Os virus de ransomware, como outros tipos de malware, evolucionan e cambian ao longo dos anos: desde simples armarios que impedían ao usuario iniciar sesión no sistema e ransomware "policía" que ameazaba procesar por infraccións ficticias da lei, chegamos aos programas de cifrado. Estes programas maliciosos cifran ficheiros en discos duros (ou unidades enteiras) e esixen un rescate non pola devolución do acceso ao sistema, senón polo feito de que a información do usuario non se borrará, venderá na rede escura ou expoñerase ao público en liña. . Ademais, pagar o rescate non garante en absoluto a recepción da clave para descifrar os ficheiros. E non, isto “xa pasou hai cen anos”, pero segue sendo unha ameaza actual.
Dado o éxito dos hackers e a rendibilidade deste tipo de ataques, os expertos consideran que a súa frecuencia e enxeño só aumentarán no futuro. Por Cybersecurity Ventures, en 2016, os virus ransomware atacaron ás empresas aproximadamente unha vez cada 40 segundos, en 2019 isto ocorre unha vez cada 14 segundos e en 2021 a frecuencia aumentará a un ataque cada 11 segundos. Cabe sinalar que o rescate necesario (especialmente nos ataques dirixidos a grandes empresas ou infraestruturas urbanas) adoita ser moitas veces inferior ao dano causado polo ataque. Así, o ataque de maio contra estruturas gobernamentais en Baltimore, Maryland, nos EE. UU., causou danos por máis de , sendo o importe do rescate declarado polos piratas informáticos 76 mil dólares en equivalente en bitcoins. A , Xeorxia, custou á cidade 2018 millóns de dólares en agosto de 17, cun rescate necesario de 52 dólares.
Os especialistas de Trend Micro analizaron os ataques mediante virus ransomware nos primeiros meses de 2019, e neste artigo falaremos das principais tendencias que agardan ao mundo no segundo semestre.
Virus de ransomware: un breve dossier
O significado do virus ransomware é claro polo seu propio nome: ameazando con destruír (ou, pola contra, publicar) información confidencial ou valiosa para o usuario, os piratas informáticos utilízana para esixir un rescate por devolver o acceso a ela. Para os usuarios comúns, tal ataque é desagradable, pero non crítico: a ameaza de perder unha colección de música ou fotos das vacacións dos últimos dez anos non garante o pago dun rescate.
A situación parece completamente diferente para as organizacións. Cada minuto de inactividade da empresa custa diñeiro, polo que a perda de acceso a un sistema, aplicacións ou datos para unha empresa moderna é igual a perdas. É por iso que o foco dos ataques de ransomware nos últimos anos pasou gradualmente de bombardear virus a reducir a actividade e pasar a incursións dirixidas a organizacións en áreas de actividade nas que as posibilidades de recibir un rescate e o seu tamaño son maiores. Pola súa banda, as organizacións buscan protexerse das ameazas de dúas formas principais: desenvolvendo formas de restaurar de forma eficaz a infraestrutura e as bases de datos despois dos ataques e adoptando sistemas de ciberdefensa máis modernos que detecten e destrúan rapidamente o malware.
Para estar ao día e desenvolver novas solucións e tecnoloxías para combater o malware, Trend Micro analiza continuamente os resultados obtidos dos seus sistemas de ciberseguridade. Segundo Trend Micro , a situación cos ataques de ransomware nos últimos anos é así:
Victim's Choice en 2019
Este ano, os ciberdelincuentes volvéronse claramente moito máis selectivos na elección das vítimas: están dirixidos a organizacións menos protexidas e dispostas a pagar unha gran cantidade para restablecer rapidamente as operacións normais. É por iso que, desde principios de ano, xa se rexistraron varios ataques contra estruturas gobernamentais e administración de grandes cidades, incluíndo Lake City (rescate - 530 mil dólares estadounidenses) e Riviera Beach (rescate - 600 mil dólares estadounidenses). .
Desglosados por industrias, os principais vectores de ataque teñen o seguinte aspecto:
— 27% — axencias gobernamentais;
— 20% — produción;
— 14% — asistencia sanitaria;
— 6 % — comercio polo miúdo;
— 5% — educación.
