Το Ransomware είναι μια μορφή κακόβουλου λογισμικού που καταλαμβάνει τον έλεγχο των δεδομένων ή της συσκευής ενός θύματος και του παρουσιάζει ένα τρομερό τελεσίγραφο: είτε πληρώστε λύτρα είτε αντιμετωπίστε τις συνέπειες. Είτε πρόκειται για παρατεταμένο lockdown είτε για εκτεταμένη διαρροή δεδομένων, η απειλή είναι σχεδόν πάντα αρκετά υψηλή ώστε να πείσει τα θύματα να πληρώσουν.
The IBM Security X-Force Threat Intelligence Index του 2023 αποκαλύπτει ότι πέρυσι, οι επιθέσεις ransomware αποτελούσαν σχεδόν το ένα τέταρτο όλων των επιθέσεων στον κυβερνοχώρο. Η δημοτικότητα του ransomware είναι αποτέλεσμα ευρείας εμβέλειας παγκόσμιων κοινωνικοοικονομικών παραγόντων – καθένας από τους οποίους συνδυάζεται για να δημιουργήσει μια διαρκή απειλή για τον οργανισμό σας.
Τα στάδια μιας επίθεσης Ransomware
Από υπερ-σύνθετες επιθέσεις έως την εκμετάλλευση απλών παραβλέψεων, σχεδόν κάθε επίθεση ransomware εκτυλίσσεται σε τέσσερα έως πέντε κρίσιμα στάδια.
Στάδιο 1: Εκμετάλλευση μιας ευπάθειας
Είτε μια ευπάθεια σε ένα κομμάτι της στοίβας τεχνολογίας σας – είτε μια μεμονωμένη παράβλεψη από ένα μέλος του προσωπικού – το πρωταρχικό στάδιο κάθε επίθεσης ransomware είναι ένας φορέας πρόσβασης κάποιου είδους. Συχνά, ο αδύναμος κρίκος μπορεί να είναι οι ίδιοι οι συνάδελφοί σας (ή ακόμα και ο εαυτός σας!). Το ηλεκτρονικό ψάρεμα (phishing) είναι ένας από τους πιο συνηθισμένους τρόπους με τους οποίους μπορεί να γίνει διάρρηξη ασφαλών οργανισμών. είναι αυτό που επέτρεψε στους εισβολείς να εξαπολύσουν μια επίθεση ransomware στην εφημερίδα The Guardian με έδρα το Ηνωμένο Βασίλειο στις αρχές του 2023.
Άλλες προσπάθειες διείσδυσης εκμεταλλεύονται κακόβουλους ιστότοπους ή επιτίθενται απευθείας σε ευπάθειες λογισμικού.
Στάδιο 2: Απελευθερώστε το RAT
Η απομακρυσμένη πρόσβαση παρατηρείται πιο συχνά στο πλαίσιο της τεχνικής υποστήριξης – με αυτή την ενεργοποίηση, η ομάδα IT σας μπορεί να βοηθήσει τους συναδέλφους με τις καθημερινές εργασίες υπολογιστών τους. Η απομακρυσμένη υποστήριξη επιτρέπει σε άλλους χρήστες να αποκτήσουν πλήρη δικαιώματα διαχειριστή, δίνοντάς τους πλήρη έλεγχο σε κάθε διαδικασία στον υπολογιστή σας. Ένας RAT το παραμορφώνει εγκαθιστώντας σε έναν υπολογιστή χωρίς να το γνωρίζει ο χρήστης.
Είναι σύνηθες για τους εισβολείς να χρησιμοποιούν RAT ως εναλλακτικά καθιερωμένα μέτρα ασφαλείας – ενώ οι λύσεις προστασίας από ιούς μπορούν να αναγνωρίσουν ransomware μέσω απλής ανίχνευσης υπογραφής αρχείου, ένας trojan απομακρυσμένης πρόσβασης είναι πιο δύσκολο να ανιχνευθεί πριν από την εμφύτευση. Με το Piggyback σε αρχεία με νόμιμη εμφάνιση, όπως πακέτα λογισμικού και βιντεοπαιχνίδια, το RAT προσφέρει μια ποικιλία διαδρομών σε οποιονδήποτε δολοπλοκό εισβολέα, ανοίγοντας το δρόμο για το επόμενο στάδιο της επίθεσης.
