Công nghiệp là lĩnh vực được nhắm mục tiêu nhiều nhất cho các cuộc tấn công ransomware vào tháng 6

Các cuộc tấn công ransomware tiếp tục đạt mức kỷ lục với 434 cuộc tấn công vào tháng 6 năm 2023, tăng 221% so với cùng kỳ năm ngoái (135 cuộc tấn công – tháng 6 năm 2022), theo phân tích mới nhất từ ​​nhóm Tình báo Đe dọa Toàn cầu của Tập đoàn NCC.

Mức độ hoạt động cao trong tháng 6 đã được thúc đẩy bởi việc Clop khai thác lỗ hổng phần mềm truyền tệp MOVEit, mức độ hoạt động cao liên tục của các nhóm như LockBit 3.0 và sự xuất hiện của một số nhóm mới kể từ tháng 5.

diễn viên đe dọa

Tác nhân đe dọa nói tiếng Nga Clop chịu trách nhiệm cho 90 trong số 434 cuộc tấn công (21%) vào tháng 6, sau khi khai thác lỗ hổng SQL injection trong phần mềm truyền tệp MOVEit, CVE-2023-34362, cho phép nhóm sử dụng lỗ hổng này để leo thang đặc quyền và đánh cắp dữ liệu nhạy cảm. Nó diễn ra sau một khoảng thời gian im ắng đối với Clop vào tháng 5, khi nó chỉ chịu trách nhiệm cho 2 cuộc tấn công.

LockBit 3.0, tác nhân đe dọa tích cực nhất năm 2023 cho đến nay, chịu trách nhiệm cho 62 vụ tấn công, giảm 21% so với 78 vụ tấn công vào tháng 5. 8base, một tác nhân đe dọa mới được phát hiện vào tháng 5, đã tăng cường hoạt động với 40 cuộc tấn công (9%) vào tháng 6 – khiến nó trở thành nhóm đe dọa tích cực thứ ba trong tháng 6.

Hoạt động đáng chú ý khác bao gồm 17 cuộc tấn công từ Rhysida và 9 cuộc tấn công từ Darkrace, hai nhóm ransomware dưới dạng dịch vụ (RaaS) lần đầu tiên được phát hiện vào tháng 5 năm 2023.

Vùng

Bắc Mỹ là khu vực bị tấn công nhiều nhất, chiếm hơn một nửa số vụ tấn công trong tháng 6 với 222 nạn nhân (51%) – bằng tổng số của tháng 5. Châu Âu (27%) và Châu Á (9%) theo sau với lần lượt 116 và 40 nạn nhân.

lĩnh vực

Công nghiệp là lĩnh vực được nhắm mục tiêu nhiều nhất trong tháng 6, chiếm 143 trong tổng số các cuộc tấn công (33%), tiếp theo là Chu kỳ tiêu dùng (12%) với 52 cuộc tấn công và Công nghệ (11%) với 48 cuộc tấn công.

Tiêu điểm: Clop và lỗ hổng MOVEit

Vào tháng 6, việc tác nhân đe dọa Clop khai thác lỗ hổng trong ứng dụng chuyển tệp MOVEit của Progress Software, được sử dụng bởi hàng nghìn tổ chức trên khắp thế giới, đã trở thành tiêu đề quốc tế. Do đó, một số tổ chức có chuỗi cung ứng sử dụng ứng dụng MOVEit đã bị vi phạm dữ liệu, với dữ liệu của khách hàng và/hoặc nhân viên bị đánh cắp.

Lỗ hổng này đã bị lạm dụng để xâm phạm máy chủ MOVEit MFT và lọc dữ liệu và hiện được theo dõi là CVE-2023-34362. Các mục tiêu bao gồm các thương hiệu tên tuổi lớn, với các cuộc tấn công nhằm vào các nhà xuất bản nổi tiếng, công ty kế toán, tư vấn, công ty năng lượng lớn và trường cao đẳng, trong số những người khác.

Trong hai năm qua, Clop đã lạm dụng bốn lỗ hổng bảo mật trong các thiết bị có thể dẫn đến việc triển khai mã độc tống tiền Clop hoặc đánh cắp dữ liệu của tổ chức nạn nhân.

Matt Hull, người đứng đầu toàn cầu về Threat Intelligence tại NCC Group, cho biết: “Sự gia tăng đáng kể trong hoạt động của ransomware từ đầu năm đến nay là một chỉ số rõ ràng về bản chất đang phát triển của bối cảnh mối đe dọa. Những người chơi nổi tiếng hơn, chẳng hạn như Lockbit 3.0, không có dấu hiệu bỏ cuộc, các nhóm mới hơn như 8base và Rhysida đang chứng minh khả năng của họ và Clop đã khai thác lỗ hổng lớn lần thứ hai chỉ sau ba tháng.

“Điều cấp thiết là các tổ chức phải duy trì cảnh giác và điều chỉnh các biện pháp bảo mật của họ để luôn đi trước một bước. Chúng tôi thực sự khuyên mọi tổ chức sử dụng phần mềm truyền tệp MOVEit nên áp dụng bản vá gần đây, do lỗ hổng này đang được tích cực khai thác.”