Ransomware virusi, kao i druge vrste zlonamjernog softvera, evoluiraju i mijenjaju se tokom godina – od jednostavnih ormarića koji su sprječavali korisnika da se prijavi u sistem, do “policijskog” ransomwarea koji je prijetio gonjenjem za fiktivna kršenja zakona, došli smo do programa za šifriranje. Ovaj zlonamjerni softver šifrira datoteke na tvrdim diskovima (ili cijelim diskovima) i traži otkupninu ne za vraćanje pristupa sistemu, već za činjenicu da informacije korisnika neće biti izbrisane, prodate na darknetu ili izložene javnosti na internetu . Štaviše, plaćanje otkupnine uopšte ne garantuje prijem ključa za dešifrovanje datoteka. I ne, ovo se „već dogodilo prije sto godina“, ali je i dalje aktuelna prijetnja.
S obzirom na uspjeh hakera i isplativost ove vrste napada, stručnjaci smatraju da će se njihova učestalost i domišljatost u budućnosti samo povećavati. By Cybersecurity Ventures, u 2016. godini, ransomware virusi su napadali kompanije otprilike jednom svakih 40 sekundi, 2019. to se dešava svakih 14 sekundi, a 2021. učestalost će se povećati na jedan napad svakih 11 sekundi. Vrijedi napomenuti da se potrebna otkupnina (posebno u ciljanim napadima na velike kompanije ili urbanu infrastrukturu) obično pokazuje višestruko manjom od štete koju je nanio napad. Tako je majski napad na vladine strukture u Baltimoru, Merilend, u SAD, prouzrokovao štetu veću od , pri čemu je iznos otkupnine koju su proglasili hakeri 76 hiljada dolara u bitkoin ekvivalentu. A , Džordžija, koštao je grad 2018 miliona dolara u avgustu 17. godine, uz traženu otkupninu od 52 dolara.
Trend Micro stručnjaci analizirali su napade pomoću ransomware virusa u prvim mjesecima 2019. godine, a u ovom članku ćemo govoriti o glavnim trendovima koji svijet očekuju u drugoj polovini.
Ransomware virus: kratak dosije
Značenje ransomware virusa jasno je iz samog njegovog imena: prijeteći uništavanjem (ili, obrnuto, objavljivanjem) povjerljivih ili vrijednih informacija za korisnika, hakeri ih koriste da traže otkupninu za vraćanje pristupa. Za obične korisnike takav napad je neprijatan, ali nije kritičan: prijetnja gubitkom muzičke kolekcije ili fotografija sa odmora u proteklih deset godina ne garantuje plaćanje otkupnine.
Za organizacije situacija izgleda potpuno drugačije. Svaki minut zastoja u poslovanju košta, pa je gubitak pristupa sistemu, aplikacijama ili podacima za modernu kompaniju jednak gubicima. Zato se fokus napada na ransomware posljednjih godina postupno pomjerio sa granatiranja virusa na smanjenje aktivnosti i prelazak na ciljane napade na organizacije u područjima aktivnosti u kojima su šanse za primanje otkupnine i njena veličina najveća. Zauzvrat, organizacije nastoje da se zaštite od pretnji na dva glavna načina: razvijanjem načina za efikasno obnavljanje infrastrukture i baza podataka nakon napada i usvajanjem modernijih sistema sajber odbrane koji otkrivaju i brzo uništavaju malver.
Kako bi ostao u toku i razvio nova rješenja i tehnologije za borbu protiv zlonamjernog softvera, Trend Micro kontinuirano analizira rezultate dobivene iz svojih cyber sigurnosnih sistema. Prema Trend Micro , situacija sa ransomware napadima posljednjih godina izgleda ovako:
Izbor žrtve u 2019
Ove godine, sajber kriminalci su očito postali mnogo selektivniji u izboru žrtava: ciljaju na organizacije koje su manje zaštićene i spremne su platiti veliku svotu da brzo vrate normalan rad. Zbog toga je od početka godine već zabilježeno nekoliko napada na strukture vlasti i administracije velikih gradova, uključujući Lake City (otkupnina - 530 hiljada američkih dolara) i Riviera Beach (otkupnina - 600 hiljada američkih dolara) .
