Ransomware-virussen evolueren en veranderen, net als andere soorten malware, in de loop der jaren - van eenvoudige kluisjes die de gebruiker verhinderden in te loggen op het systeem, en 'politie'-ransomware die dreigde met vervolging wegens fictieve overtredingen van de wet, kwamen we bij encryptieprogramma's. Deze malware versleutelt bestanden op harde schijven (of hele schijven) en eist losgeld, niet voor het terugkrijgen van toegang tot het systeem, maar voor het feit dat de gebruikersinformatie niet wordt verwijderd, verkocht op het darknet of online openbaar wordt gemaakt. . Bovendien garandeert het betalen van het losgeld op geen enkele wijze de ontvangst van de sleutel om de bestanden te decoderen. En nee, dit “is honderd jaar geleden al gebeurd”, maar het is nog steeds een actuele dreiging.
Gezien het succes van hackers en de winstgevendheid van dit soort aanvallen, zijn experts van mening dat hun frequentie en vindingrijkheid in de toekomst alleen maar zullen toenemen. Door Cybersecurity Ventures vielen ransomware-virussen in 2016 ongeveer eens per 40 seconden bedrijven aan, in 2019 gebeurt dit eens per 14 seconden en in 2021 zal de frequentie toenemen naar één aanval per 11 seconden. Vermeldenswaard is dat het benodigde losgeld (vooral bij gerichte aanvallen op grote bedrijven of stedelijke infrastructuur) doorgaans vele malen lager uitvalt dan de schade die door de aanval wordt aangericht. Zo veroorzaakte de aanval van mei op overheidsstructuren in Baltimore, Maryland, in de Verenigde Staten, schade die meer dan XNUMX miljoen euro bedroeg , waarbij het door hackers aangegeven losgeldbedrag 76 duizend dollar in bitcoin-equivalent bedraagt. A , Georgia, kostte de stad in augustus 2018 $17 miljoen, met een vereist losgeld van $52.
Specialisten van Trend Micro analyseerden aanvallen met behulp van ransomware-virussen in de eerste maanden van 2019, en in dit artikel zullen we het hebben over de belangrijkste trends die de wereld in de tweede helft te wachten staan.
Ransomware-virus: een kort dossier
De betekenis van het ransomware-virus blijkt duidelijk uit de naam zelf: hackers dreigen vertrouwelijke of waardevolle informatie voor de gebruiker te vernietigen (of, omgekeerd, te publiceren) en gebruiken het om losgeld te eisen om er weer toegang toe te krijgen. Voor gewone gebruikers is zo'n aanval onaangenaam, maar niet kritisch: de dreiging van het verliezen van een muziekcollectie of foto's van vakanties van de afgelopen tien jaar garandeert geen betaling van losgeld.
Voor organisaties ziet de situatie er heel anders uit. Elke minuut bedrijfsuitval kost geld, dus het verlies van toegang tot een systeem, applicaties of gegevens staat voor een modern bedrijf gelijk aan verliezen. Dat is de reden waarom de focus van ransomware-aanvallen de afgelopen jaren geleidelijk is verschoven van het beschieten van virussen naar het verminderen van de activiteit en het verschuiven naar gerichte aanvallen op organisaties in activiteitengebieden waar de kans op losgeld en de omvang ervan het grootst zijn. Op hun beurt proberen organisaties zichzelf op twee manieren tegen bedreigingen te beschermen: door manieren te ontwikkelen om infrastructuur en databases na aanvallen effectief te herstellen, en door modernere cyberverdedigingssystemen in te voeren die malware detecteren en onmiddellijk vernietigen.
Om actueel te blijven en nieuwe oplossingen en technologieën te ontwikkelen om malware te bestrijden, analyseert Trend Micro voortdurend de resultaten van zijn cyberbeveiligingssystemen. Volgens TrendMicro ziet de situatie met ransomware-aanvallen van de afgelopen jaren er als volgt uit:
Slachtofferkeuze in 2019
Dit jaar zijn cybercriminelen duidelijk veel selectiever geworden in de keuze van slachtoffers: ze richten zich op organisaties die minder beschermd zijn en bereid zijn een groot bedrag te betalen om de normale bedrijfsvoering snel te herstellen. Daarom zijn er sinds het begin van het jaar al verschillende aanvallen geregistreerd op overheidsstructuren en het bestuur van grote steden, waaronder Lake City (losgeld - 530 duizend dollar) en Riviera Beach (losgeld - 600 duizend dollar) .
