Какво е Ransomware?

Рансъмуерът е форма на злонамерен софтуер, който изземва контрола върху данните или устройството на жертвата и им поставя ужасен ултиматум: или платете откуп, или понесете последствията. Независимо дали това е продължително блокиране или широко разпространено изтичане на данни, заплахата почти винаги е достатъчно висока, за да убеди жертвите да платят. 

- IBM Security X-Force Threat Intelligence Index от 2023 г. разкрива, че миналата година атаките с ransomware представляват почти една четвърт от всички кибератаки. Популярността на Ransomware е резултат от широкообхватни глобални социално-икономически фактори – всеки от които се комбинира, за да създаде постоянна заплаха за вашата организация.

Етапите на Ransomware атака

От свръх сложни атаки до използване на прости пропуски, почти всяка атака с рансъмуер се развива на четири до пет ключови етапа. 

Етап 1: Използване на уязвимост

Независимо дали става дума за уязвимост в част от вашия технологичен стек – или за единичен пропуск от член на персонала – основният етап на всяка атака на ransomware е някакъв вид вектор за достъп. Често слабото звено могат да бъдат собствените ви колеги (или дори вие самите!). Фишингът е един от най-често срещаните начини, по които иначе защитени организации могат да бъдат проникнати; това е, което позволи на нападателите да отприщят атака с ransomware срещу базирания в Обединеното кралство вестник The Guardian в началото на 2023 г.

Други опити за проникване се възползват от злонамерени уебсайтове или атакуват директно софтуерни уязвимости. 

Етап 2: Освободете ПЛЪХА

Отдалеченият достъп най-често се наблюдава в контекста на техническата поддръжка – с това активиране вашият ИТ екип може да помогне на колегите си с ежедневните им компютърни задачи. Дистанционната поддръжка позволява на други потребители да поемат пълни административни привилегии, като им дава пълен контрол върху всеки процес на вашия компютър. RAT деформира това, като се инсталира на компютър без знанието на потребителя.  

Обичайно за нападателите е да използват RATs като начин да заобиколят установените мерки за сигурност – докато антивирусните решения могат да идентифицират рансъмуер чрез просто откриване на сигнатури на файлове, троянски кон с отдалечен достъп е по-труден за откриване преди имплантиране. С помощта на легитимно изглеждащи файлове, като софтуерни пакети и видеоигри, RAT предлага различни пътища към всеки интригуващ нападател, проправяйки пътя към следващия етап на атаката.

Етап 3: Разузнаване 

С опора на системата на жертвата става възможно нападателят да започне да шпионира наоколо. Основният фокус е поставен върху разбирането на локалните системи, заедно с домейна, до който имат достъп в момента. Оттам те са свободни да започнат да се движат странично. Това е мястото, където се крие основната слабост на сигурността в стил периметър; ако се разчита само на една линия на защита, страничното движение е много по-лесно – и евентуалната атака е по-широкообхватна. В този момент обаче нападателят активно разширява контрола си над системата и компрометира все по-привилегировани акаунти, като същевременно остава възможно най-невидим. 

Етап 4: Ексфилтрация

На този етап нападателят е проникнал във възможно най-много области на организацията. Едва сега обаче се предприемат действия, които са в пряка полза за атакуващата група. Фокусът преминава към идентифициране и ексфилтриране на данни – колкото по-чувствителни, толкова по-добре. Нарастването на комбинираните атаки с изнудване и ransomware се дължи на контекста на днешния ландшафт за управление на заплахи. Нарушенията на данните идват със солидни глоби и взрив от лош PR; от гледна точка на нападателя тези данни могат да бъдат продадени и на други области на машината за киберпрестъпления. Към този момент нападателите са взели още една жертва. Независимо от последващия последен етап, те вероятно ще могат да направят парите, които преследват. 

