Wirusy ransomware, podobnie jak inne rodzaje złośliwego oprogramowania, ewoluują i zmieniają się na przestrzeni lat – od prostych szafek, które uniemożliwiały użytkownikowi zalogowanie się do systemu, po ransomware „policyjny” grożący ściganiem za fikcyjne naruszenia prawa, doszliśmy do programów szyfrujących. Szkodnik ten szyfruje pliki na dyskach twardych (lub całych dyskach) i żąda okupu nie za przywrócenie dostępu do systemu, ale za to, że informacje użytkownika nie zostaną usunięte, sprzedane w darknecie lub upublicznione w Internecie . Co więcej, zapłacenie okupu wcale nie gwarantuje otrzymania klucza do odszyfrowania plików. I nie, to „zdarzyło się już sto lat temu”, ale nadal stanowi aktualne zagrożenie.
Biorąc pod uwagę sukcesy hakerów i opłacalność tego typu ataków, eksperci uważają, że ich częstotliwość i pomysłowość będzie w przyszłości tylko rosła. Przez Cybersecurity Ventures, w 2016 r. wirusy ransomware atakowały firmy mniej więcej raz na 40 sekund, w 2019 r. zdarzało się to raz na 14 sekund, a w 2021 r. częstotliwość wzrośnie do jednego ataku co 11 sekund. Warto zaznaczyć, że wymagany okup (szczególnie w przypadku ataków ukierunkowanych na duże firmy lub infrastrukturę miejską) zwykle okazuje się wielokrotnie niższy od szkód wyrządzonych przez atak. Tym samym majowy atak na struktury rządowe w Baltimore w stanie Maryland w USA spowodował szkody wynoszące ponad , przy czym kwota okupu zadeklarowana przez hakerów wynosi 76 tysięcy dolarów w przeliczeniu na bitcoiny. A w stanie Georgia kosztowało miasto 2018 mln dolarów w sierpniu 17 r., a wymagany okup wynosił 52 XNUMX dolarów.
Specjaliści Trend Micro przeanalizowali ataki z wykorzystaniem wirusów ransomware w pierwszych miesiącach 2019 roku, a w tym artykule porozmawiamy o głównych trendach, jakie czekają świat w drugiej połowie.
Wirus ransomware: krótka dokumentacja
Znaczenie wirusa ransomware jest jasne już od jego nazwy: grożąc zniszczeniem (lub odwrotnie, opublikowaniem) poufnych lub cennych dla użytkownika informacji, hakerzy wykorzystują go do żądania okupu za przywrócenie do niego dostępu. Dla zwykłych użytkowników taki atak jest nieprzyjemny, ale nie krytyczny: groźba utraty kolekcji muzycznej lub zdjęć z wakacji na przestrzeni ostatnich dziesięciu lat nie gwarantuje zapłaty okupu.
Zupełnie inaczej sytuacja wygląda w przypadku organizacji. Każda minuta przestoju w biznesie kosztuje, dlatego utrata dostępu do systemu, aplikacji czy danych dla nowoczesnej firmy to strata. Dlatego też w ostatnich latach punkt ciężkości ataków oprogramowania ransomware stopniowo przesuwał się z ostrzału wirusów na ograniczanie aktywności i przechodzenie do ukierunkowanych nalotów na organizacje w obszarach działalności, w których szansa na otrzymanie okupu i jego wysokość jest największa. Z kolei organizacje starają się chronić przed zagrożeniami na dwa główne sposoby: opracowując sposoby skutecznego przywracania infrastruktury i baz danych po atakach oraz wdrażając nowocześniejsze systemy cyberobrony, które wykrywają i szybko niszczą złośliwe oprogramowanie.
Aby być na bieżąco i opracowywać nowe rozwiązania i technologie do zwalczania złośliwego oprogramowania, Trend Micro stale analizuje wyniki uzyskane ze swoich systemów cyberbezpieczeństwa. Według Trend Micro , sytuacja z atakami ransomware w ostatnich latach wygląda następująco:
Wybór ofiary w 2019 r
W tym roku cyberprzestępcy wyraźnie zaczęli znacznie bardziej selektywnie wybierać ofiary: atakują organizacje, które są mniej chronione i są skłonne zapłacić dużą sumę, aby szybko przywrócić normalne działanie. Dlatego od początku roku odnotowano już kilka ataków na struktury rządowe i administrację dużych miast, m.in. Lake City (okup – 530 tys. dolarów) i Riviera Beach (okup – 600 tys. dolarów). .