Uitgesplitst per sector zien de belangrijkste aanvalsvectoren er als volgt uit:
— 27% — overheidsinstanties;
— 20% — productie;
— 14% — gezondheidszorg;
— 6% — detailhandel;
— 5% — onderwijs.
Cybercriminelen maken vaak gebruik van OSINT (public source intelligence) om zich voor te bereiden op een aanval en de winstgevendheid ervan te beoordelen. Door informatie te verzamelen, krijgen ze een beter inzicht in het bedrijfsmodel van de organisatie en de reputatierisico's die de organisatie kan lopen als gevolg van een aanval. Hackers zoeken ook naar de belangrijkste systemen en subsystemen die volledig kunnen worden geïsoleerd of uitgeschakeld met behulp van ransomware-virussen - dit vergroot de kans op losgeld. Last but not least wordt de staat van de cyberbeveiligingssystemen beoordeeld: het heeft geen zin een aanval te lanceren op een bedrijf waarvan de IT-specialisten deze met grote waarschijnlijkheid kunnen afweren.
In de tweede helft van 2019 zal deze trend nog steeds actueel zijn. Hackers zullen nieuwe activiteitengebieden ontdekken waarin verstoring van bedrijfsprocessen tot maximale verliezen leidt (bijvoorbeeld transport, kritieke infrastructuur, energie).
Methoden van penetratie en infectie
Ook op dit gebied vinden er voortdurend veranderingen plaats. De meest populaire tools blijven phishing, kwaadaardige advertenties op websites en geïnfecteerde internetpagina's, evenals exploits. Tegelijkertijd is de belangrijkste ‘medeplichtige’ bij aanvallen nog steeds de werknemer-gebruiker die deze sites opent en bestanden downloadt via links of vanuit e-mail, wat verdere infectie van het hele netwerk van de organisatie veroorzaakt.
In de tweede helft van 2019 zullen deze tools echter worden toegevoegd aan:
- actiever gebruik van aanvallen met behulp van social engineering (een aanval waarbij het slachtoffer vrijwillig de door de hacker gewenste acties uitvoert of informatie verstrekt, bijvoorbeeld in de overtuiging dat hij communiceert met een vertegenwoordiger van het management of de klant van de organisatie), wat het verzamelen van informatie over werknemers uit openbaar beschikbare bronnen vereenvoudigt;
- gebruik van gestolen inloggegevens, bijvoorbeeld logins en wachtwoorden voor systemen voor extern beheer, die op het darknet kunnen worden gekocht;
- fysieke hacking en penetratie waardoor hackers ter plaatse kritieke systemen kunnen ontdekken en de beveiliging kunnen omzeilen.
Methoden voor het verbergen van aanvallen
Dankzij de vooruitgang op het gebied van cyberbeveiliging, waaronder Trend Micro, is de detectie van klassieke ransomware-families de afgelopen jaren veel eenvoudiger geworden. Machine learning en gedragsanalysetechnologieën helpen bij het identificeren van malware voordat deze een systeem binnendringt, dus hackers moeten alternatieve manieren bedenken om aanvallen te verbergen.
Reeds bekend bij specialisten op het gebied van IT-beveiliging en nieuwe technologieën van cybercriminelen zijn gericht op het neutraliseren van sandboxes voor het analyseren van verdachte bestanden en machine learning-systemen, het ontwikkelen van bestandsloze malware en het gebruiken van geïnfecteerde gelicentieerde software, waaronder software van cybersecurity-leveranciers en verschillende externe diensten met toegang tot het netwerk van de organisatie.
Выводы en рекомендации
Over het algemeen kunnen we zeggen dat er in de tweede helft van 2019 een grote kans bestaat op gerichte aanvallen op grote organisaties die in staat zijn grote losgelden te betalen aan cybercriminelen. Hackers ontwikkelen echter niet altijd zelf hackoplossingen en malware. Sommigen van hen zijn bijvoorbeeld het beruchte GandCrab-team, dat dat al heeft gedaan , die ongeveer 150 miljoen dollar hebben verdiend, blijven werken volgens het RaaS-schema (ransomware-as-a-service, of “ransomware virussen as a service”, naar analogie met antivirussen en cyberverdedigingssystemen). Dat wil zeggen dat de distributie van succesvolle ransomware en cryptolockers dit jaar niet alleen door hun makers wordt uitgevoerd, maar ook door ‘huurders’.
In dergelijke omstandigheden moeten organisaties hun cyberbeveiligingssystemen en gegevensherstelprogramma's voortdurend bijwerken in geval van een aanval, omdat de enige effectieve manier om ransomware-virussen te bestrijden is door geen losgeld te betalen en de auteurs van een bron van winst te beroven.
Bron: www.habr.com