Što je Ransomware?

DLP

Ransomware je oblik zlonamjernog softvera koji preuzima kontrolu nad žrtvinim podacima ili uređajem i postavlja joj strašni ultimatum: ili platite otkupninu ili se suočite s posljedicama. Bilo da se radi o produljenom zatvaranju ili rasprostranjenom curenju podataka, prijetnja je gotovo uvijek dovoljno visoka da uvjeri žrtve da plate.

The IBM Security X-Force Threat Intelligence Index 2023. otkriva da su prošle godine napadi ransomwareom činili gotovo četvrtinu svih kibernetičkih napada. Popularnost Ransomwarea rezultat je opsežnih globalnih socioekonomskih čimbenika – od kojih svaki zajedno stvara sveprisutnu prijetnju vašoj organizaciji.

Faze napada ransomwarea

Od hipersloženih napada do iskorištavanja jednostavnih propusta, gotovo svaki napad ransomwarea odvija se kroz četiri do pet ključnih faza.

Faza 1: Iskorištavanje ranjivosti

Bilo da se radi o ranjivosti u dijelu vašeg tehnološkog paketa – ili o jednom previdu člana osoblja – primarna faza svakog napada ransomwarea neka je vrsta vektora pristupa. Često slaba karika mogu biti vaši vlastiti kolege (ili čak vi sami!). Phishing je jedan od najčešćih načina na koji se može provaliti u inače sigurne organizacije; to je ono što je omogućilo napadačima da pokrenu napad ransomwareom na britanske novine Guardian početkom 2023.

Drugi pokušaji infiltracije iskorištavaju zlonamjerna web-mjesta ili izravno napadaju ranjivosti softvera.

Faza 2: Oslobodite ŠTAKORA

Daljinski pristup najčešće se vidi u kontekstu tehničke podrške – s tim omogućenim, vaš IT tim može pomoći kolegama u njihovim svakodnevnim računalnim zadacima. Daljinska podrška omogućuje drugim korisnicima preuzimanje potpunih administrativnih povlastica, dajući im potpunu kontrolu nad svakim procesom na vašem računalu. RAT to iskrivljuje instaliranjem na računalo bez znanja korisnika.

Uobičajeno je da napadači koriste RAT-ove kao način zaobilaženja utvrđenih sigurnosnih mjera – dok antivirusna rješenja mogu identificirati ransomware pomoću jednostavnog otkrivanja potpisa datoteke, trojanca s daljinskim pristupom teže je otkriti prije implantacije. Korištenjem datoteka koje izgledaju legitimno, kao što su softverski paketi i videoigre, RAT nudi niz putova svakom spletkarskom napadaču, utirući put do sljedeće faze napada.

Faza 3: Izviđanje

S uporištem u žrtvinom sustavu, tada postaje moguće da napadač počne njuškati okolo. Primarni fokus stavljen je na razumijevanje lokalnih sustava, zajedno s domenom kojoj trenutno imaju pristup. Odatle se mogu slobodno početi kretati bočno. Ovo je mjesto gdje leži glavna slabost sigurnosti u stilu perimetra; ako se oslanja samo na jednu liniju obrane, bočno kretanje je znatno lakše – a eventualni napad širi. U ovom trenutku, međutim, napadač aktivno širi svoj nadzor nad sustavom i ugrožava sve više privilegirane račune, a pritom ostaje što je moguće skriveniji.

Faza 4: Eksfiltracija

Napadač je, u ovoj fazi, ušao u što više područja organizacije. Međutim, tek sada je poduzeta bilo kakva akcija koja izravno ide u korist napadačkoj skupini. Fokus se prebacuje na identifikaciju i ekstrakciju podataka – što osjetljivije, to bolje. Porast združenih napada iznude i ransomwarea zahvaljuje kontekstu današnjeg krajolika upravljanja prijetnjama. Povrede podataka dolaze s pozamašnim kaznama i naletom lošeg PR-a; iz perspektive napadača, ti se podaci također mogu prodati drugim područjima stroja za kibernetički kriminal. Do ovog trenutka napadači su uzeli još jednu žrtvu. Bez obzira na završnu fazu koja slijedi, vjerojatno će moći zaraditi novac koji žele.

