Ransomwarové viry, stejně jako jiné typy malwaru, se v průběhu let vyvíjejí a mění – od jednoduchých skříněk, které bránily uživateli přihlásit se do systému, a „policejního“ ransomwaru, který hrozil stíháním za fiktivní porušení zákona, jsme se dostali k šifrovacím programům. Tento malware šifruje soubory na pevných discích (nebo celých discích) a požaduje výkupné nikoli za navrácení přístupu do systému, ale za to, že informace uživatele nebudou smazány, prodány na darknetu nebo zveřejněny online. . Zaplacení výkupného navíc vůbec nezaručuje přijetí klíče k dešifrování souborů. A ne, to se „už stalo před sto lety“, ale stále je to aktuální hrozba.
Vzhledem k úspěšnosti hackerů a ziskovosti tohoto typu útoků se odborníci domnívají, že jejich frekvence a vynalézavost se v budoucnu jen zvýší. Podle Cybersecurity Ventures, v roce 2016 napadly ransomwarové viry společnosti přibližně jednou za 40 sekund, v roce 2019 se to stane jednou za 14 sekund a v roce 2021 se frekvence zvýší na jeden útok každých 11 sekund. Stojí za zmínku, že požadované výkupné (zejména při cílených útocích na velké společnosti nebo městskou infrastrukturu) se většinou ukáže být mnohonásobně nižší než škody způsobené útokem. Květnový útok na vládní struktury v Baltimoru ve státě Maryland v USA tak způsobil škody ve výši více než , přičemž výkupné deklarované hackery je 76 tisíc dolarů v ekvivalentu bitcoinů. A , Georgia, stálo město v srpnu 2018 17 milionů dolarů s požadovaným výkupným ve výši 52 XNUMX dolarů.
Specialisté Trend Micro analyzovali útoky pomocí ransomwarových virů v prvních měsících roku 2019 a v tomto článku si povíme o hlavních trendech, které svět čekají v druhé polovině.
Ransomware virus: stručná dokumentace
Význam ransomwarového viru je zřejmý již z jeho názvu: hackeři vyhrožují zničením (nebo naopak zveřejněním) důvěrných či cenných informací pro uživatele, požadují výkupné za navrácení přístupu k nim. Pro běžné uživatele je takový útok nepříjemný, ale ne kritický: hrozba ztráty hudební sbírky nebo fotek z dovolené za posledních deset let nezaručuje zaplacení výkupného.
U organizací vypadá situace úplně jinak. Každá minuta výpadku podnikání stojí peníze, takže ztráta přístupu k systému, aplikacím nebo datům pro moderní společnost se rovná ztrátám. Proto se těžiště ransomwarových útoků v posledních letech postupně přesouvá od ostřelování virů ke snižování aktivity a přechází k cíleným nájezdům na organizace v oblastech činnosti, ve kterých je šance na obdržení výkupného a jeho velikost největší. Organizace se zase snaží chránit před hrozbami dvěma hlavními způsoby: vývojem způsobů, jak efektivně obnovit infrastrukturu a databáze po útocích, a přijetím modernějších systémů kybernetické obrany, které detekují a rychle ničí malware.
Aby zůstala aktuální a vyvíjela nová řešení a technologie pro boj s malwarem, Trend Micro neustále analyzuje výsledky získané ze svých systémů kybernetické bezpečnosti. Podle Trend Micro , vypadá situace s ransomwarovými útoky v posledních letech takto:
Volba obětí v roce 2019
V letošním roce se kyberzločinci zjevně stali mnohem selektivnějšími ve výběru obětí: zaměřují se na organizace, které jsou méně chráněny a jsou ochotny zaplatit vysokou částku za rychlé obnovení normálního provozu. Proto bylo od začátku roku již zaznamenáno několik útoků na vládní struktury a správu velkých měst, včetně Lake City (výkupné - 530 tisíc USD) a Riviera Beach (výkupné - 600 tisíc USD) .
