Oprogramowanie ransomware znalazło się ostatnio na pierwszych stronach gazet, z powodu ataków  na Colonial Pipeline, policję w Waszyngtonie i inne ofiary. Ataki te są coraz częstsze, droższe i bardziej ukierunkowane. Ponadto ataki ransomware są w coraz większym stopniu zasilane przez sztuczną inteligencję w celu zwiększenia skuteczności i mogą obejmować taktyki „podwójnego wymuszenia” - eksfiltrację poufnych danych przed atakiem ransomware i groźbę ich udostępnienia - w celu zwiększenia szans na wyłudzenie okupu. Krótko mówiąc, oprogramowanie ransomware może stać się pandemią w sieciach korporacyjnych, rządowych i innych organizacji.

Anatomia ataku ransomware

Niedawno hakerzy ukradli prawie 100 gigabajtów danych z sieci Colonial Pipeline, zanim zablokowali jej komputery oprogramowaniem ransomware i zażądali zapłaty. Firma stwierdziła, że ​​proaktywnie wstrzymała wszystkie operacje związane z rurociągami, aby odizolować atak. Rząd USA ogłosił stan wyjątkowy, aby pozostawić otwarte linie paliwowe po wyłączeniu. Kanał firmy Colonial o długości 5500 mil transportuje dziennie 2,5 miliona baryłek na Wschodnie Wybrzeże, czyli 45% zasobów oleju napędowego, benzyny i paliwa lotniczego w regionie.

Wiele źródeł, w tym FBI, zidentyfikowało atak ransomware jako dokonany przez rosyjską grupę cyberprzestępczą Dark Side. Według mediów, urzędnicy federalni uważają, że złośliwe oprogramowanie było skierowane na systemy back-office firmy Colonial, a nie na systemy kontrolne rurociągu. Wstępne dochodzenie ujawniło podobno słabe praktyki bezpieczeństwa, które sprawiły, że hakerzy „dość łatwo” zinfiltrowali sieć firmy.

Ransomware nie zniknie

Choć wydaje się to przerażające, eksperci od cyberbezpieczeństwa przewidują, że cyberprzestępczość (czyli oprogramowanie ransomware) nie zniknie - w rzeczywistości będzie tylko gorzej. Eksperci przewidują, że większość oprogramowania ransomware będzie nadal pochodzić ze sponsorowanej przez państwo cyberwojny, głównie z Rosji, Iranu i Korei Północnej.

Ransomware nadal będzie jedną z najczęstszych form cyberataku. Staje się metodą „do zrobienia”, częściowo napędzaną przez zewnętrznych dostawców oprogramowania ransomware-as-a-service (RaaS). Usługi te sprawiają, że ataki ransomware są znacznie łatwiejsze i bardziej dostępne, a także pomagają zwiększyć stopień wyrafinowania złośliwego oprogramowania.

Oprogramowanie ransomware będzie nadal wykorzystywać zachowania użytkowników i słabe praktyki korporacyjne w zakresie bezpieczeństwa. Phishing i spear-phishing nadal będą najskuteczniejszymi metodami wstępnego włamania, chyba że użytkownicy staną się bardziej wyedukowani i ostrożni w otwieraniu podejrzanych wiadomości e-mail.

Zmieniające się trendy, większa wyrafinowanie

Ataki ransomware stają się coraz bardziej wyrafinowane i częste, a najprawdopodobniej będą jeszcze bardziej ukierunkowane. Coraz częściej do tworzenia bardziej wyrafinowanych i precyzyjnych ataków ransomware wykorzystuje się technologie typu open source i inne technologie, w tym sztucznej inteligencji (AI). Na przykład sztuczną inteligencję można wykorzystać do konstruowania profili użytkowników pochodzących z mediów społecznościowych i innych źródeł, a następnie do tworzenia bardzo przekonujących taktyk phishingu i spear-phishingu, aby otworzyć drzwi do ataku ransomware.