Faza 5: Enkripcija

Konačno, nakon što su potajno izvukli TB podataka tvrtke – preko vjerodajnica za prijavu, osobnih podataka kupaca i intelektualnog vlasništva – kibernetički kriminalci mogu zadati posljednji udarac. Kriptografski ransomware probija se kroz svaku datoteku kojoj može pristupiti putem pogođenih mreža, kriptirajući u hodu. Napredni oblici nekih sojeva ransomwarea idu čak i dalje, onemogućujući značajke koje bi omogućile posljednje vraćanje sustava i brišu sve sigurnosne kopije na zaraženoj mreži. Međutim, ne šifrira svaki ransomware: neki će zaključati zaslon uređaja ili čak preplaviti korisnika neprestanim nizom skočnih prozora.

Naposljetku, nakon što uređaj i povezane datoteke postanu nedostupni, žrtva se obavještava o svojoj zloj sudbini putem poruke o otkupnini. To se često materijalizira kao .txt datoteka pohranjena na radnoj površini računala i sadrži upute o tome kako platiti otkupninu.

Tko je meta Ransomwarea?

Sa svakim uspješnim napadom, ransomware napadač postaje sve hrabriji, ciljajući industrije na načine koji uzrokuju najveću moguću bol. Posljednjih je godina jedno područje napadnuto s posebnom nemilosrdnošću: kritična infrastruktura.

Napad na dobavljača energije može rezultirati kvarom na mreži ili nedosljednom proizvodnjom energije u domovima, poslovnim zgradama ili drugim kritičnim pružateljima usluga. Elektrane, postrojenja za pročišćavanje vode, transportni sustavi i komunikacijske mreže bila su područja posebnog fokusa u posljednjih nekoliko godina. To je uglavnom rezultat velikih nedostataka skrivenih duboko unutar industrijskih kontrolnih sustava, koji se koriste za nadzor i kontrolu ovih kritičnih infrastrukturnih komponenti.

Schneider Electric i Siemens dva su industrijska upravljačka rješenja koja su napadačima već ponudila višelančane putove napada. Jedan nedavni primjer je greška koja utječe na mjerače snage ION i PowerLogic tvrtke Schneider Electric. Oni omogućuju praćenje energije organizacijama u sektoru proizvodnje, energije i vode; označen kao CVE-2022-46680, ovaj exploit je dobio strogu CVSS ocjenu od 8.8 od 10, i omogućuje akterima prijetnji pristup vjerodajnicama koje bi im pomogle u promjeni konfiguracijskih postavki i modificiranju firmvera.

Zašto se napadi ransomwarea šire?

Broj napada ransomwarea i dalje vrtoglavo raste – dijelom zbog promjene globalne ekonomije. Budući da je ransomware napad koji je često snažno financijski motiviran, socioekonomski problemi kao što su siromaštvo i imovinska nejednakost igraju veliku ulogu u njegovoj popularnosti. To se također ubrzalo u posljednjih nekoliko godina – dijelom zato što je ransomware sada najdostupniji ikada. Ambicioznim kibernetičkim kriminalcima više nije potrebno dubinsko razumijevanje mrežne sigurnosti. Umjesto toga, određeni programeri ransomwarea odlučuju podijeliti svoj zlonamjerni kod putem aranžmana ransomware-a-kao-usluge (RaaS). U ovoj postavci, kibernetički kriminalac djeluje kao podružnica, iskorištavajući unaprijed napisani kod i dijeleći dio žrtvine otkupnine s originalnim programerom. Ovaj simbiotski odnos pokazao se obostrano korisnim: podružnice mogu iskoristiti prednosti iznude bez potrebe za razvojem vlastitog zlonamjernog softvera, dok programeri mogu povećati svoju zaradu bez stavljanja u prve crte.

Konačni razlog porasta slučajeva ransomwarea su geopolitičke napetosti. To je pokretačka snaga tako masivnih kampanja protiv infrastrukturnih teškaša. Ideja o hakeru kojeg podupire država bila je izolirana za napad na aktere koje su izravno financirale zlonamjerne države. Sada su se vremena promijenila. S ruskom invazijom na Ukrajinu – i sve većom dostupnošću ransomwarea – nepovezani akteri prijetnji uključili su se s žarkim entuzijazmom. Kritična infrastruktura poput željeznice ponosno je zaustavljena – poput hakiranja bjeloruskih željeznica od strane Cyber Partizana, koje je orkestrirano u pokušaju da se spriječi kretanje ruskih vojnika.

Povijest napada ransomwarea

Počevši s eksperimentalnom disketom, ransomwareu je trebalo dosta vremena da se razvije u hiperagresivne napade s kojima se današnje organizacije suočavaju.