Στάδιο 3: Αναγνώριση
Έχοντας ένα στήριγμα στο σύστημα του θύματος, τότε γίνεται δυνατό για τον εισβολέα να αρχίσει να κατασκοπεύει. Πρωταρχική εστίαση δίνεται στην κατανόηση των τοπικών συστημάτων, μαζί με τον τομέα στον οποίο έχουν πρόσβαση επί του παρόντος. Από εκεί, είναι ελεύθεροι να αρχίσουν να κινούνται πλευρικά. Εδώ έγκειται η κύρια αδυναμία με την ασφάλεια περιμετρικού τύπου. Εάν βασίζεται σε μία μόνο γραμμή άμυνας, η πλευρική κίνηση γίνεται πολύ πιο εύκολη – και η τελική επίθεση γίνεται πιο ευρεία. Σε αυτό το σημείο, ωστόσο, ο εισβολέας επεκτείνει ενεργά την κυριαρχία του στο σύστημα και διακυβεύει ολοένα και πιο προνομιούχους λογαριασμούς, ενώ παραμένει όσο το δυνατόν πιο κρυφός.
Στάδιο 4: Διήθηση
Ο επιτιθέμενος, σε αυτό το στάδιο, έχει καλύψει όσο το δυνατόν περισσότερους τομείς της οργάνωσης. Μόνο τώρα, όμως, γίνεται κάποια ενέργεια που ωφελεί άμεσα την ομάδα που επιτίθεται. Η εστίαση μεταβαίνει στον εντοπισμό και την εξαγωγή δεδομένων – όσο πιο ευαίσθητα, τόσο το καλύτερο. Η άνοδος των συνδυασμένων επιθέσεων εκβιασμού και ransomware οφείλεται στο πλαίσιο του σημερινού τοπίου διαχείρισης απειλών. Οι παραβιάσεις δεδομένων συνοδεύονται από βαριά πρόστιμα και μια έκρηξη κακών δημοσίων σχέσεων. από την πλευρά του εισβολέα, αυτά τα δεδομένα μπορούν επίσης να πωληθούν σε άλλες περιοχές της μηχανής του εγκλήματος στον κυβερνοχώρο. Σε αυτό το σημείο, οι δράστες έχουν δεχτεί ένα ακόμη θύμα. Ανεξάρτητα από το τελικό στάδιο που ακολουθεί, είναι πιθανό να βγάλουν τα χρήματα που αναζητούν.
Στάδιο 5: Κρυπτογράφηση
Τέλος, μετά από κρυφά αποσπάσματα από TB δεδομένων της εταιρείας – μεταξύ των διαπιστευτηρίων σύνδεσης, των προσωπικών στοιχείων των πελατών και της πνευματικής ιδιοκτησίας – οι εγκληματίες του κυβερνοχώρου μπορούν να δώσουν ένα τελευταίο χτύπημα. Το κρυπτογραφικό ransomware λειτουργεί μέσα από κάθε αρχείο στο οποίο έχει πρόσβαση μέσω επηρεαζόμενων δικτύων, κρυπτογραφώντας όσο πάει. Οι προηγμένες μορφές ορισμένων στελεχών ransomware προχωρούν ακόμη περισσότερο, απενεργοποιώντας λειτουργίες που θα επέτρεπαν μια τελευταία επαναφορά συστήματος και διαγράφοντας τυχόν αντίγραφα ασφαλείας στο μολυσμένο δίκτυο. Δεν κρυπτογραφούν όλα τα ransomware, ωστόσο: ορισμένα θα κλειδώσουν την οθόνη της συσκευής ή ακόμα και θα πλημμυρίσουν τον χρήστη με ένα ατελείωτο μπαράζ αναδυόμενων παραθύρων.
Τέλος, όταν η συσκευή και τα σχετικά αρχεία της είναι απρόσιτα, το θύμα ενημερώνεται για την κακή του μοίρα μέσω ενός σημειώματος λύτρων. Αυτό συχνά υλοποιείται ως αρχείο .txt που κατατίθεται στην επιφάνεια εργασίας του υπολογιστή και περιέχει οδηγίες για τον τρόπο πληρωμής των λύτρων.
Ποιος είναι στόχος για Ransomware;
Με κάθε επιτυχημένη επίθεση, ο εισβολέας ransomware γίνεται πιο τολμηρός, στοχεύοντας βιομηχανίες με τρόπους που προκαλούν τον μεγαλύτερο δυνατό πόνο. Τα τελευταία χρόνια, μια περιοχή έχει στοχοποιηθεί με ιδιαίτερη σκληρότητα: οι κρίσιμες υποδομές.
