Ransomvérové vírusy, podobne ako iné typy malvéru, sa v priebehu rokov vyvíjajú a menia – od jednoduchých skriniek, ktoré bránili používateľovi prihlásiť sa do systému, a „policajného“ ransomvéru, ktorý hrozil stíhaním za fiktívne porušenie zákona, sme sa dostali k šifrovacím programom. Tento malvér šifruje súbory na pevných diskoch (alebo celých diskoch) a požaduje výkupné nie za vrátenie prístupu do systému, ale za to, že informácie používateľa nebudú vymazané, predané na darknete alebo zverejnené online. . Zaplatenie výkupného navyše vôbec nezaručuje prijatie kľúča na dešifrovanie súborov. A nie, toto sa „už stalo pred sto rokmi“, ale stále je to aktuálna hrozba.
Vzhľadom na úspechy hackerov a ziskovosť tohto typu útokov sa odborníci domnievajú, že ich frekvencia a vynaliezavosť budú v budúcnosti len stúpať. Autor: Cybersecurity Ventures, v roku 2016 ransomvérové vírusy napadli spoločnosti približne raz za 40 sekúnd, v roku 2019 sa to stane raz za 14 sekúnd a v roku 2021 sa frekvencia zvýši na jeden útok každých 11 sekúnd. Stojí za zmienku, že požadované výkupné (najmä pri cielených útokoch na veľké spoločnosti alebo mestskú infraštruktúru) sa zvyčajne ukáže byť mnohonásobne nižšie ako škody spôsobené útokom. Májový útok na vládne štruktúry v Baltimore v štáte Maryland v USA tak spôsobil škody vo výške viac ako , pričom výkupné deklarované hackermi je 76-tisíc dolárov v ekvivalente bitcoinov. A , Georgia, stálo mesto v auguste 2018 17 miliónov dolárov s požadovaným výkupným vo výške 52 XNUMX dolárov.
Špecialisti Trend Micro analyzovali útoky pomocou ransomvérových vírusov v prvých mesiacoch roku 2019 a v tomto článku si povieme o hlavných trendoch, ktoré svet čakajú v druhej polovici.
Ransomware virus: stručná dokumentácia
Význam ransomvérového vírusu je jasný už z jeho názvu: hackeri, ktorí sa vyhrážajú zničením (alebo naopak zverejnením) dôverných alebo cenných informácií pre používateľa, žiadajú výkupné za vrátenie prístupu k nim. Pre bežných používateľov je takýto útok nepríjemný, ale nie kritický: hrozba straty hudobnej zbierky alebo fotografií z dovoleniek za posledných desať rokov nezaručuje zaplatenie výkupného.
Úplne iná situácia vyzerá v prípade organizácií. Každá minúta výpadku podnikania stojí peniaze, takže strata prístupu k systému, aplikáciám alebo dátam pre modernú spoločnosť sa rovná stratám. Preto sa ťažisko ransomvérových útokov v posledných rokoch postupne presúva z ostreľovania vírusov na znižovanie aktivity a prechádza k cieleným nájazdom na organizácie v oblastiach činnosti, v ktorých je najväčšia šanca na získanie výkupného a jeho veľkosť. Organizácie sa zasa snažia chrániť sa pred hrozbami dvoma hlavnými spôsobmi: vývojom spôsobov, ako efektívne obnoviť infraštruktúru a databázy po útokoch, a prijatím modernejších systémov kybernetickej obrany, ktoré detekujú a rýchlo ničia malvér.
Aby zostali aktuálne a vyvíjali nové riešenia a technológie na boj proti malvéru, Trend Micro neustále analyzuje výsledky získané zo svojich systémov kybernetickej bezpečnosti. Podľa Trend Micro , situácia s ransomvérovými útokmi v posledných rokoch vyzerá takto:
Voľba obetí v roku 2019
Tento rok sa kyberzločinci zjavne stali oveľa selektívnejšími pri výbere obetí: zameriavajú sa na organizácie, ktoré sú menej chránené a sú ochotné zaplatiť veľkú sumu za rýchle obnovenie normálneho fungovania. Preto už od začiatku roka bolo zaznamenaných niekoľko útokov na vládne štruktúry a správu veľkých miest, vrátane Lake City (výkupné - 530-tisíc USD) a Riviera Beach (výkupné - 600-tisíc USD) .