1989: Počeci niske tehnologije. Prvi dokumentirani ransomware bio je AIDS Trojan. Distribuirano putem disketa, rođenje ransomwarea ima zapanjujuće niske tehnološke korijene. Direktoriji datoteka na žrtvinom računalu bili su skriveni prije nego što je skočni prozor ransomwarea zahtijevao 189 dolara da ih otkrije. Međutim, budući da je šifrirao nazive datoteka, a ne stvarne datoteke, korisnici su na kraju mogli sami poništiti štetu.

2005: Pojavljuju se novi stilovi šifriranja. Nakon relativno malog broja napada ransomwarea početkom 2000-ih, počeo je val infekcija, uglavnom koncentriran u Rusiji i istočnoj Europi. Pojavile su se prve varijante koje su koristile asimetričnu enkripciju. Kako je noviji ransomware nudio učinkovitije metode za iznuđivanje novca, sve veći broj kibernetičkih kriminalaca počeo je širiti ransomware diljem svijeta.

2009: Plaćanja kojima se ne može pratiti pridružite se borbi. Pojava kriptovalute, posebice Bitcoina, omogućila je kibernetičkim kriminalcima mogućnost primanja isplata otkupnine kojima se ne može pratiti, što je rezultiralo sljedećim valom aktivnosti ransomwarea.

2013: CryptoLocker se dokazao. Moderna era ransomwarea počinje uvođenjem CryptoLockera, označavajući početak ransomware skripti temeljenih na enkripciji koje, nakon što se implementiraju, zahtijevaju od žrtve da izvrši plaćanje u kriptovaluti.

2015: RaaS je rođen. Varijanta ransomwarea Tox pionir je modela ransomware-a-kao-usluge (RaaS), omogućujući drugim kibernetičkim kriminalcima da lako pristupe i implementiraju ransomware za vlastite zlonamjerne svrhe.

2017.: WannaCry stiže na NHS. Pojava WannaCry označava prve naširoko korištene samoumnožavajuće kripto-crve, omogućujući brzo širenje ransomwarea kroz mreže i sustave.

2018.: Ryuk cilja na Wall Street Journal i LA Times. Ryuk stječe popularnost i uspostavlja koncept lova na veliku divljač u napadima ransomwarea, ciljajući organizacije visoke vrijednosti za veće isplate otkupnine.

2019: Dvostruka iznuda postaje norma. Dvostruki napadi ransomwarea počinju rasti. Većina incidenata ransomwarea kojima se bavi IBM Security Incident Response tim sada uključuje i enkripciju podataka i prijetnju da će ih razotkriti ako otkupnina ostane neplaćena.

2023: Otmica niti je sada popularna. Otmica niti se pojavljuje kao istaknuti vektor za ransomware, pri čemu se kibernetički kriminalci umeću u online razgovore svojih meta kako bi olakšali širenje ransomwarea i povećali svoje šanse za uspješnu iznudu.

Zašto jednostavno ne biste trebali platiti otkupninu

U 2019. većina žrtava ransomwarea na kraju je platila svojim napadačima. Međutim, u prvom kvartalu 2022. to se smanjilo. To je djelomično zahvaljujući ogromnom broju razloga koji se protive toj ključnoj isplati otkupnine.

Možda nećete dobiti ključ za dešifriranje

U prosjeku su 2021. organizacije koje su platile otkupninu dohvatile samo 61% svojih podataka. Broj organizacija koje su platile i naknadno primile sve svoje podatke iznosio je samo 4%. Nakon što su hakeri primili otkupninu, vaši im podaci i dalje vrijede novca – njihova prodaja i curenje nudi im još veći povrat ulaganja.

Mogli biste više puta dobiti zahtjeve za otkupninu

Ogromna većina žrtava koje plate više biva pogođena s više napada otkupninom. Vodeće izvješće iz 2022 analizirali što se događa nakon što organizacija jednostavno plati svojim napadačima i otkrili užasno visoke stope ponovnih prijestupa. Od svih žrtava koje su priznale da su platile otkupninu, njih 80% kasnije je drugi put pogođeno – od kojih je 68% doživjelo napade istog mjeseca s većim zahtjevom za otkupninu. Jedan od razloga za to je činjenica da se oni koji odluče platiti vide kao ranjive mete. 9% plaćeno treći put.

Uskoro biste mogli kršiti zakon

Američko ministarstvo financija već je objavilo savjetodavno upozorenje o budućim pravnim problemima. Biti uključen u plaćanja ransomwarea - bilo kao žrtva, cyber osiguravajuća tvrtka ili financijska institucija - moglo bi potencijalno prekršiti zakone koji se odnose na međunarodnu sigurnost. To je uvelike zahvaljujući posljednjoj točki koja naglašava ekonomsku stvarnost ransomwarea.