Deepfake to kolejny problem, w którym sztuczna inteligencja jest używana do modyfikowania wideo tak, aby wyglądało na to, że ktoś mówi coś, czego w rzeczywistości nie powiedział. Deepfake mógłby w sposób możliwy (i przekonujący) nakazać pracownikowi na przykład wysłanie płatności bezpośrednio na konto osoby atakującej lub ujawnienie tajemnic firmowych.

Z powodu tych trendów wielu ekspertów ds. bezpieczeństwa zgadza się, że sztuczna inteligencja musi odegrać znacznie większą rolę w ochronie przed oprogramowaniem ransomware w nadchodzących latach - głównie dlatego, że zagrożenia, z którymi się teraz borykamy, same w sobie są wspomagane przez sztuczną inteligencję.

Nowe cele i taktyka

Jak wspomniano, oprogramowanie ransomware jest coraz częściej celem ataków. W ostatnim czasie wiele głośnych ataków ransomware uderzyło w placówki oświatowe i służby zdrowia, a coraz więcej ataków jest przeprowadzanych na organizacje rządowe na poziomie hrabstw i miast.

W roku 2020 zespoły badawcze wywiadu zauważyły, że grupy hakerów przeszły z powszechnej, masowej dystrybucji do wysoce ukierunkowanych kampanii. Niepokojące jest to, że oprogramowanie ransomware było często wdrażane za pośrednictwem zagrożonych dostawców usług zarządzania bezpieczeństwem (MSSP). Trendy te pokrywają się z trendem przechodzenia na bardziej prywatny model oprogramowania ransomware jako usługi (RaaS).

Innym niepokojącym trendem jest eksfiltracja danych przed procesem szyfrowania ransomware. Umożliwia to atakującym „podwójne wyłudzenie” od ofiar, grożąc wyciekiem poufnych danych, jeśli nie zapłacą. Ponieważ firmy na całym świecie usprawniły zarządzanie danymi, tworząc częstsze i bezpieczniejsze kopie zapasowe, groźba utraty danych może nie wystarczyć, aby przekonać ofiary do zapłacenia. W rezultacie biznes ransomware ewoluował, aby dostosować się do zmieniających się okoliczności poprzez podwójne wymuszenia.

W niektórych przypadkach publikacja poufnych informacji może być znacznie bardziej szkodliwa niż utrata danych, a tym samym znacznie zwiększa prawdopodobieństwo wyłudzenia przez atakującego żądanej płatności za atak ransomware. Na przykład podczas incydentu Colonial Pipeline hakerzy wyprowadzili 100 gigabajtów danych przed zablokowaniem komputerów. Cyber-gang, który zaatakował stołeczną policję w Waszyngtonie, opublikował eksfiltrowane informacje z plików baz danych personelu i gangów do Dark Web.

Coraz częściej podmioty zagrażające, ręcznie wybierają cele na podstawie ich postrzeganej zdolności do zapłaty. Lub, w zależności od ich taktyki, mogą również skorzystać z wrażliwości eksfiltrowanych danych, aby zwiększyć gotowość celu do zapłacenia okupu w celu zachowania integralności ich danych.

Dowiedz się więcej o oprogramowaniu ransomware – kontynuacja niebawem

W następnym artykule będziemy dalej omawiać koszty finansowe i inne koszty ataków ransomware oraz dylemat, przed jakim stają firmy, czy zapłacić (lub nie) zapłacić okup. Ponadto udostępnimy przydatne taktyki i techniki, które pomogą chronić Twoją sieć w nowej erze pandemii  oprogramowania ransomware.

Oryginalna treść artykułu: https://www.hillstonenet.com/blog/beware-ransomware-what-you-need-to-know/

Podobne tematycznie artykuły Hillstone:

Przyszłość cyberbezpieczeństwa: sztuczna inteligencja

Dlaczego potrzebujesz ochrony przed spamem na swoim NGFW

Nowa, przyszłościowa generacja urządzeń Hillstone serii A

__________________________________________________

Zainteresowały Cię rozwiązania Hillstone?
Zapraszam do kontaktu

Marceli Matczak
Security / SDN Business Development Manager

+48 785 051 978
marceli.matczak@s4e.pl