Os cibercriminales adoitan usar OSINT (intelixencia de fontes públicas) para prepararse para un ataque e avaliar a súa rendibilidade. Ao recoller información, comprenden mellor o modelo de negocio da organización e os riscos reputacionais que pode sufrir por un ataque. Os piratas informáticos tamén buscan os sistemas e subsistemas máis importantes que se poden illar ou desactivar completamente mediante virus de ransomware; isto aumenta as posibilidades de recibir un rescate. Por último, pero non menos importante, avalíase o estado dos sistemas de ciberseguridade: non serve de nada lanzar un ataque a unha empresa cuxos especialistas informáticos son capaces de repelelo con alta probabilidade.
No segundo semestre de 2019, esta tendencia seguirá sendo relevante. Os piratas informáticos atoparán novas áreas de actividade nas que a interrupción dos procesos comerciais leva a perdas máximas (por exemplo, transporte, infraestruturas críticas, enerxía).
Métodos de penetración e infección
Tamén se están producindo cambios constantemente neste ámbito. As ferramentas máis populares seguen sendo o phishing, os anuncios maliciosos en sitios web e páxinas de Internet infectadas, así como os exploits. Ao mesmo tempo, o principal "cómplice" dos ataques segue sendo o usuario empregado que abre estes sitios e descarga ficheiros a través de ligazóns ou desde o correo electrónico, o que provoca unha maior infección da rede de toda a organización.
Non obstante, no segundo semestre de 2019 estas ferramentas engadiranse a:
- uso máis activo dos ataques mediante enxeñería social (un ataque no que a vítima realiza voluntariamente as accións desexadas polo hacker ou dá información, crendo, por exemplo, que se está comunicando cun representante da dirección ou cliente da organización), que simplifica a recollida de información sobre os empregados a partir de fontes dispoñibles públicamente;
- uso de credenciais roubadas, por exemplo, inicios de sesión e contrasinais para sistemas de administración remota, que se poden adquirir na darknet;
- piratería física e penetración que permitirá aos hackers no sitio descubrir sistemas críticos e derrotar a seguridade.
Métodos para ocultar ataques
Grazas aos avances en ciberseguridade, incluído Trend Micro, a detección das familias clásicas de ransomware fíxose moito máis sinxela nos últimos anos. A aprendizaxe automática e as tecnoloxías de análise do comportamento axudan a identificar o malware antes de que penetre nun sistema, polo que os piratas informáticos teñen que buscar formas alternativas de ocultar os ataques.
Xa coñecido polos especialistas no campo da seguridade informática e as novas tecnoloxías dos ciberdelincuentes teñen como obxectivo neutralizar os sandbox para analizar ficheiros sospeitosos e sistemas de aprendizaxe automática, desenvolver malware sen ficheiros e utilizar software con licenza infectado, incluído software de provedores de ciberseguridade e varios servizos remotos con acceso a rede da organización.
Conclusións e recomendacións
En xeral, podemos dicir que no segundo semestre de 2019 hai unha alta probabilidade de ataques dirixidos a grandes organizacións que son capaces de pagar grandes rescates aos ciberdelincuentes. Non obstante, os piratas informáticos non sempre desenvolven solucións de hackeo e software malicioso. Algúns deles, por exemplo, o famoso equipo GandCrab, que xa ten , despois de gañar uns 150 millóns de dólares estadounidenses, seguen traballando segundo o esquema RaaS (ransomware-as-a-service, ou "ransomware viruses as a service", por analoxía cos antivirus e sistemas de ciberdefensa). É dicir, a distribución de ransomware e cripto-lockers exitosos este ano realízase non só polos seus creadores, senón tamén por "inquilinos".
En tales condicións, as organizacións deben actualizar constantemente os seus sistemas de ciberseguridade e os seus esquemas de recuperación de datos en caso de ataque, porque a única forma eficaz de combater os virus ransomware é non pagar un rescate e privar aos seus autores dunha fonte de beneficios.
Fonte: www.habr.com