Ransomware-virus, liksom andra typer av skadlig programvara, utvecklas och förändras under åren - från enkla skåp som hindrade användaren från att logga in i systemet och "polisens" ransomware som hotade åtal för fiktiva lagöverträdelser, vi kom till krypteringsprogram. Dessa skadliga program krypterar filer på hårddiskar (eller hela enheter) och kräver en lösensumma inte för att få tillgång till systemet tillbaka, utan för det faktum att användarens information inte kommer att raderas, säljas på darknet eller exponeras för allmänheten online . Att betala lösensumman garanterar inte alls mottagandet av nyckeln för att dekryptera filerna. Och nej, detta "hände redan för hundra år sedan", men det är fortfarande ett aktuellt hot.
Med tanke på framgången för hackare och lönsamheten för denna typ av attack tror experter att deras frekvens och uppfinningsrikedom bara kommer att öka i framtiden. Förbi Cybersecurity Ventures, 2016, attackerade ransomware-virus företag ungefär en gång var 40:e sekund, 2019 händer detta en gång var 14:e sekund, och 2021 kommer frekvensen att öka till en attack var 11:e sekund. Det är värt att notera att den erforderliga lösensumman (särskilt vid riktade attacker mot stora företag eller urban infrastruktur) vanligtvis visar sig vara många gånger lägre än den skada som attacken orsakat. Majattacken mot regeringsstrukturer i Baltimore, Maryland, i USA, orsakade således skador uppgående till mer än , med lösensumman som deklarerats av hackare är 76 tusen dollar i bitcoin-ekvivalent. A , Georgia, kostade staden 2018 miljoner dollar i augusti 17, med en lösensumma på 52 XNUMX dollar.
Trend Micro-specialister analyserade attacker med ransomware-virus under de första månaderna av 2019, och i den här artikeln kommer vi att prata om de viktigaste trenderna som väntar världen under andra halvåret.
Ransomware-virus: en kort dokumentation
Innebörden av ransomware-viruset framgår tydligt av själva namnet: hackare hotar att förstöra (eller, tvärtom, publicera) konfidentiell eller värdefull information för användaren för att kräva en lösensumma för att få tillbaka tillgång till den. För vanliga användare är en sådan attack obehaglig, men inte kritisk: hotet om att förlora en musiksamling eller bilder från semestern under de senaste tio åren garanterar inte betalning av en lösensumma.
Situationen ser helt annorlunda ut för organisationer. Varje minut av driftstopp kostar pengar, så förlusten av åtkomst till ett system, applikationer eller data för ett modernt företag är lika med förluster. Det är därför fokus på ransomware-attacker de senaste åren gradvis har flyttats från att beskjuta virus till att minska aktiviteten och övergå till riktade räder mot organisationer i verksamhetsområden där chansen att ta emot en lösensumma och dess storlek är störst. I sin tur försöker organisationer att skydda sig mot hot på två huvudsakliga sätt: genom att utveckla sätt att effektivt återställa infrastruktur och databaser efter attacker, och genom att anta modernare cyberförsvarssystem som upptäcker och omedelbart förstör skadlig programvara.
För att hålla sig uppdaterad och utveckla nya lösningar och tekniker för att bekämpa skadlig programvara, analyserar Trend Micro kontinuerligt resultaten från dess cybersäkerhetssystem. Enligt Trend Micro , situationen med ransomware-attacker de senaste åren ser ut så här:
Victim's Choice 2019
I år har cyberkriminella helt klart blivit mycket mer selektiva i sitt val av offer: de riktar sig mot organisationer som är mindre skyddade och är villiga att betala en stor summa för att snabbt återställa normal verksamhet. Det är därför, sedan början av året, flera attacker redan har registrerats på regeringsstrukturer och administrationen av stora städer, inklusive Lake City (lösensumma - 530 tusen US-dollar) och Riviera Beach (lösensumma - 600 tusen US-dollar) .