Vi financirate kriminalne aktivnosti

Uz svaku žrtvu koja plati, hakerske skupine mogu razviti još naprednije metode korištenja zlonamjernog softvera za infiltraciju u ranjivija poduzeća. Plaćanje otkupnine ne samo da pogoršava sam ransomware – nego izravno financira agresivne nacionalne države koje često financiraju takve javne i razorne napade.

S druge strane, što je više prepreka s kojima se hakeri susreću u svojim kriminalnim aktivnostima, smanjuju se šanse da će moći nastaviti nanositi štetu drugim tvrtkama.

Različite vrste Ransomwarea

Ransomware često ima različite oblike, i dok je ransomware koji se temelji na enkripciji jedan od češćih tipova, šifriranje osjetljivih podataka nije jedini način na koji se podaci organizacija mogu držati pod prijetnjom noža.

Scareware

Scareware je niskotehnološki rođak ransomwarea. Često će vidjeti kako zlonamjerni sadržaj pokreće poruku za koju se tvrdi da je od policije ili čak od legitimne infekcije virusom. Može uputiti korisnika na lažni antivirusni softver – natjerati žrtve da plate za privilegiju preuzimanja vlastitog ransomwarea.

Screenlockers

Ovaj oblik ransomwarea blokira korisnički pristup ne enkripcijom, već jednostavno sprječavajući korisnika da stupi u interakciju s bilo kojom od njegovih datoteka. Zaključavanje cijelog žrtvinog uređaja obično se postiže blokiranjem pristupa operativnom sustavu. Umjesto uobičajenog pokretanja, uređaj jednostavno prikazuje zahtjev za otkupninom.

brisači

Dok ransomware koji se temelji na enkripciji često mami žrtve na plaćanje obećanjem da će se sve vratiti u normalu, brisači imaju agresivniji pristup. Poruka o otkupnini prijeti da će uništiti sve podatke ako se ne plati. Čak iu slučajevima kada žrtve otkriju, podaci se bez obzira na to često brišu. Čisti destruktivni potencijal brisača čini ih posebno dobro iskorištenim alatom za aktere nacionalne države i haktiviste.

Popularne varijante Ransomwarea

U blatnom carstvu ransomwarea koji se neprestano razvija, varijante mogu biti ovdje u jednom trenutku, a već u sljedećem nestati. Četiri glavna igrača stupila su na scenu u posljednjem desetljeću, od kojih je svaki odigrao jedinstvenu ulogu u guranju ilegalne industrije na novi teren.

WannaCry

WannaCry je bio prvi istaknuti primjer kriptocrva – vrste ransomwarea koji se može širiti na druge uređaje unutar mreže. Ciljao je preko 200,000 računala u 150 zemalja, iskorištavajući ranjivost EternalBlue u sustavu Microsoft Windows koju administratori nisu uspjeli zakrpati. Osim šifriranja vrijednih podataka, WannaCry ransomware također predstavlja prijetnju brisanjem datoteka ako se uplata ne primi u roku od sedam dana.

Napad WannaCry jedan je od najvećih do sada zabilježenih incidenata ransomwarea, s procijenjenim troškovima dosegnuvši čak 4 milijarde dolara. Njegov utjecaj širokih razmjera i brzo širenje istaknuli su značajne posljedice koje nezakrpane ranjivosti i nemar administratora sustava mogu imati u slučaju takvih cyber prijetnji.

REVIL

REvil, također poznat kao Sodin ili Sodinokibi, odigrao je značajnu ulogu u popularizaciji modela Ransomware-as-a-Service (RaaS) za distribuciju ransomwarea. Ovaj pristup omogućuje drugim kibernetičkim kriminalcima pristup i korištenje REvil ransomwarea za vlastite zlonamjerne aktivnosti. REvil je postao poznat po svojoj umiješanosti u napade lova na veliku divljač i taktike dvostrukog iznuđivanja.

Godine 2021. REvil je bio odgovoran za značajne napade na JBS USA i Kaseya Limited. JBS, istaknuti pogon za preradu govedine u Sjedinjenim Državama, doživio je prekid koji je doveo do plaćanja otkupnine od 11 milijuna USD. Napad je utjecao na JBS-ove operacije prerade govedine u cijelom SAD-u. Kaseya Limited, pružatelj softvera, vidio je preko tisuću pogođenih korisnika zahvaljujući značajnom zastoju uzrokovanom napadom.

Početkom 2022. ruska Federalna služba sigurnosti izjavila je da je demontirala REvil i počela optuživati nekoliko njezinih članova za njihove zločine iz prošlosti.