W podziale na branże główne wektory ataku wyglądają następująco:
— 27% — agencje rządowe;
— 20% — produkcja;
— 14% — opieka zdrowotna;
— 6% — handel detaliczny;
— 5% — edukacja.
Cyberprzestępcy często wykorzystują OSINT (wywiad ze źródeł publicznych), aby przygotować się do ataku i ocenić jego opłacalność. Zbierając informacje, lepiej rozumieją model biznesowy organizacji i ryzyko dla reputacji, jakie może ona ponieść w wyniku ataku. Hakerzy szukają także najważniejszych systemów i podsystemów, które można całkowicie odizolować lub wyłączyć za pomocą wirusów ransomware – zwiększa to szansę na otrzymanie okupu. Na koniec oceniany jest stan systemów cyberbezpieczeństwa: nie ma sensu przeprowadzać ataku na firmę, której specjaliści IT są w stanie z dużym prawdopodobieństwem odeprzeć go.
W drugiej połowie 2019 roku trend ten będzie nadal aktualny. Hakerzy znajdą nowe obszary działalności, w których zakłócenie procesów biznesowych prowadzi do maksymalnych strat (np. transport, infrastruktura krytyczna, energetyka).
Metody penetracji i infekcji
Zmiany zachodzą także w tym obszarze. Najpopularniejszymi narzędziami pozostają phishing, złośliwe reklamy w witrynach i zainfekowanych stronach internetowych, a także exploity. Jednocześnie głównym „wspólnikiem” ataków w dalszym ciągu pozostaje użytkownik-pracownik, który otwiera te strony i pobiera pliki za pośrednictwem łączy lub wiadomości e-mail, co prowokuje dalszą infekcję sieci całej organizacji.
Jednak w drugiej połowie 2019 roku narzędzia te zostaną dodane do:
- bardziej aktywne wykorzystanie ataków z wykorzystaniem socjotechniki (atak, w którym ofiara dobrowolnie wykonuje pożądane przez hakera działania lub przekazuje informacje, wierząc np., że komunikuje się z przedstawicielem kierownictwa lub klientem organizacji), co upraszcza zbieranie informacji o pracownikach ze źródeł publicznie dostępnych;
- wykorzystanie skradzionych danych uwierzytelniających, na przykład loginów i haseł do systemów zdalnej administracji, które można kupić w darknecie;
- fizyczne hakowanie i penetracja, które pozwolą hakerom znajdującym się na miejscu odkryć krytyczne systemy i pokonać zabezpieczenia.
Metody ukrywania ataków
Dzięki postępom w cyberbezpieczeństwie, w tym Trend Micro, wykrywanie klasycznych rodzin ransomware stało się w ostatnich latach znacznie łatwiejsze. Technologie uczenia maszynowego i analizy behawioralnej pomagają identyfikować złośliwe oprogramowanie, zanim przedostanie się ono do systemu, dlatego hakerzy muszą wymyślić alternatywne sposoby ukrywania ataków.
Znane już specjalistom z zakresu bezpieczeństwa IT oraz nowe technologie cyberprzestępców, których celem jest neutralizacja piaskownic do analizy podejrzanych plików i systemów uczenia maszynowego, opracowywania bezplikowego szkodliwego oprogramowania oraz wykorzystywania zainfekowanego licencjonowanego oprogramowania, w tym oprogramowania od dostawców cyberbezpieczeństwa oraz różnych usług zdalnych z dostępem do sieć organizacji.
Wnioski i Rekomendacje
Ogólnie można powiedzieć, że w drugiej połowie 2019 roku istnieje duże prawdopodobieństwo ataków ukierunkowanych na duże organizacje, które są w stanie zapłacić cyberprzestępcom duże okupy. Jednak hakerzy nie zawsze sami opracowują rozwiązania hakerskie i złośliwe oprogramowanie. Część z nich to na przykład osławiony zespół GandCrab, który już to zrobił , zarobiwszy około 150 milionów dolarów, nadal działają zgodnie ze schematem RaaS (ransomware-as-a-service lub „wirusy ransomware jako usługa”, analogicznie do programów antywirusowych i systemów cyberobrony). Oznacza to, że dystrybucją udanych ransomware i krypto-lockerów zajmują się w tym roku nie tylko ich twórcy, ale także „najemcy”.
W takich warunkach organizacje muszą stale aktualizować swoje systemy cyberbezpieczeństwa i schematy odzyskiwania danych w przypadku ataku, ponieważ jedyną skuteczną metodą walki z wirusami ransomware jest nie płacenie okupu i pozbawianie ich autorów źródła zysku.
Źródło: www.habr.com