Los virus ransomware, al igual que otros tipos de malware, evolucionan y cambian a lo largo de los años: desde simples casilleros que impedían al usuario iniciar sesión en el sistema y ransomware "policial" que amenazaba con ser procesado por violaciones ficticias de la ley, llegamos a programas de cifrado. Este malware cifra archivos en discos duros (o discos completos) y exige un rescate no por devolver el acceso al sistema, sino por el hecho de que la información del usuario no será eliminada, vendida en la red oscura ni expuesta al público en línea. . Además, pagar el rescate no garantiza en absoluto la recepción de la clave para descifrar los archivos. Y no, esto “ya pasó hace cien años”, pero sigue siendo una amenaza actual.
Dado el éxito de los hackers y la rentabilidad de este tipo de ataques, los expertos creen que su frecuencia e ingenio no harán más que aumentar en el futuro. Por Cybersecurity Ventures, en 2016, los virus ransomware atacaron a las empresas aproximadamente una vez cada 40 segundos, en 2019 esto sucede una vez cada 14 segundos y en 2021 la frecuencia aumentará a un ataque cada 11 segundos. Vale la pena señalar que el rescate requerido (especialmente en ataques dirigidos a grandes empresas o infraestructuras urbanas) suele ser muchas veces menor que el daño causado por el ataque. Así, el ataque de mayo a estructuras gubernamentales en Baltimore, Maryland, en Estados Unidos, causó daños por valor de más de , y el monto del rescate declarado por los piratas informáticos fue de 76 mil dólares en equivalente de bitcoin. A , Georgia, le costó a la ciudad 2018 millones de dólares en agosto de 17, con un rescate requerido de 52 dólares.
Los especialistas de Trend Micro analizaron los ataques con virus ransomware en los primeros meses de 2019, y en este artículo hablaremos de las principales tendencias que aguardan al mundo en el segundo semestre.
Virus ransomware: un breve dossier
El significado del virus ransomware se desprende claramente de su propio nombre: amenazando con destruir (o, por el contrario, publicar) información confidencial o valiosa para el usuario, los piratas informáticos la utilizan para exigir un rescate por devolverle el acceso. Para los usuarios comunes, un ataque de este tipo es desagradable, pero no crítico: la amenaza de perder una colección de música o fotografías de las vacaciones de los últimos diez años no garantiza el pago del rescate.
La situación parece completamente diferente para las organizaciones. Cada minuto de inactividad empresarial cuesta dinero, por lo que la pérdida de acceso a un sistema, aplicaciones o datos para una empresa moderna equivale a pérdidas. Es por eso que el enfoque de los ataques de ransomware en los últimos años ha pasado gradualmente de atacar virus a reducir la actividad y pasar a ataques dirigidos a organizaciones en áreas de actividad en las que las posibilidades de recibir un rescate y su tamaño son mayores. A su vez, las organizaciones buscan protegerse de las amenazas de dos maneras principales: desarrollando formas de restaurar eficazmente la infraestructura y las bases de datos después de los ataques, y adoptando sistemas de ciberdefensa más modernos que detecten y destruyan rápidamente el malware.
Para mantenerse actualizado y desarrollar nuevas soluciones y tecnologías para combatir el malware, Trend Micro analiza continuamente los resultados obtenidos de sus sistemas de ciberseguridad. Según Trend Micro , la situación de los ataques de ransomware en los últimos años se ve así:
La elección de la víctima en 2019
Este año, los ciberdelincuentes se han vuelto claramente mucho más selectivos en la elección de sus víctimas: se dirigen a organizaciones que están menos protegidas y están dispuestas a pagar una gran suma para restablecer rápidamente las operaciones normales. Por eso, desde principios de año, ya se han registrado varios ataques a estructuras gubernamentales y a la administración de grandes ciudades, incluidas Lake City (rescate - 530 mil dólares estadounidenses) y Riviera Beach (rescate - 600 mil dólares estadounidenses). .
Desglosados por industria, los principales vectores de ataque se ven así:
— 27% — agencias gubernamentales;
— 20% — producción;
— 14% — asistencia sanitaria;
— 6% — comercio minorista;
— 5% — educación.