Етап 5: Шифроване

И накрая, след крадешком източване на TB фирмени данни – през идентификационни данни за вход, лична информация на клиенти и интелектуална собственост – киберпрестъпниците успяват да нанесат един последен удар. Криптографският рансъмуер си проправя път през всеки файл, до който има достъп чрез засегнатите мрежи, като криптира, докато върви. Усъвършенстваните форми на някои щамове на рансъмуер отиват дори по-далеч, като деактивират функции, които биха позволили последно възстановяване на системата, и изтриват всички резервни копия в заразената мрежа. Не всички рансъмуери обаче криптират: някои ще заключат екрана на устройството или дори ще залеят потребителя с безкраен порой от изскачащи прозорци.

И накрая, след като устройството и свързаните с него файлове са недостъпни, жертвата се информира за лошата си съдба чрез бележка за откуп. Това често се материализира като .txt файл, депозиран на работния плот на компютъра, и съдържа инструкции как да платите откупа. 

Кой е мишена за рансъмуер?

С всяка успешна атака нападателят на ransomware става все по-смел, насочвайки се към индустрии по начини, които причиняват възможно най-много болка. През последните години една област беше атакувана с особена безмилостност: критичната инфраструктура. 

Атака срещу доставчик на енергия може да доведе до повреда на мрежата или непоследователно производство на енергия за домове, търговски сгради или други критични доставчици на услуги. Електроцентралите, съоръженията за пречистване на вода, транспортните системи и комуникационните мрежи бяха области на особено внимание през последните няколко години. Това до голяма степен е резултат от големи недостатъци, скрити дълбоко в индустриалните системи за контрол, които се използват за наблюдение и контрол на тези критични инфраструктурни компоненти.

Schneider Electric и Siemens са две решения за промишлен контрол, които вече са предложили на нападателите многоверижни пътища за атака. Един скорошен пример е дефект, засягащ електромерите ION и PowerLogic на Schneider Electric. Те осигуряват енергиен мониторинг на организации в производствения, енергийния и водния сектор; маркиран като CVE-2022-46680, този експлойт получи сериозен CVSS резултат от 8.8 от 10 и позволява на участниците в заплахата да имат достъп до идентификационни данни, които биха им помогнали да променят конфигурационните настройки и да променят фърмуера.

Защо се разпространяват Ransomware атаките?

Броят на атаките с ransomware продължава да расте рязко – отчасти поради променящата се глобална икономика. Тъй като рансъмуерът е атака, която често е силно финансово мотивирана, социално-икономически проблеми като бедността и неравенството в богатството играят основна роля за популярността му. Това също се ускори през последните няколко години – отчасти защото ransomware вече е най-достъпният, който някога е бил. Амбициозните киберпрестъпници вече не се нуждаят от задълбочено разбиране на мрежовата сигурност. Вместо това някои разработчици на рансъмуер избират да споделят своя злонамерен софтуер чрез споразумения за рансъмуер като услуга (RaaS). При тази настройка киберпрестъпникът действа като партньор, използвайки предварително написан код и споделяйки част от плащането на откупа на жертвата с първоначалния разработчик. Тази симбиотична връзка се оказва взаимно изгодна: филиалите могат да се възползват от предимствата на изнудването, без да е необходимо да разработват свой собствен зловреден софтуер, докато разработчиците могат да увеличат печалбите си, без да се поставят на предната линия. 

Последната причина за увеличаване на случаите на ransomware е геополитическото напрежение. Това е движещата сила зад такива мащабни кампании срещу инфраструктурни тежкотоварни компании. Идеята за подкрепян от държавата хакер беше изолирана, за да атакува актьори, които бяха пряко финансирани от злонамерени държави. Сега времената са се променили. С нахлуването на Русия в Украйна – и нарастващата достъпност на рансъмуера – несвързани участници в заплахата се включиха с пламенен ентусиазъм. Критичната инфраструктура като железопътните линии беше гордо спряна – като хакването на беларуските железници от Cyber ​​Partisans, което беше организирано в опит да се предотврати движението на руски войници. 

История на Ransomware атаките

Започвайки с експериментална дискета, рансъмуерът отне много време, за да се развие до хиперагресивните атаки, пред които са изправени организациите днес.

1989: Нискотехнологични начала. Първият документиран ransomware беше AIDS Trojan. Разпространено чрез флопи дискове, раждането на рансъмуера има удивително нискотехнологични корени. Файловите директории на компютъра на жертвата бяха скрити, преди изскачащият прозорец на рансъмуера да поиска $189, за да ги разкрие. Въпреки това, тъй като криптира имената на файловете, а не действителните файлове, потребителите в крайна сметка успяха да отстранят щетите сами.

2005: Появяват се нови стилове на криптиране. След сравнително малък брой атаки с рансъмуер в началото на 2000-те години започна скок на инфекциите, концентрирани главно в Русия и Източна Европа. Появиха се първите варианти, които използват асиметрично криптиране. Тъй като по-новите ransomware предлагаха по-ефективни методи за изнудване на пари, нарастващ брой киберпрестъпници започнаха да разпространяват ransomware по целия свят.

2009: Непроследими плащания се присъединяват към битката. Появата на криптовалута, по-специално биткойн, предостави на киберпрестъпниците възможност да получат непроследими плащания за откуп, което доведе до следващата вълна от активност на ransomware.

2013: CryptoLocker се доказва. Модерната ера на ransomware започва с въвеждането на CryptoLocker, отбелязвайки началото на базирани на криптиране ransomware скриптове, които, след като бъдат внедрени, изискват от жертвата да извърши плащането си в криптовалута.

2015: RaaS е роден. Вариантът на ransomware Tox е пионер в модела ransomware като услуга (RaaS), позволявайки на други киберпрестъпници лесно да имат достъп и да внедряват ransomware за собствените си злонамерени цели.

2017: WannaCry се появява в NHS. Появата на WannaCry означава първите широко използвани самовъзпроизвеждащи се крипточервеи, позволяващи бързото разпространение на ransomware в мрежи и системи. 

2018: Ryuk се насочва към Wall Street Journal и LA Times. Ryuk печели популярност и установява концепцията за лов на едър дивеч при атаки на ransomware, насочени към организации с висока стойност за по-големи изплащания на откуп.

2019: Двойното изнудване се превръща в норма. Двойните рансъмуер атаки започват да нарастват. По-голямата част от инцидентите с рансъмуер, обработвани от екипа за реагиране при инциденти на IBM, сега включват както криптиране на данни, така и заплаха за разкриването им, ако откупът остане неплатен.

2023: Отвличането на нишки вече е популярно. Отвличането на нишки се очертава като важен вектор за рансъмуер, при който киберпрестъпниците се включват в онлайн разговори на своите цели, за да улеснят разпространението на рансъмуер и да увеличат шансовете си за успешно изнудване.

Защо не трябва просто да платите откупа

През 2019 г. повечето жертви на ransomware в крайна сметка плащат на нападателите си. Въпреки това през първото тримесечие на 2022 г. това е намаляло. Това отчасти се дължи на огромния брой причини, натрупани срещу извършването на това решаващо изплащане на откуп.

Може да не получите ключ за дешифриране

Средно през 2021 г. организациите, платили откупа, са извлекли само 61% от данните си. Броят на организациите, които са платили и впоследствие са получили всичките си данни, е едва 4%. След като хакерите получат откупа, вашите данни все още струват пари за тях – продажбата и изтичането им им предлага още по-голяма възвръщаемост на инвестицията.

Възможно е многократно да получавате искания за откуп

Преобладаващото мнозинство от жертвите, които плащат, са засегнати от повече атаки за откуп по-нататък. Водещ доклад от 2022 г анализира какво се случва, след като една организация просто плати на своите нападатели, и откри ужасно високи нива на повторни нарушения. От всички жертви, които са признали, че са платили откупа, 80% от тях по-късно са били ударени втори път – 68% от които са видели атаки същия месец с по-високо искане за откуп. Една от причините за това е фактът, че онези, които избират да платят, се възприемат като уязвими цели. 9% платени трети път.

Скоро може да нарушите закона

Министерството на финансите на САЩ вече пусна консултативно предупреждение за бъдещи правни проблеми. Участието в плащания за ransomware – независимо дали като жертва, киберзастрахователна фирма или финансова институция – може потенциално да наруши законите относно международната сигурност. Това до голяма степен се дължи на последната точка, която подчертава икономическите реалности на ransomware.

Вие финансирате престъпна дейност

С всяка жертва, която плаща, хакерските групи са в състояние да разработят още по-напреднали методи за използване на зловреден софтуер за проникване в по-уязвими бизнеси. Плащането на откупа не само влошава самия рансъмуер – но директно финансира агресивни национални държави, които често финансират такива публични и разрушителни атаки.

От друга страна, колкото повече препятствия срещат хакерите в своите престъпни дейности, шансовете им да продължат да нараняват други компании намаляват. 

Различните видове рансъмуер 

Рансъмуерът често приема множество различни форми и докато базираният на криптиране рансъмуер е един от най-често срещаните типове, криптирането на чувствителни данни не е единственият начин, по който данните на организациите могат да бъдат държани на нож. 

Scareware

Scareware е нискотехнологичният братовчед на ransomware. Често те ще видят злонамерен полезен товар да стартира съобщение, което твърди, че е от правоприлагащите органи или дори от легитимна вирусна инфекция. Може да насочи потребителя към фалшив антивирусен софтуер – карайки жертвите да плащат за привилегията да изтеглят собствен рансъмуер. 

Заключване на екрана

Тази форма на ransomware блокира потребителския достъп не с криптиране, а като просто не позволява на потребителя да взаимодейства с някой от техните файлове на първо място. Заключването на цялото устройство на жертвата обикновено се постига чрез блокиране на достъпа до операционната система. Вместо да стартира както обикновено, устройството просто показва искането за откуп.

Чистачки

Докато базираният на криптиране рансъмуер често примамва жертвите да плащат с обещанието, че всичко ще се върне към нормалното, чистачките предприемат по-агресивен подход. Бележката за откуп ще заплаши да унищожи всички данни, ако остане неплатена. Дори в случаите, когато жертвите се досетят, данните често се изтриват независимо от това. Чистият разрушителен потенциал на чистачките ги прави особено добре използван инструмент за актьори от националната държава и хактивисти. 

Популярни варианти на Ransomware

В калното, постоянно развиващо се царство на ransomware, вариантите могат да бъдат тук в един момент и да изчезнат в следващия. През последното десетилетие на сцената се появиха четири основни играча, всеки от които изигра уникална роля в изтласкването на незаконната индустрия на нов терен.

WannaCry

WannaCry беше първият важен пример за крипточервей – тип рансъмуер, който може да се разпространи към други устройства в мрежата. Той беше насочен към над 200,000 150 компютъра в XNUMX страни, използвайки уязвимостта EternalBlue в Microsoft Windows, която администраторите не успяха да коригират. В допълнение към криптирането на ценни данни, рансъмуерът WannaCry също представлява заплаха за изтриване на файлове, ако плащането не бъде получено в рамките на седемдневен период.

Атаката на WannaCry е един от най-големите инциденти с ransomware, регистрирани до момента, с приблизителни разходи достигайки до 4 милиарда щатски долара. Неговото широкомащабно въздействие и бързо разпространение подчертаха значителните последици, които могат да имат неотстранените уязвимости и небрежността на системните администратори пред подобни киберзаплахи.

Ревил

REvil, наричан още Sodin или Sodinokibi, изигра значителна роля в популяризирането на модела Ransomware-as-a-Service (RaaS) за разпространение на рансъмуер. Този подход позволява на други киберпрестъпници да имат достъп и да използват рансъмуера REvil за собствените си злонамерени дейности. REvil придоби известност с участието си в атаки за лов на едър дивеч и тактики за двойно изнудване.

През 2021 г. REvil беше отговорен за забележителни атаки срещу JBS USA и Kaseya Limited. JBS, известна операция за преработка на говеждо месо в Съединените щати, претърпя прекъсване, което доведе до плащането на откуп от 11 милиона USD. Атаката засегна операциите на JBS за обработка на говеждо месо в цялата територия на САЩ. Kaseya Limited, доставчик на софтуер, видя над хиляда клиенти, засегнати благодарение на значителния престой, причинен от атаката.

В началото на 2022 г. Руската федерална служба за сигурност заяви, че е разбила REvil и е започнала да повдига обвинения на няколко от нейните членове за миналите им престъпления.

Рюк

За първи път наблюдаван през 2018 г., рансъмуерът Ryuk оглавява атаките на „рансъмуер за големи игри“, които са насочени конкретно към обекти с висока стойност; техните искания за откуп редовно надхвърляха един милион долара. Ryuk е оборудван да се насочва към такива успешни организации благодарение на агресивната си способност да идентифицира и деактивира архивни файлове и функции за възстановяване на системата. През 2021 г. беше идентифициран нов щам Ryuk с възможности за крипточервеи, което допълнително засили способността му за бързо и широко заразяване.

Тъмна страна

DarkSide е вариант на рансъмуер, за който се смята, че се управлява от група, за която се подозира, че е базирана в Русия. На 7 май 2021 г. DarkSide извърши значителна кибератака срещу Colonial Pipeline на САЩ, която се счита за най-сериозната кибератака срещу критична инфраструктура в Съединените щати досега. Вследствие на атаката тръбопроводът, отговорен за доставката на приблизително 45 процента от горивото до Източното крайбрежие на САЩ, беше временно спрян. 

Групата DarkSide не само провежда директни атаки срещу ransomware, но също така лицензира своя ransomware на други филиали на киберпрестъпници, което позволява на групата да разшири своя обхват и печалби.

Как да се предпазите от Ransomware

От решаващо значение е да проучите задълбочено източника на ransomware атака и да предприемете подходящи мерки за справяне с проблема. Ако атаката произхожда от щракване на рискова връзка от служител, важно е да се подобри обучението на служителите в идентифициране на фишинг атаки и подчертават важността на поддържането на сигурни, уникални пароли, като пароли. Внедряването на софтуер за двуфакторно удостоверяване за всички устройства и служители може да осигури допълнителен слой защита.

Редовното актуализиране на софтуера и хардуера е от съществено значение за намаляване на потенциалните уязвимости. Укрепването на вашата инфраструктура за киберсигурност е необходимо, за да сте в крак с непрекъснато развиващите се тактики, използвани от нападателите. Редовното конфигуриране на вашата мрежа може да помогне за прихващане на злонамерен трафик и да направи по-трудно за престъпниците да се насочат към вашата организация.

Идентифицирането на всякакви пропуски в сигурността и незабавното им отстраняване е жизненоважно. Всеки инцидент със сигурността трябва да се разглежда като възможност за получаване на представа за уязвимостите на инфраструктурата и подобряване на цялостната позиция на сигурността. Сигурността е непрекъснат процес, който изисква постоянно тестване и подобрение, за да изпреварите потенциалните заплахи.

Как LayerX защитава от Ransomware

Тъй като тактиките за рансъмуер стават все по-силни, уязвимостите, които проправят пътя за нападателите, се изместиха. В същото време браузърът се превърна в основен компонент на модерното работно пространство, както и приложенията, които варират от управлявани до напълно несанкционирани приложения. Разположението между безопасната среда на защитена крайна точка и световната мрежа е уникалната пресечна точка на тези приложения – и слабото място на много организации. 

LayerX защитава активите, които са извън контрола на екипа по сигурността на предприятието, като въвежда дълбока детайлност. Това откроява всички дейности, които могат да създадат риск от рансъмуер или изтегляне на RAT. Фокусът върху защитата на място позволява на LayerX да се внедри с разширение за браузър за бързо инсталиране на ниво потребителски профил. Видимостта към потребителя е комбинирана с водещ в индустрията анализ в челните редици на облака за информация за заплахи на LayerX. При проактивното идентифициране на елементи с висок риск, елементите за прилагане на LayerX действат решително – неутрализирайки всяка заплаха от широко разпространено криптиране без заплаха от прекъсване на работата на потребителя. С LayerX организациите могат да разположат пълна защита навсякъде, където потребителите имат достъп до мрежата.