A ransomware vírusok, más típusú rosszindulatú programokhoz hasonlóan, fejlődnek és változnak az évek során – az egyszerű szekrényektől, amelyek megakadályozták a felhasználót a rendszerbe való bejelentkezésében, és a „rendőrségi” zsarolóprogramoktól, amelyek a törvény fiktív megsértése miatt büntetőeljárást fenyegettek, elérkeztünk a titkosító programokig. Ezek a rosszindulatú programok titkosítják a merevlemezeken (vagy teljes meghajtókon) lévő fájlokat, és nem a rendszerhez való hozzáférés visszaadásáért követelnek váltságdíjat, hanem azért, hogy a felhasználó adatait ne töröljék, ne adják el a darkneten, vagy ne kerüljenek nyilvánosságra online. . Ráadásul a váltságdíj kifizetése egyáltalán nem garantálja a fájlok visszafejtéséhez szükséges kulcs kézhezvételét. És nem, ez „már száz éve történt”, de még mindig aktuális fenyegetés.
Tekintettel a hackerek sikerére és az ilyen típusú támadások jövedelmezőségére, a szakértők úgy vélik, hogy gyakoriságuk és találékonyságuk a jövőben csak növekedni fog. Által A Cybersecurity Ventures szerint 2016-ban a ransomware vírusok körülbelül 40 másodpercenként támadtak meg cégeket, 2019-ben ez 14 másodpercenként történik, 2021-ben pedig 11 másodpercenként egy támadásra nő a gyakoriság. Érdemes megjegyezni, hogy a szükséges váltságdíj (különösen a nagyvállalatok vagy városi infrastruktúra elleni célzott támadások esetén) általában sokszorosa a támadás által okozott kárnak. Így az Egyesült Államokban, a marylandi Baltimore-ban a kormányzati struktúrák elleni májusi támadás több mint , a hackerek által bejelentett váltságdíj összege 76 ezer dollár bitcoinnak megfelelő. A 2018 augusztusában 17 millió dollárba került a városnak, 52 XNUMX dollár váltságdíjjal.
A Trend Micro szakemberei 2019 első hónapjaiban elemezték a ransomware vírusokat használó támadásokat, ebben a cikkben pedig a második félévben a világra váró fő trendekről lesz szó.
Ransomware vírus: egy rövid dosszié
A ransomware vírus jelentése már a nevéből is kiderül: a felhasználó számára bizalmas vagy értékes információk megsemmisítésével (vagy éppen ellenkezőleg, közzétételével) fenyegetőzve a hackerek váltságdíjat követelnek a hozzáférés visszaadásáért. A hétköznapi felhasználók számára egy ilyen támadás kellemetlen, de nem kritikus: a zenei gyűjtemény vagy az elmúlt tíz év nyaralásairól készült fényképek elvesztésének veszélye nem garantálja a váltságdíj kifizetését.
Teljesen más a helyzet a szervezetek esetében. Az üzleti leállás minden perce pénzbe kerül, így a rendszerhez, alkalmazásokhoz vagy adatokhoz való hozzáférés elvesztése egy modern vállalat számára veszteséggel egyenlő. Ez az oka annak, hogy az elmúlt években a zsarolóprogramok támadásainak súlypontja fokozatosan áthelyeződött a vírusok gránátalmáról az aktivitás csökkentésére, és átkerült a szervezetek célzott razziáira azokon a tevékenységi területeken, ahol a legnagyobb a váltságdíj átvételének esélye és mérete. A szervezetek viszont két fő módon próbálják megvédeni magukat a fenyegetésekkel szemben: az infrastruktúra és az adatbázisok támadások utáni hatékony helyreállításának módszereinek kidolgozásával, valamint a rosszindulatú programokat észlelő és azonnali elpusztító korszerűbb kibervédelmi rendszerek bevezetésével.
A Trend Micro folyamatosan elemzi a kiberbiztonsági rendszereiből származó eredményeket, hogy naprakész maradjon, és új megoldásokat és technológiákat fejlesszen ki a rosszindulatú programok leküzdésére. A Trend Micro szerint , a helyzet a ransomware támadásokkal kapcsolatban az elmúlt években így néz ki:
Az áldozatok választása 2019-ben
Idén a kiberbűnözők egyértelműen sokkal válogatósabbak lettek az áldozatok megválasztásában: olyan szervezeteket céloznak meg, amelyek kevésbé védettek, és hajlandóak nagy összeget fizetni a normális működés gyors helyreállításáért. Éppen ezért az év eleje óta már több támadást is rögzítettek a kormányzati struktúrák és a nagyvárosok közigazgatása ellen, köztük Lake City (váltságdíj - 530 ezer dollár) és Riviera Beach (váltságdíj - 600 ezer dollár) ellen. .
