Ransomware-virusoj, kiel aliaj specoj de malware, evoluas kaj ŝanĝiĝas tra la jaroj - de simplaj ŝrankoj kiuj malhelpis la uzanton ensaluti en la sistemon, kaj "polican" ransomware kiu minacis procesigon por fikciaj malobservoj de la leĝo, ni venis al ĉifradaj programoj. Ĉi tiuj malbonprogramoj ĉifras dosierojn sur malmolaj diskoj (aŭ tutaj diskoj) kaj postulas elaĉetomonon ne pro la reveno de aliro al la sistemo, sed pro la fakto, ke la informoj de la uzanto ne estos forigitaj, venditaj en la mallumreto aŭ elmontritaj al la publiko interrete. . Krome, pagi la elaĉetomonon tute ne garantias ricevon de la ŝlosilo por deĉifri la dosierojn. Kaj ne, ĉi tio "jam okazis antaŭ cent jaroj", sed ĝi ankoraŭ estas aktuala minaco.
Konsiderante la sukceson de piratoj kaj la profiteco de ĉi tiu speco de atako, spertuloj opinias, ke ilia ofteco kaj inĝenieco nur pliiĝos en la estonteco. De Cybersecurity Ventures, en 2016, ransomware-virusoj atakis kompaniojn proksimume unufoje ĉiujn 40 sekundojn, en 2019 tio okazas unufoje ĉiujn 14 sekundojn, kaj en 2021 la ofteco pliiĝos al unu atako ĉiujn 11 sekundojn. Indas noti, ke la postulata elaĉetomono (precipe en celitaj atakoj kontraŭ grandaj kompanioj aŭ urba infrastrukturo) kutime rezultas multoble pli malalta ol la damaĝo kaŭzita de la atako. Tiel, la maja atako kontraŭ registaraj strukturoj en Baltimoro, Marilando, en Usono, kaŭzis damaĝojn sumiĝantajn al pli ol , kun la elaĉetomono deklarita de piratoj estas 76 mil dolaroj en bitcoin-ekvivalento. A , Kartvelio, kostis al la urbo $2018 milionojn en aŭgusto 17, kun postulata elaĉetomono de $52.
Specialistoj de Trend Micro analizis atakojn per ransomware-virusoj en la unuaj monatoj de 2019, kaj en ĉi tiu artikolo ni parolos pri la ĉefaj tendencoj, kiuj atendas la mondon en la dua duono.
Ransomware viruso: mallonga dosiero
La signifo de la ransomware-viruso estas klara de ĝia nomo mem: minacante detrui (aŭ, male, publikigi) konfidencajn aŭ valorajn informojn por la uzanto, hackers uzas ĝin por postuli elaĉetomonon por redoni aliron al ĝi. Por ordinaraj uzantoj, tia atako estas malagrabla, sed ne kritika: la minaco perdi muzikkolekton aŭ fotojn de ferioj dum la lastaj dek jaroj ne garantias pagon de elaĉetomono.
La situacio aspektas tute alia por organizoj. Ĉiu minuto da komerca malfunkcio kostas monon, do la perdo de aliro al sistemo, aplikoj aŭ datumoj por moderna kompanio egalas perdojn. Tial la fokuso de ransomware-atakoj en la lastaj jaroj iom post iom ŝanĝiĝis de senŝeligado de virusoj al reduktado de agado kaj moviĝado al celitaj atakoj kontraŭ organizoj en agadkampoj en kiuj la ŝanco ricevi elaĉetomonon kaj ĝia grandeco estas plej grandaj. Siavice, organizoj serĉas protekti sin kontraŭ minacoj laŭ du ĉefaj manieroj: disvolvante manierojn efike restarigi infrastrukturon kaj datumbazojn post atakoj, kaj adoptante pli modernajn ciberdefendajn sistemojn kiuj detektas kaj tuj detruas malware.
Por resti aktuala kaj evoluigi novajn solvojn kaj teknologiojn por batali malware, Trend Micro kontinue analizas la rezultojn akiritajn de siaj cibersekurecaj sistemoj. Laŭ Trend Micro , la situacio kun ransomware-atakoj en la lastaj jaroj aspektas jene:
Elekto de Viktimo en 2019
Ĉi-jare, ciberkrimuloj klare fariĝis multe pli selektemaj en sia elekto de viktimoj: ili celas organizojn kiuj estas malpli protektitaj kaj pretas pagi grandan sumon por rapide restarigi normalajn operaciojn. Tial, ekde la komenco de la jaro, pluraj atakoj jam estis registritaj kontraŭ registaraj strukturoj kaj la administrado de grandaj urboj, inkluzive de Lago-Urbo (elaĉetomono - 530 mil usonaj dolaroj) kaj Riviera Beach (elaĉetomono - 600 mil usonaj dolaroj) .
