Ransomware virusi, kao i druge vrste zlonamjernog softvera, razvijaju se i mijenjaju tijekom godina - od jednostavnih ormarića koji su sprječavali korisnika da se prijavi u sustav, i “policijskog” ransomwarea koji je prijetio kaznenim progonom za fiktivna kršenja zakona, došli smo do programa za šifriranje. Ovaj zlonamjerni softver šifrira datoteke na tvrdim diskovima (ili cijelim diskovima) i traži otkupninu ne za povratak pristupa sustavu, već za činjenicu da korisnikovi podaci neće biti izbrisani, prodani na darknetu ili izloženi javnosti na internetu. . Štoviše, plaćanje otkupnine uopće ne jamči primitak ključa za dešifriranje datoteka. I ne, to se “već dogodilo prije sto godina”, ali je još uvijek aktualna prijetnja.
S obzirom na uspješnost hakera i isplativost ove vrste napada, stručnjaci vjeruju da će njihova učestalost i domišljatost u budućnosti samo rasti. Po Cybersecurity Ventures, 2016. ransomware virusi napadali su tvrtke otprilike jednom svakih 40 sekundi, 2019. to se događa jednom svakih 14 sekundi, a 2021. učestalost će porasti na jedan napad svakih 11 sekundi. Vrijedno je napomenuti da se tražena otkupnina (osobito u ciljanim napadima na velike tvrtke ili urbanu infrastrukturu) obično pokaže višestruko nižom od štete uzrokovane napadom. Tako je svibanjski napad na vladine strukture u Baltimoreu, Maryland, u SAD-u, prouzročio štetu veću od , a iznos otkupnine koji su prijavili hakeri iznosi 76 tisuća dolara u bitcoin protuvrijednosti. A , Georgia, koštao je grad 2018 milijuna dolara u kolovozu 17., uz traženu otkupninu od 52 dolara.
Stručnjaci Trend Microa analizirali su napade pomoću ransomware virusa u prvim mjesecima 2019., au ovom ćemo članku govoriti o glavnim trendovima koji očekuju svijet u drugoj polovici.
Ransomware virus: kratak dosje
Značenje ransomware virusa jasno je iz samog naziva: prijeteći uništenjem (ili, obrnuto, objavljivanjem) povjerljivih ili vrijednih informacija za korisnika, hakeri ga koriste kako bi zatražili otkupninu za vraćanje pristupa istima. Za obične korisnike takav je napad neugodan, ali ne i kritičan: prijetnja gubitka glazbene kolekcije ili fotografija s odmora u posljednjih deset godina ne jamči plaćanje otkupnine.
Za organizacije situacija izgleda potpuno drugačije. Svaka minuta zastoja u poslovanju košta, stoga je gubitak pristupa sustavu, aplikacijama ili podacima za modernu tvrtku jednak gubicima. Zato se fokus ransomware napada posljednjih godina postupno pomaknuo s granatiranja virusa na smanjenje aktivnosti i prelazak na ciljane napade na organizacije u područjima djelovanja u kojima su šanse za dobivanje otkupnine i njezina veličina najveći. S druge strane, organizacije se nastoje zaštititi od prijetnji na dva glavna načina: razvojem načina za učinkovito obnavljanje infrastrukture i baza podataka nakon napada te usvajanjem modernijih sustava kibernetičke obrane koji otkrivaju i brzo uništavaju zlonamjerni softver.
Kako bi ostao u tijeku i razvio nova rješenja i tehnologije za borbu protiv zlonamjernog softvera, Trend Micro kontinuirano analizira rezultate dobivene iz svojih sustava kibernetičke sigurnosti. Prema Trend Microu , situacija s ransomware napadima posljednjih godina izgleda ovako:
Victim's Choice u 2019
Ove godine kibernetički kriminalci očito su postali mnogo selektivniji u izboru žrtava: ciljaju na organizacije koje su manje zaštićene i koje su spremne platiti veliku svotu za brzu uspostavu normalnog rada. Zato je od početka godine već zabilježeno nekoliko napada na vladine strukture i administraciju velikih gradova, uključujući Lake City (otkupnina - 530 tisuća američkih dolara) i Riviera Beach (otkupnina - 600 tisuća američkih dolara) .