Ryuk

Prvi put primijećen 2018., Ryuk ransomware predvodio je napade ransomwarea "velike igre" koji su posebno ciljali entitete visoke vrijednosti; njihovi zahtjevi za otkupninom redovito su prelazili milijun dolara. Ryuk je opremljen za ciljanje tako uspješnih organizacija zahvaljujući svojoj agresivnoj sposobnosti identificiranja i onemogućavanja sigurnosnih kopija datoteka i funkcionalnosti vraćanja sustava. Godine 2021. identificiran je novi soj Ryuka sa sposobnostima kripto-crva, čime se dodatno povećava njegova sposobnost brze i opsežne infekcije.

Tamna strana

DarkSide je varijanta ransomwarea za koju se vjeruje da upravlja skupina za koju se sumnja da se nalazi u Rusiji. DarkSide je 7. svibnja 2021. izveo značajan kibernetički napad na US Colonial Pipeline, koji se smatra dosad najtežim kibernetičkim napadom na kritičnu infrastrukturu u Sjedinjenim Državama. Kao posljedica napada, naftovod, odgovoran za opskrbu otprilike 45 posto goriva istočnoj obali SAD-a, privremeno je zatvoren.

Grupa DarkSide ne samo da provodi izravne napade ransomwarea, već i licencira svoj ransomware drugim podružnicama kibernetičkog kriminala, omogućujući grupi da proširi svoj doseg i profit.

Kako se zaštititi od ransomwarea

Ključno je temeljito istražiti izvor napada ransomwarea i poduzeti odgovarajuće mjere za rješavanje problema. Ako je napad nastao tako što je zaposlenik kliknuo na rizičnu poveznicu, važno je unaprijediti obuku zaposlenika u prepoznavanje phishing napada i naglašavaju važnost održavanja sigurnih, jedinstvenih zaporki, kao što su zaporke. Implementacija softvera za autentifikaciju u dva faktora za sve uređaje i zaposlenike može pružiti dodatni sloj zaštite.

Redovito ažuriranje softvera i hardvera ključno je za ublažavanje potencijalnih ranjivosti. Jačanje infrastrukture kibernetičke sigurnosti neophodno je kako biste držali korak s taktikama koje napadači stalno razvijaju. Redovito konfiguriranje vaše mreže može pomoći u presretanju zlonamjernog prometa i učiniti kriminalcima većim izazovom ciljanje vaše organizacije.

Prepoznavanje svih sigurnosnih propusta i njihovo brzo rješavanje je od vitalnog značaja. Svaki sigurnosni incident treba promatrati kao priliku za dobivanje uvida u ranjivosti infrastrukture i poboljšanje cjelokupnog sigurnosnog položaja. Sigurnost je stalan proces koji zahtijeva stalno testiranje i poboljšavanje kako biste bili ispred potencijalnih prijetnji.

Kako LayerX štiti od Ransomwarea

Kako je taktika ransomwarea postajala sve jača, ranjivosti koje utiru put napadačima su se promijenile. U isto vrijeme, preglednik je postao ključna komponenta modernog radnog prostora, kao i aplikacije koje se protežu od upravljanih do potpuno neodobrenih aplikacija. Sjedište između sigurnog okruženja zaštićene krajnje točke i svjetske mreže jedinstveno je sjecište ovih aplikacija – i slaba točka mnogih organizacija.

LayerX štiti imovinu koja je izvan kontrole sigurnosnog tima poduzeća uvođenjem duboke granularnosti. Ovo izdvaja sve aktivnosti koje mogu predstavljati rizik od preuzimanja ransomwarea ili RAT-a. Fokus na zaštitu na terenu omogućuje LayerX-u implementaciju s proširenjem preglednika za brzu instalaciju na razini korisničkog profila. Vidljivost na prvom mjestu korisnika kombinirana je s vodećom analizom u industriji na čelu LayerX-ovog oblaka prijetnji. Nakon proaktivne identifikacije visokorizičnih elemenata, LayerX-ovi elementi za provedbu djeluju odlučno – neutralizirajući svaku prijetnju široko rasprostranjene enkripcije bez prijetnje ometanja korisnika. Uz LayerX, organizacije mogu implementirati potpunu zaštitu na bilo kojem mjestu gdje korisnici pristupaju webu.

Sigurnost korištenja umjetne inteligencije

Sigurnost preglednika za tvrtke

Izvješće o sigurnosti LayerX Enterprise GenAI za 2025.

Partneri

O nama