Μια επίθεση σε έναν πάροχο ενέργειας μπορεί να οδηγήσει σε αστοχία του δικτύου ή ασυνεπή παραγωγή ενέργειας σε σπίτια, εμπορικά κτίρια ή άλλους κρίσιμους παρόχους υπηρεσιών. Οι σταθμοί ηλεκτροπαραγωγής, οι εγκαταστάσεις επεξεργασίας νερού, τα συστήματα μεταφοράς και τα δίκτυα επικοινωνίας έχουν αποτελέσει όλα τομείς ιδιαίτερης εστίασης τα τελευταία χρόνια. Αυτό είναι σε μεγάλο βαθμό αποτέλεσμα μεγάλων ελαττωμάτων που κρύβονται βαθιά μέσα στα βιομηχανικά συστήματα ελέγχου, τα οποία χρησιμοποιούνται για την παρακολούθηση και τον έλεγχο αυτών των κρίσιμων στοιχείων υποδομής.
Η Schneider Electric και η Siemens είναι δύο λύσεις βιομηχανικού ελέγχου που έχουν ήδη προσφέρει στους εισβολείς μονοπάτια επίθεσης πολλαπλών αλυσίδων. Ένα πρόσφατο παράδειγμα είναι ένα ελάττωμα που επηρεάζει τους μετρητές ισχύος ION και PowerLogic της Schneider Electric. Αυτά παρέχουν ενεργειακή παρακολούθηση σε οργανισμούς στους τομείς της μεταποίησης, της ενέργειας και του νερού. με ετικέτα CVE-2022-46680, αυτό το exploit έχει λάβει σοβαρή βαθμολογία CVSS 8.8 στα 10 και επιτρέπει στους παράγοντες απειλών να έχουν πρόσβαση σε διαπιστευτήρια που θα τους βοηθούσαν να αλλάξουν τις ρυθμίσεις διαμόρφωσης και να τροποποιήσουν το υλικολογισμικό.
Γιατί εξαπλώνονται οι επιθέσεις Ransomware;
Ο αριθμός των επιθέσεων ransomware συνεχίζει να εκτοξεύεται – εν μέρει λόγω της μεταβαλλόμενης παγκόσμιας οικονομίας. Καθώς το ransomware είναι μια επίθεση που συχνά έχει μεγάλα οικονομικά κίνητρα, κοινωνικοοικονομικά ζητήματα όπως η φτώχεια και η ανισότητα του πλούτου διαδραματίζουν σημαντικό ρόλο στη δημοτικότητά του. Αυτό έχει επιταχυνθεί επίσης τα τελευταία χρόνια – εν μέρει επειδή το ransomware είναι πλέον το πιο προσιτό που υπήρξε ποτέ. Οι επίδοξοι εγκληματίες του κυβερνοχώρου δεν απαιτούν πλέον μια εις βάθος κατανόηση της ασφάλειας του δικτύου. Αντίθετα, ορισμένοι προγραμματιστές ransomware επιλέγουν να μοιράζονται τον κώδικα κακόβουλου λογισμικού τους μέσω ρυθμίσεων ransomware-as-a-service (RaaS). Σε αυτήν τη ρύθμιση, ο κυβερνοεγκληματίας λειτουργεί ως συνεργάτης, αξιοποιώντας τον προγραμμένο κώδικα και μοιράζεται ένα μέρος της πληρωμής λύτρων του θύματος με τον αρχικό προγραμματιστή. Αυτή η συμβιωτική σχέση αποδεικνύεται αμοιβαία επωφελής: οι θυγατρικές μπορούν να αποκομίσουν τα οφέλη του εκβιασμού χωρίς να χρειάζεται να αναπτύξουν το δικό τους κακόβουλο λογισμικό, ενώ οι προγραμματιστές μπορούν να βελτιώσουν τα κέρδη τους χωρίς να τοποθετηθούν στην πρώτη γραμμή.
Ο τελικός λόγος για την αύξηση των υποθέσεων ransomware είναι η γεωπολιτική ένταση. Είναι η κινητήρια δύναμη πίσω από τέτοιες τεράστιες εκστρατείες κατά των βαρέων βαρών της υποδομής. Η ιδέα ενός χάκερ που υποστηρίζεται από το κράτος απομονωνόταν για να επιτεθεί σε φορείς που χρηματοδοτούνταν άμεσα από κακόβουλα κράτη. Τώρα, οι καιροί έχουν αλλάξει. Με την εισβολή της Ρωσίας στην Ουκρανία – και την αυξανόμενη προσβασιμότητα του ransomware – μη συνδεδεμένοι φορείς απειλών έχουν εμπλακεί με ένθερμο ενθουσιασμό. Οι κρίσιμες υποδομές, όπως οι σιδηρόδρομοι, έχουν σταματήσει περήφανα – όπως η παραβίαση των Λευκορωσικών σιδηροδρόμων από κυβερνοπαρτιζάνους, η οποία ενορχηστρώθηκε σε μια προσπάθεια να αποτραπεί η μετακίνηση Ρώσων στρατιωτών.