Rozčleněné podle odvětví vypadají hlavní vektory útoku takto:
— 27 % — vládní agentury;
— 20 % — produkce;
— 14 % — zdravotnictví;
— 6 % — maloobchod;
— 5 % — vzdělání.
Kyberzločinci často používají OSINT (public source intelligence) k přípravě na útok a posouzení jeho ziskovosti. Díky shromažďování informací lépe porozumí obchodnímu modelu organizace a reputačním rizikům, které může útok utrpět. Hackeři také hledají nejdůležitější systémy a subsystémy, které lze zcela izolovat nebo deaktivovat pomocí ransomwarových virů – to zvyšuje šanci na obdržení výkupného. V neposlední řadě se posuzuje stav kyberbezpečnostních systémů: nemá smysl podnikat útok na firmu, jejíž IT specialisté jsou schopni jej s vysokou pravděpodobností odrazit.
Ve druhé polovině roku 2019 bude tento trend stále aktuální. Hackeři najdou nové oblasti činnosti, ve kterých narušení obchodních procesů vede k maximálním ztrátám (například doprava, kritická infrastruktura, energetika).
Způsoby průniku a infekce
I v této oblasti neustále probíhají změny. Nejoblíbenějšími nástroji zůstávají phishing, škodlivé reklamy na webových stránkách a infikovaných internetových stránkách a také exploity. Hlavním „spoluviníkem“ útoků je přitom stále uživatel-zaměstnanec, který tyto stránky otevírá a stahuje soubory přes odkazy nebo z e-mailu, což vyvolává další infekci sítě celé organizace.
Ve druhé polovině roku 2019 však budou tyto nástroje přidány k:
- aktivnější využívání útoků pomocí sociálního inženýrství (útok, kdy oběť dobrovolně provádí hackerem požadované akce nebo poskytuje informace v domnění, že např. komunikuje se zástupcem vedení nebo klientem organizace), který zjednodušuje sběr informací o zaměstnancích z veřejně dostupných zdrojů;
- použití odcizených přihlašovacích údajů, například přihlašovacích údajů a hesel pro systémy vzdálené správy, které lze zakoupit na darknetu;
- fyzické hackování a pronikání, které umožní hackerům na místě objevit kritické systémy a překonat zabezpečení.
Metody skrývání útoků
Díky pokrokům v kybernetické bezpečnosti, včetně Trend Micro, je v posledních letech detekce klasických ransomwarových rodin mnohem snazší. Technologie strojového učení a analýzy chování pomáhají identifikovat malware předtím, než pronikne do systému, takže hackeři musí přijít s alternativními způsoby, jak skrýt útoky.
Již známé specialistům v oblasti IT bezpečnosti a nové technologie kyberzločinců jsou zaměřeny na neutralizaci sandboxů pro analýzu podezřelých souborů a systémů strojového učení, vývoj bezsouborového malwaru a používání infikovaného licencovaného softwaru, včetně softwaru od dodavatelů kybernetické bezpečnosti a různých vzdálených služeb s přístupem k síť organizace.
Závěry a doporučení
Obecně lze říci, že ve druhé polovině roku 2019 je vysoká pravděpodobnost cílených útoků na velké organizace, které jsou schopny platit kyberzločincům velké výkupné. Ne vždy však hackeři sami vyvíjejí řešení pro hackování a malware. Některé z nich, například notoricky známý GandCrab team, který již , kteří vydělali asi 150 milionů amerických dolarů, nadále pracují podle schématu RaaS (ransomware-as-a-service neboli „ransomware viry jako služba“, analogicky s antiviry a systémy kybernetické obrany). To znamená, že distribuci úspěšného ransomwaru a krypto-lockerů v letošním roce provádějí nejen jejich tvůrci, ale také „nájemci“.
V takových podmínkách musí organizace neustále aktualizovat své systémy kybernetické bezpečnosti a schémata obnovy dat v případě útoku, protože jediným účinným způsobem boje s ransomwarovými viry je nezaplatit výkupné a připravit jejich autory o zdroj zisku.
Zdroj: www.habr.com