittaohjelmia käyttävien ryhmien myötä

Uudet ryhmät ovat vastanneet neljäsosasta kaikista tänä vuonna tapahtuneista tietovuodoista, joiden takana on monikerroksinen kiristyshaittaohjelmahyökkäys.

Kiristyshaittaohjelmat (”ransomware”) ovat aiheuttaneet jatkuvia tietoturvaongelmia monien vuosien ajan, mikä johtuu suurelta osin rikollisryhmien kyvystä luoda toimintansa uudelleen. WithSecuren (aiemmin F-Secure yritystietoturva) uuden tutkimuksen mukaan uusien, monikerroksisia ransomware-hyökkäyksiä tekevien ryhmien määrä kasvoi voimakkaasti tammi-syyskuussa 2023. 

Kiristyshaittaohjelmilla kaapataan laitteen tai tietojen hallinta, ja niistä on muodostunut kyberrikollisille valtava tulonlähde ihmisten, organisaatioiden ja jopa valtioiden kustannuksella ympäri maailman. Vaikka kiristyshaittaohjelmien yleisyys on pysynyt samalla tasolla usean vuoden ajan, muut niiden aiheuttamaan uhkaan liittyvät tekijät ovat muuttuneet. 

Viime vuosina useat rikollisryhmät ovat kasvattaneet mainettaan tekemällä monikerroksisia ransomware-hyökkäyksiä, joissa ne hyödyntävät useita eri menetelmiä painostaakseen uhreja maksamaan lunnaita, jotta he voisivat saada tietonsa takaisin haltuunsa. Usein nämä ryhmät paitsi salaavat tiedot myös varastavat ne julkaistakseen ne verkossa, ellei lunnaita makseta.

Uudessa tutkimuksessa analysoitiin tietoja, jotka on vuodettu näiden monikerroksisia ransomware-hyökkäyksiä tekevien toimijoiden ylläpitämillä verkkosivustoilla. Analyysi osoittaa, että usea uusi ryhmä on aloittanut toimintansa vuoden 2023 aikana. WithSecure seurasi tammi–syyskuussa 2023 60:tä monikerroksisia ransomware-hyökkäyksiä tekevää ryhmää, joista 29 on uusia.  

WithSecuren analyytikon Ziggy Daviesin mukaan uudet ryhmät noudattavat pitkälti olemassa olevien toimijoiden luomia toimintamalleja, mutta niillä on keskeinen rooli organisaatioihin kohdistuvien ransomware-hyökkäysten määrän ylläpitämisessä nykytasolla.

”Yhdessä tietyssä kyberrikosoperaatiossa käytetty koodi ja muut resurssit päätyvät käytettäväksi muualla, koska ryhmät ja niiden jäsenet kierrättävät usein samoja resursseja, vaikka työskentelisivätkin eri toimijoille tai eri toimijoiden kanssa. Monilla tänä vuonna havaitsemistamme uusista ryhmistä on selvä yhteys aiempiin ransomware-toimijoihin. Esimerkiksi Akira ja useat muut ryhmät ovat monin tavoin samanlaisia kuin nyt jo lakkautettu Conti-ryhmä, ja niiden jäsenet ovat todennäköisesti Contin entisiä jäseniä”, Davies sanoo.

Analyysi sisältää useita muita huomionarvoisia näkemyksiä vuoden 2023 aikana tähän mennessä tehdyistä monikerroksisista ransomware-hyökkäyksistä, mukaan lukien seuraavat:

1. – Ransomware-ryhmät aiheuttivat tammi-syyskuussa 2023 50 % enemmän tietovuotoja kuin samana ajanjaksona edellisvuonna.
2. – Eniten tietovuotoja aiheutti Lockbit-ryhmä (21 %).
3. – Viisi eniten tietovuotoja aiheuttanutta ryhmää (8Base, Alphv/BlackCat, Clop, LockBit ja Play) olivat vastuussa yli puolesta kaikista tietovuodoista.
4. – Vuonna 2023 toimintansa aloittaneet ransomware-ryhmät olivat vastuussa noin 25 prosentista kaikista analyysin kattamista tietovuodoista.
5. – 60 tutkitusta ryhmästä vain kuusi julkaisi uhrien nimiä vuoden 2023 jokaisena kuukautena (tähän mennessä).

Vaikka kyberrikolliset näyttävät olevan kiinnostuneempia kiristyshaittaohjelmista kuin koskaan aiemmin, ryhmien keskinäinen toimintamallien kierrättäminen tarjoaa hyökkäyksiltä puolustautuville tahoille joitakin etuja.

”Kiristyshaittaohjelmat ovat edelleen tehokas rahanlähde kyberrikollisille, joten ne pitäytyvät pääosin samassa perustoimintamallissa sen sijaan, että keksisivät jotain todella uutta tai odottamatonta. Tästä syystä ne toimivat melko ennakoitavasti, mikä on puolustajien kannalta hyvä asia, koska he tietävät, mitä on vastassa”, Davies toteaa. 

Englanninkielinen analyysi on saatavilla kokonaisuudessaan osoitteessa: https://www.withsecure.com/en/expertise/blog-posts/2023-ransomware-rookies-are-a-remix-of-conti-and-other-classics.

WithSecure™ lyhyesti
WithSecure™ on kyberturvallisuuden luotettava kumppani. Yritykset, IT-palveluntarjoajat, suurimmat rahoituslaitokset, teollisuusvalmistajat ja tuhannet viestintä- ja teknologiayritykset luottavat meihin tuloksellisessa kyberturvallisuuden tekemisessä, joka mahdollistaa turvallisen liiketoiminnan. Tekoälypohjainen tuoteajattelu suojaamisessa varmistaa päätelaitteiden sekä pilvipalveluiden turvallisuuden. Asiantuntijamme käyttävät apuna älykkäitä uhkien tunnistus- ja vastaustyökalujamme kyberhyökkäyksiin vastaamisessa ja uhkien ennakoinnissa. Konsulttimme tekevät asiantuntijatyötä suuryritysten ja yrityskentän edelläkävijöiden kanssa rakentaakseen yhdessä yhteiskunnan kyberresilienssiä. Yli 30 vuoden kokemus tietoturvasta ja teknologiasta on liiketoimintamme ydin, ja olemme rakentaneet portfoliomme kasvamaan joustavasti yhdessä kumppaneidemme kanssa. WithSecure™, aiemmin F-Secure yritystietoturva, on perustettu vuonna 1988 — ja listattu NASDAQ OMX Helsingin pörssissä.