Els virus de ransomware, com altres tipus de programari maliciós, evolucionen i canvien amb el pas dels anys: des de simples taquilles que impedien que l'usuari iniciés sessió al sistema i ransomware "policial" que amenaçava amb processament per violacions fictícias de la llei, vam arribar als programes de xifratge. Aquest programari maliciós xifra fitxers en discs durs (o discs senceres) i exigeix un rescat no pel retorn de l'accés al sistema, sinó pel fet que la informació de l'usuari no s'eliminarà, es vendrà a la darknet o s'exposarà al públic en línia. . A més, pagar el rescat no garanteix en absolut la recepció de la clau per desxifrar els fitxers. I no, això “ja va passar fa cent anys”, però encara és una amenaça actual.
Donat l'èxit dels hackers i la rendibilitat d'aquest tipus d'atac, els experts creuen que la seva freqüència i enginy només augmentaran en el futur. Per Cybersecurity Ventures, el 2016, els virus de ransomware van atacar les empreses aproximadament una vegada cada 40 segons, el 2019 això passa una vegada cada 14 segons i el 2021 la freqüència augmentarà a un atac cada 11 segons. Val la pena assenyalar que el rescat requerit (especialment en atacs dirigits a grans empreses o infraestructures urbanes) acostuma a resultar ser moltes vegades inferior al dany causat per l'atac. Així, l'atac de maig a les estructures governamentals a Baltimore, Maryland, als EUA, va causar danys per més de , amb l'import del rescat declarat pels pirates informàtics de 76 mil dòlars en equivalent bitcoin. A , Geòrgia, va costar a la ciutat 2018 milions de dòlars l'agost de 17, amb un rescat necessari de 52 dòlars.
Els especialistes de Trend Micro van analitzar els atacs amb virus ransomware durant els primers mesos del 2019, i en aquest article parlarem de les principals tendències que esperen al món en el segon semestre.
Virus de ransomware: un breu dossier
El significat del virus ransomware és clar pel seu mateix nom: amenaçant de destruir (o, per contra, publicar) informació confidencial o valuosa per a l'usuari, els pirates informàtics l'utilitzen per demanar un rescat per tornar-hi l'accés. Per als usuaris normals, aquest atac és desagradable, però no crític: l'amenaça de perdre una col·lecció de música o fotos de les vacances dels darrers deu anys no garanteix el pagament d'un rescat.
La situació és completament diferent per a les organitzacions. Cada minut d'inactivitat comercial costa diners, de manera que la pèrdua d'accés a un sistema, aplicacions o dades per a una empresa moderna equival a pèrdues. És per això que l'enfocament dels atacs de ransomware dels darrers anys ha canviat gradualment d'envasar virus a reduir l'activitat i passar a incursions dirigides a organitzacions en àrees d'activitat en què les possibilitats de rebre un rescat i la seva mida són més grans. Al seu torn, les organitzacions busquen protegir-se de les amenaces de dues maneres principals: desenvolupant maneres de restaurar eficaçment la infraestructura i les bases de dades després dels atacs, i adoptant sistemes de ciberdefensa més moderns que detectin i destrueixin ràpidament programari maliciós.
Per mantenir-se al dia i desenvolupar noves solucions i tecnologies per combatre el programari maliciós, Trend Micro analitza contínuament els resultats obtinguts dels seus sistemes de ciberseguretat. Segons Trend Micro , la situació dels atacs de ransomware dels darrers anys és la següent:
Victim's Choice el 2019
Aquest any, els ciberdelinqüents s'han tornat clarament molt més selectius a l'hora de triar les víctimes: es dirigeixen a organitzacions que estan menys protegides i estan disposades a pagar una gran quantitat per restablir ràpidament les operacions normals. Per això, des de principis d'any, ja s'han registrat diversos atacs contra estructures governamentals i l'administració de grans ciutats, com ara Lake City (rescat - 530 mil dòlars EUA) i Riviera Beach (rescat - 600 mil dòlars EUA). .
Desglossats per indústria, els principals vectors d'atac tenen aquest aspecte:
— 27% — agències governamentals;
— 20% — producció;
— 14% — assistència sanitària;
— 6% — comerç al detall;
— 5% — educació.