Ιστορικό επιθέσεων Ransomware
Ξεκινώντας με μια πειραματική δισκέτα, το ransomware χρειάστηκε πολύ χρόνο για να εξελιχθεί στις υπερ-επιθετικές επιθέσεις που αντιμετωπίζουν σήμερα οι οργανισμοί.
1989: Αρχές χαμηλής τεχνολογίας. Το πρώτο τεκμηριωμένο ransomware ήταν το AIDS Trojan. Διανέμεται μέσω δισκέτας, η γέννηση του ransomware έχει εκπληκτικά χαμηλή τεχνολογία ρίζες. Οι κατάλογοι αρχείων στον υπολογιστή του θύματος ήταν κρυμμένοι, προτού το αναδυόμενο παράθυρο ransomware απαιτήσει 189 $ για να τους αποκαλύψει. Ωστόσο, δεδομένου ότι κρυπτογραφούσε τα ονόματα των αρχείων και όχι τα πραγματικά αρχεία, οι χρήστες μπόρεσαν τελικά να αντιστρέψουν οι ίδιοι τη ζημιά.
2005: Εμφανίζονται νέα στυλ κρυπτογράφησης. Μετά από έναν σχετικά μικρό αριθμό επιθέσεων ransomware στις αρχές της δεκαετίας του 2000, ξεκίνησε μια αύξηση των μολύνσεων, κυρίως στη Ρωσία και την Ανατολική Ευρώπη. Οι πρώτες παραλλαγές που χρησιμοποίησαν ασύμμετρη κρυπτογράφηση εμφανίστηκαν. Καθώς τα νεότερα ransomware πρόσφεραν πιο αποτελεσματικές μεθόδους για εκβίαση χρημάτων, ένας αυξανόμενος αριθμός κυβερνοεγκληματιών άρχισε να διαδίδει ransomware σε όλο τον κόσμο.
2009: Untraceable Payments Join the Fray. Η έλευση του κρυπτονομίσματος, ιδιαίτερα του Bitcoin, παρείχε στους κυβερνοεγκληματίες τη δυνατότητα να λαμβάνουν μη ανιχνεύσιμες πληρωμές λύτρων, με αποτέλεσμα το επόμενο κύμα δραστηριότητας ransomware.
2013: Το CryptoLocker αποδεικνύει τον εαυτό του. Η σύγχρονη εποχή του ransomware ξεκινά με την εισαγωγή του CryptoLocker, σηματοδοτώντας την έναρξη των σεναρίων ransomware που βασίζονται σε κρυπτογράφηση που, μόλις αναπτυχθούν, απαιτούν από το θύμα να κάνει την πληρωμή του σε κρυπτονομίσματα.
2015: Γεννιέται ο RaaS. Η παραλλαγή του ransomware Tox πρωτοπορεί στο μοντέλο ransomware-as-a-service (RaaS), επιτρέποντας σε άλλους εγκληματίες του κυβερνοχώρου να έχουν εύκολη πρόσβαση και να αναπτύσσουν ransomware για δικούς τους κακόβουλους σκοπούς.
2017: Το WannaCry χτυπά το NHS. Η εμφάνιση του WannaCry σηματοδοτεί τα πρώτα ευρέως χρησιμοποιούμενα αυτοαναπαραγόμενα cryptoworms, επιτρέποντας την ταχεία διάδοση του ransomware σε δίκτυα και συστήματα.
2018: Ο Ryuk στοχεύει τη Wall Street Journal και τους LA Times. Ο Ryuk κερδίζει δημοτικότητα και καθιερώνει την έννοια του κυνηγιού μεγάλων θηραμάτων σε επιθέσεις ransomware, στοχεύοντας οργανισμούς υψηλής αξίας για μεγαλύτερες πληρωμές λύτρων.
