Ang mga virus ng ransomware, tulad ng iba pang mga uri ng malware, ay nagbabago at nagbabago sa paglipas ng mga taon - mula sa mga simpleng locker na humadlang sa user na mag-log in sa system, at "pulis" ransomware na natakot sa amin sa pag-uusig para sa mga gawa-gawang paglabag sa batas, napunta kami sa ransomware . Ang mga malware na ito ay nag-e-encrypt ng mga file sa mga hard drive (o buong drive) at nangangailangan ng ransom upang hindi maibalik ang access sa system, ngunit upang matiyak na ang impormasyon ng user ay hindi matatanggal, ibinebenta sa dark web, o malantad sa publiko online. Bukod dito, ang pagbabayad ng ransom ay hindi ginagarantiyahan ang pagtanggap ng isang susi para sa pag-decrypting ng mga file. At hindi, ito ay "isang daang taon na ang nakaraan," ngunit ito ay isang aktwal na banta.
Dahil sa tagumpay ng mga hacker at ang kakayahang kumita ng ganitong uri ng pag-atake, naniniwala ang mga eksperto na sa hinaharap ay tataas lamang ang kanilang dalas at katalinuhan. Sa pamamagitan ng Ang Cybersecurity Ventures, noong 2016, inaatake ng ransomware ang mga kumpanya nang halos isang beses bawat 40 segundo, sa 2019 nangyayari ito nang isang beses bawat 14 segundo, at sa 2021 ang dalas ay tataas sa isang pag-atake bawat 11 segundo. Kapansin-pansin na ang kinakailangang ransom (lalo na sa mga naka-target na pag-atake sa malalaking kumpanya o imprastraktura sa lunsod) ay kadalasang maraming beses na mas mababa kaysa sa pinsalang dulot ng pag-atake. Halimbawa, ang pag-atake noong Mayo sa mga istruktura ng gobyerno sa Baltimore, Maryland, sa Estados Unidos, ay nagdulot ng higit sa , na may halaga ng ransom na idineklara ng mga hacker sa 76 thousand dollars na katumbas ng bitcoin. A , Georgia, ay nagkakahalaga ng lungsod ng $2018 milyon noong Agosto 17, na nangangailangan ng $52 na ransom.
Sinuri ng Trend Micro ang mga pag-atake ng ransomware sa mga unang buwan ng 2019, at sa artikulong ito, iha-highlight namin ang mga nangungunang trend na inaasahan ng mundo sa ikalawang kalahati ng XNUMX.
Ransomware Virus: Maikling Dossier
Ang kahulugan ng ransomware virus ay malinaw sa mismong pangalan nito: sa pamamagitan ng pagbabanta na sirain (o, kabaligtaran, i-publish) ang kumpidensyal o mahalagang impormasyon para sa gumagamit, ginagamit ito ng mga hacker upang humingi ng ransom para sa pagbabalik ng access dito. Para sa mga ordinaryong gumagamit, ang gayong pag-atake ay hindi kasiya-siya, ngunit hindi kritikal: ang banta ng pagkawala ng koleksyon ng musika o mga larawan sa bakasyon sa nakalipas na sampung taon ay hindi ginagarantiyahan ang pagbabayad ng isang ransom.
Ang sitwasyon ay ganap na naiiba para sa mga organisasyon. Ang bawat minuto ng downtime ng negosyo ay nagkakahalaga ng pera, kaya ang pagkawala ng access sa isang system, application o data para sa isang modernong kumpanya ay katumbas ng pagkalugi. Iyon ang dahilan kung bakit ang pokus ng mga pag-atake ng ransomware sa mga nakaraang taon ay unti-unting lumilipat mula sa pag-shell ng mga virus patungo sa pagbabawas ng aktibidad at paglipat sa mga naka-target na pagsalakay sa mga organisasyon sa mga lugar ng aktibidad kung saan ang pagkakataong makatanggap ng ransom at ang laki nito ay ang pinakamalaki. Kaugnay nito, sinisikap ng mga organisasyon na protektahan ang kanilang sarili mula sa mga banta sa dalawang pangunahing paraan: sa pamamagitan ng pagbuo ng mga paraan upang epektibong maibalik ang imprastraktura at database pagkatapos ng mga pag-atake, at sa pamamagitan ng paggamit ng mas advanced na mga cyber defense system na nakakakita at agad na sumisira sa malware.
Upang manatiling napapanahon at bumuo ng mga bagong solusyon at teknolohiya para labanan ang malware, patuloy na sinusuri ng Trend Micro ang mga resultang nakuha mula sa mga cybersecurity system nito. Ayon sa Trend Micro , ang sitwasyon sa mga pag-atake ng ransomware sa mga nakaraang taon ay ganito ang hitsura:
Pagpili ng biktima sa 2019
Sa taong ito, malinaw na naging mas maingat ang mga cybercriminal sa kanilang pagpili ng mga biktima: tina-target nila ang mga organisasyong hindi gaanong protektado at kasabay nito ay handang magbayad ng malaking halaga para sa mabilis na pagpapanumbalik ng normal na aktibidad. Iyon ang dahilan kung bakit, mula noong simula ng taon, maraming mga pag-atake ang naitala na sa mga istruktura ng gobyerno at pangangasiwa ng malalaking lungsod, kabilang ang Lake City (ransom - 530 thousand US dollars) at Riviera Beach (ransom - 600 thousand US dollars) .
Pinaghiwa-hiwalay ng industriya, ang mga pangunahing vector ng pag-atake ay ganito ang hitsura:
- 27% - mga istruktura ng pamahalaan;
- 20% - produksyon;
- 14% - pangangalaga sa kalusugan;
β 6% β tingian na kalakalan;
- 5% - edukasyon.