Prema industriji, glavni vektori napada izgledaju ovako:
— 27% — vladine agencije;
— 20% — proizvodnja;
— 14% — zdravstvo;
— 6% — trgovina na malo;
— 5% — obrazovanje.
Sajber kriminalci često koriste OSINT (javnu obavještajnu informaciju) kako bi se pripremili za napad i procijenili njegovu isplativost. Prikupljajući informacije, oni bolje razumiju poslovni model organizacije i reputacijske rizike koje može pretrpjeti od napada. Hakeri također traže najvažnije sisteme i podsisteme koji se mogu potpuno izolirati ili onemogućiti korištenjem ransomware virusa - to povećava šanse za primanje otkupnine. Na kraju, ali ne i najmanje važno, ocjenjuje se stanje sistema sajber bezbjednosti: nema smisla pokretati napad na kompaniju čiji IT stručnjaci mogu sa velikom vjerovatnoćom da ga odbiju.
U drugoj polovini 2019. ovaj trend će i dalje biti relevantan. Hakeri će pronaći nova područja aktivnosti u kojima poremećaj poslovnih procesa dovodi do maksimalnih gubitaka (na primjer, transport, kritična infrastruktura, energija).
Načini prodiranja i infekcije
Promjene se također konstantno dešavaju u ovoj oblasti. Najpopularniji alati su i dalje phishing, zlonamjerne reklame na web stranicama i zaraženim internet stranicama, kao i exploits. Istovremeno, glavni “saučesnik” u napadima i dalje je zaposleni korisnik koji otvara ove stranice i preuzima fajlove putem linkova ili e-pošte, što provocira daljnju infekciju mreže cijele organizacije.
Međutim, u drugoj polovini 2019. ovi alati će biti dodati:
- aktivnije korištenje napada pomoću društvenog inženjeringa (napad u kojem žrtva dobrovoljno izvršava radnje koje želi haker ili daje informacije, vjerujući, na primjer, da komunicira s predstavnikom menadžmenta ili klijentom organizacije), čime se pojednostavljuje prikupljanje informacija o zaposlenima iz javno dostupnih izvora;
- korištenje ukradenih vjerodajnica, na primjer, prijava i lozinki za sisteme udaljene administracije, koji se mogu kupiti na darknetu;
- fizičko hakovanje i prodor koji će omogućiti hakerima na licu mjesta da otkriju kritične sisteme i poraze sigurnost.
Metode za skrivanje napada
Zahvaljujući napretku u sajber sigurnosti, uključujući Trend Micro, otkrivanje klasičnih porodica ransomwarea postalo je mnogo lakše posljednjih godina. Tehnologije mašinskog učenja i analize ponašanja pomažu u identifikaciji zlonamjernog softvera prije nego što prodre u sistem, tako da hakeri moraju smisliti alternativne načine da sakriju napade.
Već poznate stručnjacima iz oblasti IT sigurnosti i nove tehnologije sajber kriminalaca imaju za cilj neutralizaciju sandboxova za analizu sumnjivih fajlova i sistema za mašinsko učenje, razvoj malvera bez fajlova i korišćenje zaraženog licenciranog softvera, uključujući softver proizvođača sajber bezbednosti i razne udaljene usluge sa pristupom mreže organizacije.
Zaključci i preporuke
Generalno, možemo reći da u drugoj polovini 2019. postoji velika vjerovatnoća ciljanih napada na velike organizacije koje su sposobne platiti velike otkupnine sajber kriminalcima. Međutim, hakeri ne razvijaju uvijek sami rješenja za hakiranje i zlonamjerni softver. Neki od njih, na primjer, ozloglašeni GandCrab tim, koji već jeste , nakon što je zaradio oko 150 miliona američkih dolara, nastavljaju raditi prema RaaS shemi (ransomware-as-a-service, ili “ransomware virusi kao usluga”, po analogiji sa antivirusima i cyber odbrambenim sistemima). Odnosno, distribuciju uspješnog ransomware-a i kripto-lokera ove godine provode ne samo njihovi kreatori, već i "stanari".
U takvim uslovima, organizacije moraju stalno da ažuriraju svoje sisteme sajber bezbednosti i šeme oporavka podataka u slučaju napada, jer jedini efikasan način za borbu protiv ransomware virusa nije plaćanje otkupnine i uskraćivanje izvora zarade njihovim autorima.
izvor: www.habr.com