2019: Ο διπλός εκβιασμός γίνεται κανόνας. Οι διπλές επιθέσεις ransomware αρχίζουν να αυξάνονται. Η πλειονότητα των περιστατικών ransomware που χειρίζεται η ομάδα IBM Security Incident Response περιλαμβάνει πλέον τόσο την κρυπτογράφηση των δεδομένων όσο και την απειλή για την έκθεσή τους εάν τα λύτρα δεν καταβληθούν.
2023: Το Thread Hijacking είναι πλέον δημοφιλές. Η πειρατεία νημάτων αναδεικνύεται ως ένας εξέχων φορέας για ransomware, όπου οι εγκληματίες του κυβερνοχώρου εισάγονται σε διαδικτυακές συνομιλίες των στόχων τους για να διευκολύνουν τη διάδοση του ransomware και να αυξήσουν τις πιθανότητές τους για επιτυχή εκβιασμό.
Γιατί δεν πρέπει να πληρώσετε απλώς τα λύτρα
Το 2019, τα περισσότερα θύματα ransomware κατέληξαν να πληρώσουν τους εισβολείς τους. Ωστόσο, το πρώτο τρίμηνο του 2022, αυτό είχε μειωθεί. Αυτό οφείλεται εν μέρει στον συντριπτικό αριθμό λόγων που συσσωρεύονται ενάντια στην πραγματοποίηση αυτής της κρίσιμης πληρωμής λύτρων.
Μπορεί να μην λάβετε κλειδί αποκρυπτογράφησης
Κατά μέσο όρο, το 2021, οι οργανισμοί που πλήρωσαν τα λύτρα ανέσυραν μόνο το 61% των δεδομένων τους. Ο αριθμός των οργανισμών που πλήρωσαν και στη συνέχεια έλαβαν όλα τα δεδομένα τους ήταν ένα μικροσκοπικό 4%. Μόλις οι χάκερ λάβουν τα λύτρα, τα δεδομένα σας εξακολουθούν να αξίζουν χρήματα για αυτούς – η πώληση και η διαρροή τους τους προσφέρει ακόμη μεγαλύτερη απόδοση επένδυσης.
Μπορεί να λάβετε επανειλημμένα αιτήματα λύτρων
Η συντριπτική πλειοψηφία των θυμάτων που πληρώνουν δέχονται περισσότερες επιθέσεις με λύτρα πιο κάτω. Μια κορυφαία έκθεση από το 2022 ανέλυσε τι συμβαίνει αφού ένας οργανισμός πληρώνει απλώς τους επιτιθέμενούς του και ανακάλυψε τρομερά υψηλά ποσοστά επαναλήψεων. Από όλα τα θύματα που παραδέχθηκαν ότι πλήρωσαν τα λύτρα, το 80% από αυτά χτυπήθηκαν αργότερα για δεύτερη φορά – το 68% των οποίων γνώρισε επιθέσεις τον ίδιο μήνα με υψηλότερη ζήτηση λύτρων. Ένας λόγος για αυτό είναι το γεγονός ότι όσοι επιλέγουν να πληρώσουν θεωρούνται ευάλωτοι στόχοι. Το 9% πλήρωσε για τρίτη φορά.
Θα μπορούσατε σύντομα να παραβιάσετε το νόμο
Το Υπουργείο Οικονομικών των ΗΠΑ έχει ήδη εκδώσει μια συμβουλευτική προειδοποίηση για μελλοντικά νομικά προβλήματα. Η εμπλοκή σε πληρωμές ransomware — είτε ως θύμα, είτε ως ασφαλιστική εταιρεία στον κυβερνοχώρο ή ως χρηματοπιστωτικό ίδρυμα — θα μπορούσε ενδεχομένως να παραβιάζει τους νόμους σχετικά με τη διεθνή ασφάλεια. Αυτό οφείλεται σε μεγάλο βαθμό στο τελευταίο σημείο που δίνει έμφαση στην οικονομική πραγματικότητα του ransomware.
Χρηματοδοτείτε την εγκληματική δραστηριότητα
Με κάθε θύμα που πληρώνει, οι ομάδες hacking μπορούν να αναπτύξουν ακόμη πιο προηγμένες μεθόδους χρήσης κακόβουλου λογισμικού για να διεισδύσουν σε πιο ευάλωτες επιχειρήσεις. Η πληρωμή των λύτρων δεν κάνει μόνο χειρότερο το ίδιο το ransomware - αλλά χρηματοδοτεί άμεσα επιθετικά εθνικά κράτη που συχνά χρηματοδοτούν τέτοιες δημόσιες και ενοχλητικές επιθέσεις.