Hlavné vektory útoku, rozdelené podľa odvetví, vyzerajú takto:
— 27 % — vládne agentúry;
— 20 % — výroba;
— 14 % — zdravotníctvo;
— 6 % – maloobchod;
— 5 % — vzdelanie.
Kyberzločinci často používajú OSINT (public source intelligence) na prípravu útoku a posúdenie jeho ziskovosti. Zhromažďovaním informácií lepšie pochopia obchodný model organizácie a reputačné riziká, ktoré môže útok postihnúť. Hackeri tiež hľadajú najdôležitejšie systémy a podsystémy, ktoré je možné úplne izolovať alebo deaktivovať pomocou vírusov ransomware – to zvyšuje šancu na získanie výkupného. V neposlednom rade sa hodnotí stav systémov kybernetickej bezpečnosti: nemá zmysel podnikať útok na firmu, ktorej IT špecialisti ho dokážu s vysokou pravdepodobnosťou odraziť.
V druhej polovici roka 2019 bude tento trend stále aktuálny. Hackeri nájdu nové oblasti činnosti, v ktorých narušenie obchodných procesov vedie k maximálnym stratám (napríklad doprava, kritická infraštruktúra, energetika).
Spôsoby penetrácie a infekcie
Aj v tejto oblasti neustále prebiehajú zmeny. Najpopulárnejšími nástrojmi zostáva phishing, škodlivé reklamy na webových lokalitách a infikovaných internetových stránkach, ako aj exploity. Zároveň je hlavným „spolupáchateľom“ útokov stále zamestnanec – používateľ, ktorý otvára tieto stránky a sťahuje súbory prostredníctvom odkazov alebo e-mailu, čo vyvoláva ďalšiu infekciu siete celej organizácie.
V druhej polovici roka 2019 však budú tieto nástroje pridané k:
- aktívnejšie využívanie útokov pomocou sociálneho inžinierstva (útok, pri ktorom obeť dobrovoľne vykonáva hackerom želané akcie alebo poskytuje informácie v domnení, že napríklad komunikuje so zástupcom vedenia alebo klientom organizácie), ktorý zjednodušuje zber informácií o zamestnancoch z verejne dostupných zdrojov;
- používanie ukradnutých prihlasovacích údajov, napríklad prihlasovacích údajov a hesiel pre systémy vzdialenej správy, ktoré je možné zakúpiť na darknete;
- fyzické hackovanie a prienik, ktorý umožní hackerom na mieste objaviť kritické systémy a poraziť bezpečnosť.
Spôsoby skrývania útokov
Vďaka pokrokom v kybernetickej bezpečnosti, vrátane Trend Micro, je detekcia klasických ransomvérových rodín v posledných rokoch oveľa jednoduchšia. Technológie strojového učenia a analýzy správania pomáhajú identifikovať malvér skôr, ako prenikne do systému, takže hackeri musia prísť s alternatívnymi spôsobmi, ako skryť útoky.
Už známe špecialistom v oblasti IT bezpečnosti a nové technológie kybernetických zločincov sú zamerané na neutralizáciu sandboxov na analýzu podozrivých súborov a systémov strojového učenia, vývoj bezsúborového malvéru a používanie infikovaného licencovaného softvéru vrátane softvéru od dodávateľov kybernetickej bezpečnosti a rôznych vzdialených služieb s prístupom k sieť organizácie.
Závery a odporúčania
Vo všeobecnosti môžeme povedať, že v druhej polovici roku 2019 je vysoká pravdepodobnosť cielených útokov na veľké organizácie, ktoré sú schopné zaplatiť kyberzločincom veľké výkupné. Hackeri však nie vždy sami vyvíjajú hackerské riešenia a malvér. Niektoré z nich, napríklad notoricky známy GandCrab team, ktorý už , ktorí zarobili približne 150 miliónov amerických dolárov, pokračujú v práci podľa schémy RaaS (ransomware-as-a-service alebo „ransomware vírusy ako služba“, analogicky s antivírusmi a systémami kybernetickej obrany). To znamená, že distribúciu úspešného ransomvéru a krypto-skriniek tento rok vykonávajú nielen ich tvorcovia, ale aj „nájomníci“.
V takýchto podmienkach musia organizácie neustále aktualizovať svoje systémy kybernetickej bezpečnosti a schémy obnovy dát v prípade útoku, pretože jediný účinný spôsob boja proti ransomvérovým vírusom je nezaplatiť výkupné a pripraviť ich autorov o zdroj zisku.
Zdroj: hab.com