Kadalasan, ginagamit ng mga cybercriminal ang paraan ng OSINT (paghahanap at pagkolekta ng impormasyon mula sa mga mapagkukunang magagamit ng publiko) upang maghanda para sa isang pag-atake at suriin ang kakayahang kumita nito. Sa pamamagitan ng pangangalap ng impormasyon, mas nauunawaan nila ang modelo ng negosyo ng organisasyon at ang mga panganib sa reputasyon na maaaring harapin nito mula sa isang pag-atake. Gayundin, hinahanap ng mga hacker ang pinakamahalagang system at subsystem na maaaring ganap na ihiwalay o hindi paganahin gamit ang mga virus ng ransomware - pinapataas nito ang pagkakataon ng isang ransom. Panghuli ngunit hindi bababa sa, ang estado ng mga sistema ng cybersecurity ay tinasa: walang saysay na maglunsad ng isang pag-atake sa isang kumpanya na ang mga espesyalista sa IT ay naitaboy ito nang may mataas na posibilidad.
Sa ikalawang kalahati ng 2019, patuloy na magiging may-katuturan ang trend na ito. Ang mga hacker ay makakahanap ng mga bagong lugar ng aktibidad kung saan ang pagkagambala sa mga proseso ng negosyo ay humahantong sa pinakamataas na pagkalugi (halimbawa, transportasyon, kritikal na imprastraktura, enerhiya).
Mga paraan ng pagtagos at impeksyon
Ang lugar na ito ay patuloy ding nagbabago. Ang pinakasikat na mga tool ay nananatiling phishing, mga nakakahamak na advertisement sa mga website at mga nahawaang web page, pati na rin ang mga pagsasamantala. Kasabay nito, ang pangunahing "kasabwat" ng mga pag-atake ay ang user-empleyado pa rin na nagbubukas ng mga site na ito at nag-download ng mga file sa pamamagitan ng mga link o mula sa e-mail, na naghihikayat ng karagdagang impeksyon sa buong network ng organisasyon.
Gayunpaman, sa ikalawang kalahati ng 2019, idaragdag ang mga tool na ito:
- mas aktibong paggamit ng mga pag-atake gamit ang social engineering (mga pag-atake kung saan ang biktima ay boluntaryong nagsasagawa ng mga aksyon na kinakailangan para sa hacker o nagbibigay ng impormasyon, na naniniwala, halimbawa, na siya ay nakikipag-usap sa isang kinatawan ng pamamahala o kliyente ng organisasyon), na pinapasimple ang pagkolekta ng impormasyon tungkol sa mga empleyado mula sa mga mapagkukunang magagamit ng publiko;
- ang paggamit ng mga ninakaw na kredensyal, halimbawa, mga pag-login at password mula sa mga malayuang sistema ng pangangasiwa na maaaring mabili sa dark web;
- pisikal na pagsira at pagpasok, na magbibigay-daan sa mga hacker sa lugar na makahanap ng mga kritikal na sistema at huwag paganahin ang sistema ng seguridad.
Mga paraan ng pagtatago ng pag-atake
Sa mga pag-unlad sa cybersecurity, kung saan ang Trend Micro ay nag-aambag din, ang pagtuklas ng mga klasikong pamilya ng ransomware virus ay naging mas madali sa mga kamakailang panahon. Nakakatulong ang machine learning at behavioral analysis na mga teknolohiya sa pag-detect ng malware bago ito pumasok sa system, kaya ang mga hacker ay kailangang gumawa ng mga alternatibong paraan para itago ang mga pag-atake.
Ang mga bagong teknolohiya ng mga cybercriminal na kilala na ng mga IT security specialist ay naglalayong i-neutralize ang mga sandbox para sa pagsusuri ng mga kahina-hinalang file at machine learning system, pagbuo ng fileless malware at paggamit ng infected na lisensyadong software, kabilang ang software mula sa mga cybersecurity vendor at iba't ibang malayuang serbisyo na may access sa network ng organisasyon.
Mga konklusyon at rekomendasyon
Sa pangkalahatan, masasabi natin na sa ikalawang kalahati ng 2019, may mataas na posibilidad ng mga naka-target na pag-atake sa malalaking organisasyon na kayang magbayad ng malalaking ransom sa mga cybercriminal. Kasabay nito, ang mga hacker ay hindi palaging gumagawa ng mga solusyon sa pag-hack at malware sa kanilang sarili. Ang ilan sa kanila, halimbawa, ang kasumpa-sumpa na GandCrab team, na mayroon na , na nakakuha ng humigit-kumulang 150 milyong US dollars, patuloy na gumagana ayon sa RaaS scheme (ransomware-as-a-service, o "ransomware virus bilang isang serbisyo", sa pamamagitan ng pagkakatulad sa mga antivirus at cyber defense system). Iyon ay, hindi lamang ang kanilang mga tagalikha, kundi pati na rin ang "mga nangungupahan" ay nakikibahagi sa pamamahagi ng mga matagumpay na extortionist at cryptolockers sa taong ito.
Sa ilalim ng gayong mga kundisyon, kailangang patuloy na i-update ng mga organisasyon ang kanilang mga cybersecurity system at mga scheme ng pagbawi ng data kung sakaling magkaroon ng pag-atake, dahil ang tanging epektibong paraan upang labanan ang mga virus ng ransomware ay hindi magbayad ng ransom at mag-alis ng mapagkukunan ng kita sa kanilang mga may-akda.
Pinagmulan: www.habr.com