Από την άλλη πλευρά, όσο περισσότερα εμπόδια αντιμετωπίζουν οι χάκερ στις εγκληματικές τους δραστηριότητες, οι πιθανότητες να συνεχίσουν να βλάπτουν άλλες εταιρείες μειώνονται.
Οι διαφορετικοί τύποι Ransomware
Το ransomware παίρνει συχνά μια ποικιλία διαφορετικών μορφών και, ενώ το ransomware που βασίζεται σε κρυπτογράφηση είναι ένας από τους πιο συνηθισμένους τύπους, η κρυπτογράφηση ευαίσθητων δεδομένων δεν είναι ο μόνος τρόπος με τον οποίο τα δεδομένα των οργανισμών μπορούν να διατηρηθούν σε ακραία θέση.
Scareware
Το Scareware είναι ο ξάδερφος του ransomware χαμηλής τεχνολογίας. Συχνά, αυτά θα δουν ένα κακόβουλο ωφέλιμο φορτίο να εκκινεί ένα μήνυμα που ισχυρίζεται ότι προέρχεται από τις αρχές επιβολής του νόμου ή ακόμη και από μια νόμιμη μόλυνση από ιό. Μπορεί να κατευθύνει τον χρήστη προς ένα ψεύτικο λογισμικό προστασίας από ιούς – κάνοντας τα θύματα να πληρώνουν για το προνόμιο λήψης του δικού τους ransomware.
Κλειδαριά οθόνης
Αυτή η μορφή ransomware αποκλείει την πρόσβαση των χρηστών όχι με κρυπτογράφηση, αλλά απλώς εμποδίζοντας τον χρήστη να αλληλεπιδράσει με οποιοδήποτε από τα αρχεία του αρχικά. Το κλείδωμα ολόκληρης της συσκευής του θύματος συνήθως επιτυγχάνεται με τον αποκλεισμό της πρόσβασης στο λειτουργικό σύστημα. Αντί να κάνει εκκίνηση ως συνήθως, η συσκευή απλώς εμφανίζει τη ζήτηση λύτρων.
Υαλοκαθαριστήρες
Ενώ το ransomware που βασίζεται σε κρυπτογράφηση συχνά παρασύρει τα θύματα να πληρώσουν με την υπόσχεση ότι όλα θα επανέλθουν στο φυσιολογικό, οι υαλοκαθαριστήρες ακολουθούν μια πιο επιθετική προσέγγιση. Το σημείωμα λύτρων θα απειλήσει να καταστρέψει όλα τα δεδομένα εάν αφεθούν απλήρωτα. Ακόμη και σε περιπτώσεις όπου τα θύματα ποντάρουν, τα δεδομένα συχνά διαγράφονται ανεξάρτητα. Οι καθαρές καταστροφικές δυνατότητες των υαλοκαθαριστήρων τους καθιστούν ένα ιδιαίτερα καλά χρησιμοποιούμενο εργαλείο για τους παράγοντες των εθνικών κρατών και τους χακτιβιστές.
Δημοφιλείς παραλλαγές Ransomware
Στη λασπώδη, συνεχώς εξελισσόμενη σφαίρα του ransomware, οι παραλλαγές μπορεί να είναι εδώ τη μια στιγμή και να φεύγουν την επόμενη. Τέσσερις σημαντικοί παίκτες έχουν μπει στο προσκήνιο την τελευταία δεκαετία, καθένας από τους οποίους έχει παίξει μοναδικό ρόλο στην ώθηση της παράνομης βιομηχανίας σε νέο έδαφος.
WannaCry
Το WannaCry ήταν το πρώτο χαρακτηριστικό παράδειγμα cryptoworm – το είδος του ransomware που μπορεί να εξαπλωθεί σε άλλες συσκευές μέσα σε ένα δίκτυο. Στοχεύει σε πάνω από 200,000 υπολογιστές σε 150 χώρες, εκμεταλλευόμενος την ευπάθεια EternalBlue στα Microsoft Windows την οποία οι διαχειριστές δεν είχαν επιδιορθώσει. Εκτός από την κρυπτογράφηση πολύτιμων δεδομένων, το WannaCry ransomware αποτελούσε επίσης απειλή για τη διαγραφή αρχείων εάν η πληρωμή δεν λαμβανόταν εντός περιόδου επτά ημερών.
