Az Inc Ransom csoport egy gyorsan növekvő, globális fenyegetést jelentő, kettős zsarolási módszert alkalmazó ransomware szervezet, amely a kritikus infrastruktúrák és érzékeny adatok elleni célzott támadások révén vált ismertté.
A magyar állam tulajdonában álló Védelmi Beszerzési Ügynökséget szintén az INC Ransom csoport támadta és zsarolta meg 2024. októberében. Az incidensről, valamint az Inc Ransom csoportról és az általa alkalmazott támadási módszerekről már volt szó korábbi cikkeinkben is.
Jelen cikkünk célja, hogy az Inc Ransom csoport eddig ismert áldozatainak vizsgálataával bemutassuk az Inc Ransom tevékenységének lehetséges szélesebb körű hatásait, valamint rávilágítsunk az áldozatok közötti lehetséges kapcsolatokra.
Az Inc Ransom áldozatai
Az Inc Ransom csoport eddig 184 áldozatáról publikált információkat a darkweben elérhető blogján. A közzétett általános információk alapján ismert az áldozatok neve és működési székhelyük országa (1 áldozat kivételével), valamint beazonosíthatóak az áldozatok tevékenységi körei. Mik állapíthatók meg ezekből az adatokból?
Az Inc Ransom publikálásainak időbeli eloszlása
Az Inc Ransom csoport által üzemeltett portálon az áldozatok publikálásának időpontja ismerhető meg, a támadások pontos időpontjai nem. A támadások időpontja ugyanakkor a publikálás dátumából 1-2 hetes pontossággal megbecsülhető. Ennek oka, hogy a publikálás a sikeres titkosítás után jellemzően 2-4 héttel történik meg, miután az áldozatnak nem sikerült megállapodnia a kiberbűnözőkkel, akik így próbálnak további nyomást gyakorolni az áldozatra, hogy az fizessen azért (is), hogy ne kerüljenek nyilvánosságra további ellopott fájlok is.
(Támadás alatt jelen esetben a ransomware aktiválódását értjük. Az áldozat rendszerébe való bejutás az egy másik történet és annak időpontja nem határozható meg ennyi adatból.)
Megállapítások az időbeli eloszlások alapján:
- A havi trendek elemzése alapján az Inc Ransom aktivitása egyes időszakokban jelentősen megnövekedett, különösen bizonyos hónapokban. Ez arra utalhat, hogy az Inc Ransom a szezonalitást (amikor az IT rendszerek kevésbé védettek) és/vagy az aktuális sérülékenységeket kihasználva támad.
- Az intenzív időszakokban több áldozat is érintett volt ugyanabban szektorban vagy országban, rámutatva arra, hogy a támadók ekkor célzottabb kampányokat hajtottak végre.
- Hosszabb szünetek: Az időszakos szünetek arra utalhatnak, hogy a csoport új támadási célpontokat keresett, vagy belső operatív tevékenységeket (pl. infrastruktúra frissítése, új eszközök beszerzése) hajtott végre.
Jelentős sérülékenységek az érintett időszakban
A ransomware csoportok, beleértve az Inc Ransom csoportot is, a rendszerekbe való bejutáshoz jellemzően a tűzfalak, távoli hozzéférések, illetve a webes alkalmazások sérülékenységeit, konfigurációs hibáit használják ki.
Az Inc Ransom csoport 2023 augusztusa óta aktív, ami alapján legnagyobb valószínűséggel az alábbi sérülékenységeket használhatták ki az áldozatok rendszereibe való bejutáshoz:
