Ransomware vírusar, eins og aðrar tegundir spilliforrita, þróast og breytast í gegnum árin - allt frá einföldum skápum sem komu í veg fyrir að notandinn gæti skráð sig inn í kerfið, og "lögreglu" lausnarhugbúnaði sem hótaði ákæru fyrir uppdiktuð lögbrot, við komum að dulkóðunarforritum. Þessi spilliforrit dulkóðar skrár á hörðum diskum (eða heilum drifum) og krefst lausnargjalds, ekki fyrir endurheimt aðgangs að kerfinu, heldur fyrir þá staðreynd að upplýsingum notandans verður ekki eytt, selt á myrka netinu eða afhjúpað almenningi á netinu . Þar að auki tryggir það alls ekki að fá lykilinn til að afkóða skrárnar að greiða lausnargjaldið. Og nei, þetta „gerðist nú þegar fyrir hundrað árum síðan“, en það er samt núverandi ógn.
Miðað við velgengni tölvuþrjóta og arðsemi þessarar tegundar árása telja sérfræðingar að tíðni þeirra og hugvitssemi muni aðeins aukast í framtíðinni. By Cybersecurity Ventures, árið 2016, réðust lausnarhugbúnaðarvírusar á fyrirtæki um það bil einu sinni á 40 sekúndna fresti, árið 2019 gerist þetta einu sinni á 14 sekúndna fresti og árið 2021 mun tíðnin aukast í eina árás á 11 sekúndna fresti. Rétt er að taka fram að tilskilið lausnargjald (sérstaklega í markvissum árásum á stór fyrirtæki eða innviði þéttbýlis) reynist yfirleitt margfalt lægra en tjónið af völdum árásarinnar. Þannig olli árás maí á stjórnarmannvirki í Baltimore í Maryland í Bandaríkjunum tjóni sem nemur meira en , þar sem lausnarfjárhæðin sem tölvuþrjótar hafa lýst yfir er 76 þúsund dollarar í bitcoin ígildi. A , Georgíu, kostaði borgina 2018 milljónir dala í ágúst 17, með áskilið lausnargjald upp á 52 dala.
Sérfræðingar Trend Micro greindu árásir með því að nota ransomware vírusa á fyrstu mánuðum ársins 2019 og í þessari grein munum við tala um helstu þróun sem bíða heimsins á seinni hlutanum.
Ransomware veira: stutt skjöl
Merking lausnarhugbúnaðar vírussins er skýr af nafni hans: Hóta að eyðileggja (eða öfugt, birta) trúnaðarupplýsingar eða verðmætar upplýsingar fyrir notandann, tölvuþrjótar nota þær til að krefjast lausnargjalds fyrir að fá aðgang að þeim aftur. Fyrir venjulega notendur er slík árás óþægileg, en ekki mikilvæg: hótun um að tapa tónlistarsafni eða myndum frá fríum undanfarin tíu ár tryggir ekki greiðslu lausnargjalds.
Staðan lítur allt öðruvísi út fyrir stofnanir. Hver mínúta af rekstrarniðurstöðu kostar peninga, þannig að tap á aðgangi að kerfi, forritum eða gögnum fyrir nútíma fyrirtæki jafngildir tapi. Þess vegna hefur áherslan á lausnarhugbúnaðarárásum undanfarin ár smám saman færst frá því að sprengja vírusa yfir í að draga úr virkni og fara yfir í markvissar árásir á stofnanir á starfsemi þar sem líkurnar á að fá lausnargjald og stærð þess eru mestar. Aftur á móti leitast stofnanir við að vernda sig gegn ógnum á tvo megin vegu: með því að þróa leiðir til að endurheimta innviði og gagnagrunna á áhrifaríkan hátt eftir árásir og með því að taka upp nútímalegri netvarnarkerfi sem skynja og eyðileggja spilliforrit án tafar.
Til að halda áfram að fylgjast með og þróa nýjar lausnir og tækni til að berjast gegn spilliforritum, greinir Trend Micro stöðugt niðurstöðurnar sem fást úr netöryggiskerfum sínum. Samkvæmt Trend Micro , ástandið með lausnarhugbúnaðarárásir undanfarin ár lítur svona út:
Val fórnarlambs árið 2019
Á þessu ári hafa netglæpamenn greinilega orðið mun sértækari í vali á fórnarlömbum: Þeir beinast að stofnunum sem eru síður vernduð og eru tilbúnir að borga háa upphæð til að koma fljótt aftur eðlilegri starfsemi. Þess vegna, frá áramótum, hafa þegar verið skráðar nokkrar árásir á opinberar mannvirki og stjórnun stórborga, þar á meðal Lake City (lausnargjald - 530 þúsund Bandaríkjadalir) og Riviera Beach (lausnargjald - 600 þúsund Bandaríkjadalir) .
Sundurliðað eftir atvinnugreinum líta helstu árásarvektorarnir svona út:
— 27% — ríkisstofnanir;
— 20% — framleiðsla;
— 14% — heilbrigðisþjónusta;
— 6% — smásöluverslun;
— 5% — menntun.
Netglæpamenn nota oft OSINT (public source intelligence) til að búa sig undir árás og meta arðsemi hennar. Með því að afla upplýsinga skilja þeir betur viðskiptamódel stofnunarinnar og þá orðsporsáhættu sem hún gæti orðið fyrir af árás. Tölvuþrjótar leita einnig að mikilvægustu kerfum og undirkerfum sem hægt er að einangra algjörlega eða óvirkja með því að nota lausnarhugbúnaðarvírusa - þetta eykur líkurnar á að fá lausnargjald. Síðast en ekki síst er ástand netöryggiskerfa metið: það þýðir ekkert að gera árás á fyrirtæki þar sem upplýsingatæknisérfræðingar geta hrakið það með miklum líkum.
Á seinni hluta ársins 2019 mun þessi þróun enn eiga við. Tölvuþrjótar munu finna ný starfsemi þar sem truflun á viðskiptaferlum leiðir til hámarks taps (til dæmis flutninga, mikilvæga innviði, orku).
Aðferðir við skarpskyggni og sýkingu
Breytingar eru líka stöðugt að eiga sér stað á þessu sviði. Vinsælustu verkfærin eru áfram vefveiðar, skaðlegar auglýsingar á vefsíðum og sýktar vefsíður, auk hetjudáða. Á sama tíma er helsti „vitorðsmaður“ í árásum enn starfsmannsnotandinn sem opnar þessar síður og hleður niður skrám í gegnum tengla eða úr tölvupósti, sem veldur frekari sýkingu á netkerfi alls stofnunarinnar.
Hins vegar, á seinni hluta ársins 2019 verður þessum verkfærum bætt við:
- virkari notkun árása með því að nota félagslega verkfræði (árás þar sem fórnarlambið framkvæmir sjálfviljugur þær aðgerðir sem tölvuþrjórinn óskar eftir eða gefur upplýsingar, td í þeirri trú að hann sé í samskiptum við fulltrúa stjórnenda eða viðskiptavinar stofnunarinnar), sem einfaldar söfnun upplýsinga um starfsmenn frá opinberum aðgengilegum aðilum;
- notkun á stolnum skilríkjum, til dæmis innskráningu og lykilorðum fyrir fjarstjórnunarkerfi, sem hægt er að kaupa á darknet;
- líkamlegt innbrot og skarpskyggni sem gerir tölvuþrjótum á staðnum kleift að uppgötva mikilvæg kerfi og vinna bug á öryggi.
Aðferðir til að fela árásir
Þökk sé framförum í netöryggi, þar á meðal Trend Micro, hefur uppgötvun klassískra lausnarhugbúnaðarfjölskyldna orðið miklu auðveldari á undanförnum árum. Vélnám og hegðunargreiningartækni hjálpa til við að bera kennsl á spilliforrit áður en það kemst inn í kerfi, svo tölvuþrjótar verða að finna upp aðrar leiðir til að fela árásir.
Þegar sérfræðingum á sviði upplýsingatækniöryggis er þekkt og ný tækni netglæpamanna miðar að því að hlutleysa sandkassa til að greina grunsamlegar skrár og vélanámskerfi, þróa skráarlausan spilliforrit og nota sýktan leyfishugbúnað, þar á meðal hugbúnað frá netöryggisframleiðendum og ýmsa fjarþjónustu með aðgangi að tengslanet stofnunarinnar.
Ályktanir og tilmæli
Almennt má segja að á seinni hluta árs 2019 séu miklar líkur á markvissum árásum á stórar stofnanir sem eru færar um að greiða háar lausnargjöld til netglæpamanna. Hins vegar þróa tölvuþrjótar ekki alltaf tölvuþrjótalausnir og spilliforrit sjálfir. Sumir þeirra, til dæmis, hið alræmda GandCrab teymi, sem hefur þegar , sem hefur þénað um 150 milljónir Bandaríkjadala, heldur áfram að vinna samkvæmt RaaS kerfinu (ransomware-as-a-service, eða "ransomware viruses as a service", á hliðstæðan hátt við vírusvörn og netvarnarkerfi). Það er að segja að dreifing farsælla lausnarhugbúnaðar og dulritunarskápa á þessu ári fer ekki aðeins fram af höfundum þeirra, heldur einnig af „leigjendum“.
Við slíkar aðstæður þurfa stofnanir stöðugt að uppfæra netöryggiskerfi sín og gagnabatakerfi ef árás verður, vegna þess að eina árangursríka leiðin til að berjast gegn lausnargjaldsvírusum er að greiða ekki lausnargjald og svipta höfunda sína gróðauppsprettu.
Heimild: www.habr.com