Iparági bontásban a fő támadási vektorok így néznek ki:
— 27% — kormányzati szervek;
— 20% — termelés;
— 14% — egészségügy;
— 6% — kiskereskedelem;
— 5% — oktatás.
A kiberbűnözők gyakran használják az OSINT-et (nyilvános forrásból származó hírszerzés) a támadásra való felkészüléshez és annak jövedelmezőségének felméréséhez. Az információgyűjtés révén jobban megértik a szervezet üzleti modelljét és a hírnévvel kapcsolatos kockázatokat, amelyeket egy támadás érhet. A hackerek a legfontosabb rendszereket és alrendszereket is keresik, amelyek zsarolóvírusok segítségével teljesen elkülöníthetők vagy letilthatók – ez növeli a váltságdíj elnyerésének esélyét. Végül, de nem utolsósorban felmérik a kiberbiztonsági rendszerek állapotát: nincs értelme támadást indítani egy olyan cég ellen, amelynek informatikusai nagy valószínűséggel képesek visszaverni.
2019 második felében ez a tendencia továbbra is releváns lesz. A hackerek új tevékenységi területeket fognak találni, ahol az üzleti folyamatok megzavarása maximális veszteséghez vezet (például közlekedés, kritikus infrastruktúra, energia).
A behatolás és a fertőzés módjai
Ezen a területen is folyamatosan változások mennek végbe. A legnépszerűbb eszközök továbbra is az adathalászat, a rosszindulatú hirdetések a webhelyeken és a fertőzött internetes oldalakon, valamint a kihasználások. Ugyanakkor a támadások fő „bűntársa” továbbra is az alkalmazott felhasználó, aki megnyitja ezeket az oldalakat, és fájlokat tölt le linkeken vagy e-mailekből, ami az egész szervezet hálózatának további fertőzését provokálja.
2019 második felében azonban ezekkel az eszközökkel kiegészítjük:
- támadások aktívabb alkalmazása social engineering segítségével (olyan támadás, amelyben az áldozat önként hajtja végre a hacker által kívánt műveleteket, vagy információt ad ki, például azt gondolva, hogy a szervezet vezetőségének vagy ügyfelének képviselőjével kommunikál), amely leegyszerűsíti a munkavállalókra vonatkozó információk nyilvánosan elérhető forrásokból történő gyűjtését;
- ellopott hitelesítő adatok, például bejelentkezési adatok és jelszavak a távoli adminisztrációs rendszerekhez, amelyek megvásárolhatók a darkneten;
- fizikai hackelés és behatolás, amely lehetővé teszi a helyszíni hackerek számára, hogy felfedezzék a kritikus rendszereket és legyőzzék a biztonságot.
A támadások elrejtésének módszerei
A kiberbiztonság fejlődésének köszönhetően, beleértve a Trend Micro-t, a klasszikus zsarolóprogram-családok észlelése sokkal könnyebbé vált az elmúlt években. A gépi tanulás és a viselkedéselemző technológiák segítenek azonosítani a rosszindulatú programokat, mielőtt azok behatolnának a rendszerbe, ezért a hackereknek alternatív módszereket kell kidolgozniuk a támadások elrejtésére.
Az informatikai biztonság és a kiberbűnözők új technológiáinak szakértői által már ismert, hogy a homokozók semlegesítésére irányulnak a gyanús fájlok és gépi tanulási rendszerek elemzésére, fájl nélküli rosszindulatú programok fejlesztésére és fertőzött, licencelt szoftverek használatára, beleértve a kiberbiztonsági szállítók szoftvereit és a különböző távoli szolgáltatásokhoz hozzáférést biztosító szoftvereket. a szervezet hálózata.
Következtetések és ajánlások
Általánosságban elmondható, hogy 2019 második felében nagy a valószínűsége a célzott támadásoknak olyan nagy szervezetek ellen, amelyek képesek jelentős váltságdíjat fizetni a kiberbűnözőknek. A hackerek azonban nem mindig maguk fejlesztenek hackermegoldásokat és rosszindulatú programokat. Néhányan közülük például a hírhedt GandCrab csapat, amely már 150 millió USD bevétel után továbbra is a RaaS séma szerint működik (ransomware-as-a-service, vagy „ransomware vírusok, mint szolgáltatás”, a vírusirtókkal és kibervédelmi rendszerekkel analógia szerint). Vagyis a sikeres ransomware és crypto-locker forgalmazását idén nemcsak készítőik, hanem „bérlőik” is végzik.
Ilyen körülmények között a szervezeteknek folyamatosan frissíteniük kell kiberbiztonsági rendszereiket és adat-helyreállítási sémáikat támadás esetén, mert a ransomware vírusok elleni küzdelem egyetlen hatékony módja, ha nem fizetnek váltságdíjat, és nem fosztják meg szerzőiket a profitforrástól.
Forrás: will.com