Uppdelat efter bransch ser de huvudsakliga attackvektorerna ut så här:
— 27 % — statliga myndigheter;
— 20 % — produktion;
— 14 % — sjukvård;
— 6 % — detaljhandel;
— 5 % — utbildning.
Cyberkriminella använder ofta OSINT (public source intelligence) för att förbereda sig för en attack och bedöma dess lönsamhet. Genom att samla in information förstår de bättre organisationens affärsmodell och de ryktesrisker den kan utsättas för av en attack. Hackare letar också efter de viktigaste systemen och delsystemen som kan isoleras helt eller inaktiveras med hjälp av ransomware-virus – detta ökar chansen att få en lösensumma. Sist men inte minst utvärderas tillståndet för cybersäkerhetssystem: det är ingen idé att gå till attack mot ett företag vars IT-specialister med stor sannolikhet kan avvärja det.
Under andra halvan av 2019 kommer denna trend fortfarande att vara aktuell. Hackare kommer att hitta nya verksamhetsområden där störningar i affärsprocesser leder till maximala förluster (till exempel transport, kritisk infrastruktur, energi).
Metoder för penetration och infektion
Även på detta område sker ständigt förändringar. De mest populära verktygen förblir nätfiske, skadliga annonser på webbplatser och infekterade internetsidor, såväl som utnyttjande. Samtidigt är den huvudsakliga "medbrottslingen" i attacker fortfarande den anställde användaren som öppnar dessa webbplatser och laddar ner filer via länkar eller från e-post, vilket provocerar ytterligare infektion av hela organisationens nätverk.
Men under andra halvan av 2019 kommer dessa verktyg att läggas till:
- mer aktiv användning av attacker med hjälp av social ingenjörskonst (en attack där offret frivilligt utför de åtgärder som hackaren önskar eller lämnar ut information, till exempel i tron att han kommunicerar med en representant för ledningen eller klienten i organisationen), vilket förenklar insamlingen av information om anställda från allmänt tillgängliga källor;
- användning av stulna referenser, till exempel inloggningar och lösenord för fjärradministrationssystem, som kan köpas på darknet;
- fysisk hackning och penetration som gör att hackare på plats kan upptäcka kritiska system och besegra säkerheten.
Metoder för att dölja attacker
Tack vare framsteg inom cybersäkerhet, inklusive Trend Micro, har upptäckt av klassiska ransomware-familjer blivit mycket lättare de senaste åren. Maskininlärning och beteendeanalysteknik hjälper till att identifiera skadlig programvara innan den tränger in i ett system, så hackare måste hitta på alternativa sätt att dölja attacker.
Redan kända för specialister inom området IT-säkerhet och ny teknik för cyberbrottslingar syftar till att neutralisera sandlådor för att analysera misstänkta filer och maskininlärningssystem, utveckla fillös skadlig programvara och använda infekterad licensierad programvara, inklusive programvara från cybersäkerhetsleverantörer och olika fjärrtjänster med tillgång till organisationens nätverk.
Slutsatser och Rekommendationer
Generellt kan vi säga att det under andra halvan av 2019 är stor sannolikhet för riktade attacker mot stora organisationer som är kapabla att betala stora lösensummor till cyberkriminella. Hackare utvecklar dock inte alltid hackningslösningar och skadlig programvara själva. Några av dem, till exempel det ökända GandCrab-teamet, som redan har gjort det , som har tjänat cirka 150 miljoner US-dollar, fortsätter att arbeta enligt RaaS-schemat (ransomware-as-a-service, eller "ransomware viruses as a service", i analogi med antivirus och cyberförsvarssystem). Det vill säga distributionen av framgångsrika ransomware och kryptoskåp i år utförs inte bara av deras skapare utan också av "hyresgäster".
Under sådana förhållanden måste organisationer ständigt uppdatera sina cybersäkerhetssystem och dataåterställningssystem i händelse av en attack, eftersom det enda effektiva sättet att bekämpa ransomware-virus är att inte betala en lösensumma och beröva deras författare en vinstkälla.
Källa: will.com