Η επίθεση WannaCry είναι ένα από τα μεγαλύτερα περιστατικά ransomware που έχουν καταγραφεί μέχρι σήμερα, με εκτιμώμενο κόστος φθάνοντας τα 4 δισεκατομμύρια δολάρια ΗΠΑ. Ο ευρείας κλίμακας αντίκτυπός του και η ταχεία διάδοσή του υπογράμμισαν τις σημαντικές συνέπειες που μπορεί να έχουν οι μη επιδιορθωμένες ευπάθειες και η αμέλεια των διαχειριστών του συστήματος απέναντι σε τέτοιες απειλές στον κυβερνοχώρο.
Κακά
Το REvil, που αναφέρεται επίσης ως Sodin ή Sodinokibi, έπαιξε σημαντικό ρόλο στη διάδοση του μοντέλου Ransomware-as-a-Service (RaaS) για τη διανομή ransomware. Αυτή η προσέγγιση επιτρέπει σε άλλους εγκληματίες του κυβερνοχώρου να έχουν πρόσβαση και να χρησιμοποιούν το ransomware REvil για τις δικές τους κακόβουλες δραστηριότητες. Το REvil κέρδισε τη φήμη για τη συμμετοχή του σε επιθέσεις κυνηγιού μεγάλων παιχνιδιών και τακτικές διπλού εκβιασμού.
Το 2021, ο REvil ήταν υπεύθυνος για αξιόλογες επιθέσεις στο JBS USA και στην Kaseya Limited. Η JBS, μια εξέχουσα επιχείρηση επεξεργασίας βοείου κρέατος στις Ηνωμένες Πολιτείες, αντιμετώπισε διακοπή που οδήγησε στην πληρωμή λύτρων 11 εκατομμυρίων δολαρίων ΗΠΑ. Η επίθεση επηρέασε τις επιχειρήσεις επεξεργασίας βοείου κρέατος της JBS σε ολόκληρες τις ΗΠΑ. Η Kaseya Limited, ένας πάροχος λογισμικού, είδε πάνω από χίλιους πελάτες να επηρεάζονται χάρη στο σημαντικό χρόνο διακοπής λειτουργίας που προκλήθηκε από την επίθεση.
Στις αρχές του 2022, η Ρωσική Ομοσπονδιακή Υπηρεσία Ασφαλείας δήλωσε ότι είχε εξαρθρώσει τη REvil και είχε αρχίσει να κατηγορεί αρκετά από τα μέλη της για τα προηγούμενα εγκλήματά τους.
Ryuk
Παρατηρήθηκε για πρώτη φορά το 2018, το Ryuk ransomware πρωτοστάτησε στις επιθέσεις «μεγάλων παιχνιδιών ransomware» που στοχεύουν συγκεκριμένα οντότητες υψηλής αξίας. Τα αιτήματά τους για λύτρα ξεπερνούσαν τακτικά το ένα εκατομμύριο δολάρια. Το Ryuk είναι εξοπλισμένο για να στοχεύει τόσο επιτυχημένους οργανισμούς χάρη στην επιθετική του ικανότητα να εντοπίζει και να απενεργοποιεί τα αρχεία αντιγράφων ασφαλείας και τις λειτουργίες επαναφοράς συστήματος. Το 2021, εντοπίστηκε ένα νέο στέλεχος Ryuk με δυνατότητες κρυπτοσκώληκα, ενισχύοντας περαιτέρω την ικανότητά του για γρήγορη και εκτεταμένη μόλυνση.
Darkside
Το DarkSide είναι μια παραλλαγή ransomware που πιστεύεται ότι λειτουργεί από μια ομάδα που υποπτεύεται ότι εδρεύει στη Ρωσία. Στις 7 Μαΐου 2021, το DarkSide πραγματοποίησε μια σημαντική κυβερνοεπίθεση στον αγωγό αποικίας των ΗΠΑ, ο οποίος θεωρείται η πιο σοβαρή κυβερνοεπίθεση σε υποδομές ζωτικής σημασίας στις Ηνωμένες Πολιτείες μέχρι στιγμής. Ως συνέπεια της επίθεσης, ο αγωγός, υπεύθυνος για την παροχή περίπου 45 τοις εκατό του καυσίμου στην ανατολική ακτή των ΗΠΑ, έκλεισε προσωρινά.
Η ομάδα DarkSide όχι μόνο διεξάγει άμεσες επιθέσεις ransomware, αλλά και χορηγεί άδεια χρήσης ransomware σε άλλες θυγατρικές εγκληματίες στον κυβερνοχώρο, επιτρέποντας στην ομάδα να επεκτείνει την εμβέλεια και τα κέρδη της.