Raščlanjeno prema industriji, glavni vektori napada izgledaju ovako:
— 27% — državne agencije;
— 20% — proizvodnja;
— 14% — zdravstvo;
— 6% — trgovina na malo;
— 5% — obrazovanje.
Kibernetički kriminalci često koriste OSINT (javni izvor informacija) kako bi se pripremili za napad i procijenili njegovu isplativost. Prikupljanjem informacija bolje razumiju poslovni model organizacije i reputacijske rizike koje može pretrpjeti napadom. Hakeri također traže najvažnije sustave i podsustave koji se mogu potpuno izolirati ili onesposobiti korištenjem ransomware virusa – to povećava mogućnost dobivanja otkupnine. Na kraju, ali ne i najmanje važno, procjenjuje se stanje sustava kibernetičke sigurnosti: nema smisla napadati tvrtku čiji ga IT stručnjaci s velikom vjerojatnošću mogu odbiti.
U drugoj polovici 2019. ovaj će trend i dalje biti relevantan. Hakeri će pronaći nova područja djelovanja u kojima poremećaj poslovnih procesa dovodi do maksimalnih gubitaka (primjerice, promet, kritična infrastruktura, energetika).
Metode prodiranja i infekcije
I na ovom se području stalno događaju promjene. Najpopularniji alati i dalje su phishing, zlonamjerne reklame na web stranicama i zaraženim internetskim stranicama, kao i exploit. Pritom, glavni “suučesnik” u napadima i dalje je korisnik zaposlenik koji otvara ove stranice i preuzima datoteke putem linkova ili putem e-pošte, što izaziva daljnju infekciju mreže cijele organizacije.
Međutim, u drugoj polovici 2019. ovi će se alati dodati u:
- aktivnije korištenje napada pomoću društvenog inženjeringa (napad u kojem žrtva dobrovoljno izvodi radnje koje haker želi ili daje informacije, vjerujući da npr. komunicira s predstavnikom uprave ili klijentom organizacije), čime se pojednostavljuje prikupljanje podataka o zaposlenicima iz javno dostupnih izvora;
- korištenje ukradenih vjerodajnica, na primjer, prijave i lozinke za sustave daljinske administracije, koje se mogu kupiti na darknetu;
- fizičko hakiranje i prodor koji će omogućiti hakerima na licu mjesta da otkriju kritične sustave i poraze sigurnost.
Metode za skrivanje napada
Zahvaljujući napretku u kibernetičkoj sigurnosti, uključujući Trend Micro, otkrivanje klasičnih obitelji ransomwarea postalo je puno lakše posljednjih godina. Tehnologije strojnog učenja i analize ponašanja pomažu identificirati zlonamjerni softver prije nego što prodre u sustav, pa hakeri moraju smisliti alternativne načine za skrivanje napada.
Već poznati stručnjacima u području IT sigurnosti i nove tehnologije kibernetičkih kriminalaca usmjerene su na neutraliziranje sandboxa za analizu sumnjivih datoteka i sustava strojnog učenja, razvoj zlonamjernog softvera bez datoteka i korištenje zaraženog licenciranog softvera, uključujući softver dobavljača kibernetičke sigurnosti i razne udaljene usluge s pristupom mrežu organizacije.
Zaključci i preporuke
Općenito, možemo reći da u drugoj polovici 2019. postoji velika vjerojatnost ciljanih napada na velike organizacije koje su sposobne platiti velike otkupnine kibernetičkim kriminalcima. Međutim, hakeri ne razvijaju uvijek sami rješenja za hakiranje i zlonamjerni softver. Neki od njih, na primjer, ozloglašeni tim GandCrab, koji je već , nakon što su zaradili oko 150 milijuna američkih dolara, nastavljaju raditi prema RaaS shemi (ransomware-as-a-service, ili “ransomware virusi kao usluga”, po analogiji s antivirusima i sustavima cyber obrane). Odnosno, distribuciju uspješnog ransomwarea i kripto-pretvarača ove godine provode ne samo njihovi kreatori, već i "stanari".
U takvim uvjetima organizacije moraju stalno ažurirati svoje sustave kibernetičke sigurnosti i sheme za oporavak podataka u slučaju napada, jer jedini učinkovit način borbe protiv ransomware virusa nije plaćanje otkupnine i uskraćivanje izvora zarade njihovim autorima.
Izvor: www.habr.com