Disdividitaj laŭ industrio, la ĉefaj atakvektoroj aspektas jene:
— 27% — registaraj agentejoj;
— 20% — produktado;
— 14% — sanservo;
— 6% — podetala komerco;
— 5% — edukado.
Ciberkrimuloj ofte uzas OSINT (publikfonta inteligenteco) por prepari por atako kaj taksi ĝian profitecon. Kolektante informojn, ili pli bone komprenas la komercan modelon de la organizo kaj la reputaciajn riskojn kiujn ĝi povas suferi pro atako. Hakistoj ankaŭ serĉas la plej gravajn sistemojn kaj subsistemojn, kiuj povas esti tute izolitaj aŭ malfunkciigitaj per ransomware-virusoj - tio pliigas la ŝancon ricevi elaĉetomonon. Laste, sed ne malpli, oni taksas la staton de cibersekurecaj sistemoj: ne utilas lanĉi atakon kontraŭ kompanio, kies IT-specialistoj kapablas repuŝi ĝin kun alta probableco.
En la dua duono de 2019, ĉi tiu tendenco ankoraŭ estos grava. Hakistoj trovos novajn agadkampojn en kiuj interrompo de komercaj procezoj kondukas al maksimumaj perdoj (ekzemple, transporto, kritika infrastrukturo, energio).
Metodoj de penetrado kaj infekto
Ŝanĝoj ankaŭ konstante okazas en ĉi tiu areo. La plej popularaj iloj restas phishing, malicaj reklamoj en retejoj kaj infektitaj interretaj paĝoj, same kiel ekspluatadoj. Samtempe, la ĉefa "komplico" en atakoj daŭre estas la dungita uzanto, kiu malfermas ĉi tiujn retejojn kaj elŝutas dosierojn per ligiloj aŭ de retpoŝto, kio provokas plian infekton de la tuta organizo.
Tamen, en la dua duono de 2019 ĉi tiuj iloj estos aldonitaj al:
- pli aktiva uzo de atakoj uzante socian inĝenieristikon (atako en kiu la viktimo libervole faras la agojn deziratajn de la retpirato aŭ donas informojn, kredante, ekzemple, ke li komunikas kun reprezentanto de la administrado aŭ kliento de la organizo), kiu simpligas la kolekton de informoj pri dungitoj el publike disponeblaj fontoj;
- uzo de ŝtelitaj akreditaĵoj, ekzemple, ensalutoj kaj pasvortoj por foraj administraj sistemoj, kiuj povas esti aĉetitaj en la mallumreto;
- fizika hakado kaj penetro, kiuj permesos al surlokaj piratoj malkovri kritikajn sistemojn kaj venki sekurecon.
Metodoj por kaŝi atakojn
Danke al progresoj en cibersekureco, inkluzive de Trend Micro, detekto de klasikaj ransomware-familioj fariĝis multe pli facila en la lastaj jaroj. Maŝinlernado kaj kondutismaj analizaj teknologioj helpas identigi malware antaŭ ol ĝi penetras sistemon, do retpiratoj devas elpensi alternativajn manierojn kaŝi atakojn.
Jam konataj de specialistoj en la kampo de IT-sekureco kaj novaj teknologioj de ciberkrimuloj celas neŭtraligi sabloskatolojn por analizi suspektindajn dosierojn kaj maŝinlernajn sistemojn, disvolvi sendosierajn malware kaj uzi infektitajn licencitan programaron, inkluzive de programaro de vendistoj de cibersekureco kaj diversaj foraj servoj kun aliro al. la reto de la organizo.
Konkludoj kaj rekomendoj
Ĝenerale, ni povas diri, ke en la dua duono de 2019 estas alta probablo de celitaj atakoj kontraŭ grandaj organizoj, kiuj kapablas pagi grandajn elaĉetojn al ciberkrimuloj. Tamen, piratoj ne ĉiam disvolvas piratajn solvojn kaj malware mem. Iuj el ili, ekzemple, la fama teamo GandCrab, kiu jam havas , gajninte ĉirkaŭ 150 milionojn da usonaj dolaroj, daŭre funkcias laŭ la skemo RaaS (ransomware-as-a-service, aŭ "ransomware-virusoj kiel servo", analoge kun antivirusoj kaj ciberdefendaj sistemoj). Tio estas, la distribuado de sukcesaj ransomware kaj kripto-ŝlosiloj ĉi-jare estas efektivigita ne nur de iliaj kreintoj, sed ankaŭ de "luantoj".
En tiaj kondiĉoj, organizoj devas konstante ĝisdatigi siajn cibersekurecajn sistemojn kaj datumajn reakirojn en kazo de atako, ĉar la sola efika maniero kontraŭbatali ransomware-virusojn estas ne pagi elaĉetomonon kaj senigi siajn aŭtorojn je fonto de profito.
fonto: www.habr.com