Els ciberdelinqüents sovint utilitzen OSINT (intel·ligència de font pública) per preparar-se per a un atac i avaluar-ne la rendibilitat. En recopilar informació, entenen millor el model de negoci de l'organització i els riscos de reputació que pot patir per un atac. Els pirates informàtics també busquen els sistemes i subsistemes més importants que es poden aïllar o desactivar completament mitjançant virus de ransomware; això augmenta les possibilitats de rebre un rescat. Per últim, però no menys important, s'avalua l'estat dels sistemes de ciberseguretat: no té sentit llançar un atac a una empresa els especialistes informàtics de la qual són capaços de repel·lir-lo amb molta probabilitat.
En el segon semestre del 2019, aquesta tendència continuarà sent rellevant. Els pirates informàtics trobaran noves àrees d'activitat en les quals la interrupció dels processos de negoci condueix a pèrdues màximes (per exemple, transport, infraestructura crítica, energia).
Mètodes de penetració i infecció
També es produeixen canvis constantment en aquest àmbit. Les eines més populars segueixen sent el phishing, els anuncis maliciosos en llocs web i pàgines d'Internet infectades, així com les explotacions. Al mateix temps, el principal "còmplice" dels atacs segueix sent l'usuari empleat que obre aquests llocs i descarrega fitxers mitjançant enllaços o des del correu electrònic, la qual cosa provoca una infecció més gran de la xarxa de tota l'organització.
Tanmateix, durant el segon semestre del 2019 aquestes eines s'afegiran a:
- ús més actiu dels atacs mitjançant enginyeria social (atac en què la víctima realitza voluntàriament les accions desitjades pel pirata informàtic o dona informació, creient, per exemple, que s'està comunicant amb un representant de la direcció o client de l'organització), que simplifica la recollida d'informació sobre els empleats de fonts disponibles públicament;
- ús de credencials robades, per exemple, inicis de sessió i contrasenyes per a sistemes d'administració remota, que es poden comprar a la darknet;
- pirateria física i penetració que permetrà als pirates informàtics in situ descobrir sistemes crítics i derrotar la seguretat.
Mètodes per ocultar atacs
Gràcies als avenços en ciberseguretat, inclòs Trend Micro, la detecció de famílies de ransomware clàssics s'ha tornat molt més fàcil en els últims anys. Les tecnologies d'aprenentatge automàtic i d'anàlisi del comportament ajuden a identificar el programari maliciós abans que penetri en un sistema, de manera que els pirates informàtics han de trobar maneres alternatives d'amagar els atacs.
Ja coneguts pels especialistes en l'àmbit de la seguretat informàtica i les noves tecnologies dels ciberdelinqüents tenen com a objectiu neutralitzar els sandbox per analitzar fitxers sospitosos i sistemes d'aprenentatge automàtic, desenvolupar programari maliciós sense fitxers i utilitzar programari amb llicència infectat, inclòs programari de proveïdors de ciberseguretat i diversos serveis remots amb accés a xarxa de l'organització.
Conclusions i recomanacions
En general, podem dir que en el segon semestre del 2019 hi ha una alta probabilitat d'atacs dirigits a grans organitzacions que són capaços de pagar grans rescats als ciberdelinqüents. Tanmateix, els pirates informàtics no sempre desenvolupen solucions de pirateria i programari maliciós. Alguns d'ells, per exemple, el famós equip de GandCrab, que ja ho té , després d'haver guanyat uns 150 milions de dòlars nord-americans, continuen treballant segons l'esquema RaaS (ransomware-as-a-service, o "ransomware virus as a service", per analogia amb els antivirus i els sistemes de ciberdefensa). És a dir, la distribució d'èxits de ransomware i cripto-lockers aquest any la fan no només els seus creadors, sinó també els "inquilins".
En aquestes condicions, les organitzacions han d'actualitzar constantment els seus sistemes de ciberseguretat i esquemes de recuperació de dades en cas d'atac, perquè l'única manera eficaç de combatre els virus de ransomware és no pagar un rescat i privar els seus autors d'una font de beneficis.
Font: www.habr.com