Los ciberdelincuentes suelen utilizar OSINT (inteligencia de fuente pública) para prepararse para un ataque y evaluar su rentabilidad. Al recopilar información, comprenden mejor el modelo de negocio de la organización y los riesgos reputacionales que puede sufrir ante un ataque. Los piratas informáticos también buscan los sistemas y subsistemas más importantes que pueden aislarse o desactivarse por completo mediante virus ransomware; esto aumenta las posibilidades de recibir un rescate. Por último, pero no menos importante, se evalúa el estado de los sistemas de ciberseguridad: no tiene sentido lanzar un ataque contra una empresa cuyos especialistas en TI son capaces de repelerlo con una alta probabilidad.
En el segundo semestre de 2019, esta tendencia seguirá siendo relevante. Los piratas informáticos encontrarán nuevas áreas de actividad en las que la interrupción de los procesos comerciales genera pérdidas máximas (por ejemplo, transporte, infraestructura crítica, energía).
Métodos de penetración e infección.
También en este ámbito se producen cambios constantemente. Las herramientas más populares siguen siendo el phishing, los anuncios maliciosos en sitios web y páginas de Internet infectadas, así como los exploits. Al mismo tiempo, el principal "cómplice" de los ataques sigue siendo el usuario empleado que abre estos sitios y descarga archivos a través de enlaces o desde el correo electrónico, lo que provoca una mayor infección de toda la red de la organización.
Sin embargo, en el segundo semestre de 2019 estas herramientas se sumarán a:
- uso más activo de ataques que utilizan ingeniería social (un ataque en el que la víctima realiza voluntariamente las acciones deseadas por el pirata informático o proporciona información, creyendo, por ejemplo, que se está comunicando con un representante de la dirección o un cliente de la organización), que simplifica la recopilación de información sobre los empleados de fuentes disponibles públicamente;
- uso de credenciales robadas, por ejemplo, inicios de sesión y contraseñas para sistemas de administración remota, que se pueden comprar en la red oscura;
- piratería física y penetración que permitirá a los piratas informáticos en el sitio descubrir sistemas críticos y burlar la seguridad.
Métodos para ocultar ataques.
Gracias a los avances en ciberseguridad, incluido Trend Micro, la detección de familias de ransomware clásicas se ha vuelto mucho más fácil en los últimos años. Las tecnologías de aprendizaje automático y análisis del comportamiento ayudan a identificar el malware antes de que penetre en un sistema, por lo que los piratas informáticos deben idear formas alternativas de ocultar los ataques.
Las nuevas tecnologías de los ciberdelincuentes, ya conocidas por los especialistas en el campo de la seguridad informática, tienen como objetivo neutralizar los entornos sandbox para analizar archivos sospechosos y sistemas de aprendizaje automático, desarrollar malware sin archivos y utilizar software infectado con licencia, incluido software de proveedores de ciberseguridad y diversos servicios remotos con acceso a la red de la organización.
Conclusiones y recomendaciones.
En general, podemos decir que en la segunda mitad de 2019 existe una alta probabilidad de que se produzcan ataques dirigidos a grandes organizaciones que son capaces de pagar grandes rescates a los ciberdelincuentes. Sin embargo, los piratas informáticos no siempre desarrollan ellos mismos soluciones de piratería y malware. Algunos de ellos, por ejemplo, el famoso equipo GandCrab, que ya ha , que ha ganado alrededor de 150 millones de dólares estadounidenses, continúa trabajando según el esquema RaaS (ransomware como servicio, o "virus ransomware como servicio", por analogía con los antivirus y los sistemas de ciberdefensa). Es decir, la distribución de ransomware y criptolockers exitosos este año la llevan a cabo no solo sus creadores, sino también los "inquilinos".
En tales condiciones, las organizaciones necesitan actualizar constantemente sus sistemas de ciberseguridad y sus esquemas de recuperación de datos en caso de un ataque, porque la única forma efectiva de combatir los virus ransomware es no pagar un rescate y privar a sus autores de una fuente de ganancias.
Fuente: habr.com