Ifølge selskapets analytikere har kollapsen av store Ransomware-as-a-Service (RaaS)-grupper som LockBit og RansomHub medført et mer fragmentert men aktivt økosystem av aktører det er vanskeligere å holde oversikt over og beskytte seg mot.

Ifølge rapporten fortsatte trusselaktørene å bevege seg bort fra tradisjonelle metoder med kryptering av data, og over mot angrep hvor de eksfiltrerer, det vil si flytter eller kopierer ofrenes data uten å kryptere dem og heller truer med å lekke dem. Dette skal gjøre angrepene vanskeligere å oppdage og gi økt press i forhandlingene om løsepenger.

Rapporten beskriver hvordan Qilin vokser frem som den største trusselaktøren på området, og at den bruker nye, innovative taktikker som skal øke presset på ofrene. Disse inkluderer å tilby angripere juridisk hjelp til å gjennomgå stjålne data, å vurdere potensielle lovbrudd i offerets jurisdiksjon og å utarbeide dokumentasjon for rapportering til relevante myndigheter.

Den trekker også frem fremvekst av KI-støttet phishing, forhandlings-bot’er og mer profesjonelle, partnerbaserte “kartellmodeller» i regi av DragonForce og andre aktører. I motsetning til tradisjonell RaaS der tilknyttede aktører følger en sentral spillebok, gjør kartellmodellene det mulig for dem å operere semi-uavhengig og kjøre egne kampanjer, velge egne mål og selv tilpasse utpressingstaktikkene.

Check Point-analytikerne mener generativ KI nå har gått fra eksperimentstadiet til å være i aktiv bruk i flere angrep. Blant annet gjennom bot’er som personaliserer kommunikasjonen basert på ofrenes respons, KI-genererte meldinger som skal være mer overtalende eller truende og psykologisk profilanalyse for å øve strategisk press på beslutningstakere. KI-utviklingen har ifølge Check Point gjort det enklere og mindre ressurs- og kompetansekrevende å utøve avansert cyberkriminalitet.

– Vi har de siste månedene sett et klart skifte i utpressingslandskapet, med færre dominerende RaaS-grupper, nedgang i offentliggjorte ofre og mer nyanserte utpressingstaktikker. Etterhvert som løsepengeangrepene tilpasser seg et fragmentert økosystem, forventer vi å se enda mer aggressive forhandlingsstrategier og en økende bruk av KI for å automatisere og forbedre alle trinn i angrepsprosessen, sier Sergey Shykevich, Threat Intelligence Group Manager i Check Point Software.

Check Points sikkerhetsråd:

• Bruk en helhetlig, KI-støttet sikkerhetsarkitektur som integrerer endepunkt-, nettverks- og identitetsbeskyttelse, spesielt på tvers av hybride miljøer og multiskymiljøer.
• Innfør anti-phishing i stor skala, inkludert brukeropplæring, e-post-scanning og adferdsbaserte analyser som kan oppdage KI-genererte feller.
• Bruk bedrageri- og trusseljakt for å avsløre tilknyttet aktivitet og sideveis nettverksbevegelse tidlig.
• Segmenter sikkerhetskopiene dine og test gjenopprettingssystemene regelmessig. Ikke anta at virksomheten er immun mot angrep – selv med sterk sikkerhet og tidligere suksess.