Πώς να προστατευτείτε από Ransomware
Είναι σημαντικό να διερευνηθεί διεξοδικά η πηγή μιας επίθεσης ransomware και να ληφθούν τα κατάλληλα μέτρα για την αντιμετώπιση του ζητήματος. Εάν η επίθεση προήλθε από έναν υπάλληλο που έκανε κλικ σε έναν επικίνδυνο σύνδεσμο, είναι σημαντικό να ενισχυθεί η εκπαίδευση των εργαζομένων εντοπισμός επιθέσεων phishing και τονίζουν τη σημασία της διατήρησης ασφαλών, μοναδικών κωδικών πρόσβασης, όπως φράσεις πρόσβασης. Η εφαρμογή λογισμικού ελέγχου ταυτότητας δύο παραγόντων για όλες τις συσκευές και τους εργαζόμενους μπορεί να προσφέρει ένα επιπλέον επίπεδο προστασίας.
Η τακτική ενημέρωση λογισμικού και υλικού είναι απαραίτητη για τον μετριασμό των πιθανών τρωτών σημείων. Η ενίσχυση της υποδομής ασφάλειας στον κυβερνοχώρο είναι απαραίτητη για να συμβαδίζετε με τις διαρκώς εξελισσόμενες τακτικές που χρησιμοποιούν οι επιτιθέμενοι. Η τακτική διαμόρφωση του δικτύου σας μπορεί να βοηθήσει στην αναχαίτιση κακόβουλης κυκλοφορίας και να καταστήσει πιο δύσκολο για τους εγκληματίες να στοχεύσουν τον οργανισμό σας.
Ο εντοπισμός τυχόν κενών ασφαλείας και η έγκαιρη αντιμετώπισή τους είναι ζωτικής σημασίας. Κάθε περιστατικό ασφαλείας θα πρέπει να αντιμετωπίζεται ως μια ευκαιρία να αποκτηθούν πληροφορίες σχετικά με τα τρωτά σημεία της υποδομής και να ενισχυθεί η συνολική θέση ασφαλείας. Η ασφάλεια είναι μια συνεχής διαδικασία που απαιτεί συνεχείς δοκιμές και βελτίωση για να παραμείνουμε μπροστά από πιθανές απειλές.
Πώς το LayerX προστατεύει από το Ransomware
Καθώς οι τακτικές ransomware έχουν αυξηθεί από τη δύναμή τους, τα τρωτά σημεία που ανοίγουν το δρόμο για τους επιτιθέμενους έχουν μετατοπιστεί. Ταυτόχρονα, το πρόγραμμα περιήγησης έχει γίνει βασικό συστατικό του σύγχρονου χώρου εργασίας, όπως και οι εφαρμογές που εκτείνονται από διαχειριζόμενες έως εντελώς μη εγκεκριμένες εφαρμογές. Το να κάθεστε ανάμεσα στο ασφαλές περιβάλλον ενός προστατευμένου τερματικού σημείου και στον παγκόσμιο ιστό είναι η μοναδική τομή αυτών των εφαρμογών – και το αδύναμο σημείο πολλών οργανισμών.
Το LayerX προστατεύει τα περιουσιακά στοιχεία που είναι πέρα από τον έλεγχο της ομάδας ασφαλείας της επιχείρησης, εισάγοντας βαθιά ευαισθησία. Αυτό ξεχωρίζει οποιεσδήποτε δραστηριότητες που ενδέχεται να ενέχουν τον κίνδυνο λήψης ransomware ή RAT. Η εστίαση στην προστασία στο έδαφος επιτρέπει στο LayerX να αναπτύσσεται με μια επέκταση προγράμματος περιήγησης ταχείας εγκατάστασης σε επίπεδο προφίλ χρήστη. Η ορατότητα πρώτα από τον χρήστη συνδυάζεται με την κορυφαία ανάλυση του κλάδου στην πρώτη γραμμή του cloud intel απειλών του LayerX. Με τον προληπτικό εντοπισμό στοιχείων υψηλού κινδύνου, τα στοιχεία επιβολής του LayerX ενεργούν αποφασιστικά – εξουδετερώνοντας οποιαδήποτε απειλή ευρείας κρυπτογράφησης χωρίς την απειλή διακοπής του χρήστη. Με το LayerX, οι οργανισμοί μπορούν να αναπτύξουν πλήρη προστασία σε οπουδήποτε οι χρήστες έχουν πρόσβαση στον Ιστό.