Ransomware je oblika zlonamerne programske opreme, ki prevzame nadzor nad podatki ali napravo žrtve in ji postavi grozen ultimat: ali plačajte odkupnino ali se soočite s posledicami. Ne glede na to, ali gre za dolgotrajno blokado ali obsežno uhajanje podatkov, je grožnja skoraj vedno dovolj velika, da žrtve prepriča v plačilo.
Naš IBM Security X-Force Threat Intelligence Index leta 2023 razkriva, da so lani napadi z izsiljevalsko programsko opremo predstavljali skoraj četrtino vseh kibernetskih napadov. Priljubljenost izsiljevalske programske opreme je posledica obsežnih globalnih socialno-ekonomskih dejavnikov – vsak od njih skupaj ustvarja vedno prisotno grožnjo vaši organizaciji.
Faze napada z izsiljevalsko programsko opremo
Od hiperkompleksnih napadov do izkoriščanja preprostih spregledov se skoraj vsak napad z izsiljevalsko programsko opremo odvija v štirih do petih ključnih fazah.
1. stopnja: izkoriščanje ranljivosti
Ne glede na to, ali gre za ranljivost v delu vašega tehnološkega sklada – ali za en sam spregled člana osebja – je primarna stopnja vsakega napada z izsiljevalsko programsko opremo neke vrste vektor dostopa. Pogosto so lahko šibki člen vaši sodelavci (ali celo vi!). Lažno predstavljanje je eden najpogostejših načinov vdora v sicer varne organizacije; to je napadalcem omogočilo, da so v začetku leta 2023 sprožili napad z izsiljevalsko programsko opremo na časopis Guardian s sedežem v Združenem kraljestvu.
Drugi poskusi infiltracije izkoriščajo zlonamerna spletna mesta ali neposredno napadajo ranljivosti programske opreme.
2. stopnja: Sprostite PODGANO
Oddaljeni dostop je najpogosteje viden v kontekstu tehnične podpore – če je ta omogočen, lahko vaša IT ekipa pomaga kolegom pri njihovih vsakodnevnih računalniških nalogah. Oddaljena podpora omogoča drugim uporabnikom, da prevzamejo popolne skrbniške privilegije, kar jim daje popoln nadzor nad vsakim procesom v vašem računalniku. RAT to pokvari tako, da se namesti v računalnik brez vednosti uporabnika.
Za napadalce je običajno, da uporabljajo RAT-je kot način za obhod uveljavljenih varnostnih ukrepov – medtem ko lahko protivirusne rešitve prepoznajo izsiljevalsko programsko opremo s preprostim zaznavanjem podpisa datoteke, je trojanca z oddaljenim dostopom težje odkriti pred vsaditvijo. RAT se ukvarja z zakonitimi datotekami, kot so programski paketi in video igre, in ponuja različne poti vsakemu spletkarskemu napadalcu, s čimer utira pot do naslednje stopnje napada.
3. stopnja: Izvidovanje
Z oporiščem v sistemu žrtve lahko napadalec začne vohljati naokoli. Primarni poudarek je na razumevanju lokalnih sistemov, skupaj z domeno, do katere imajo trenutno dostop. Od tam se lahko začnejo premikati bočno. Tu je glavna slabost varovanja perimetra; če se zanašate le na eno samo obrambno linijo, je bočno gibanje veliko lažje – in morebitni napad širše. Na tej točki pa napadalec aktivno širi svoj nadzor nad sistemom in ogroža vse bolj privilegirane račune, medtem ko ostaja čim bolj prikrit.
Faza 4: Eksfiltracija
Napadalec je na tej stopnji dosegel čim več področij organizacije. Šele zdaj pa so bili sprejeti kakršni koli ukrepi, ki neposredno koristijo napadalni skupini. Poudarek se preklopi na prepoznavanje in ekstrakcijo podatkov – bolj ko je občutljivo, tem bolje. Porast združenih napadov izsiljevanja in izsiljevalske programske opreme je posledica konteksta današnjega okolja upravljanja groženj. Kršitve podatkov so povezane z visokimi denarnimi kaznimi in nizom slabega PR-ja; z vidika napadalca se ti podatki lahko prodajo tudi drugim področjem stroja za kibernetski kriminal. Do tega trenutka so napadalci zahtevali še eno žrtev. Ne glede na zadnjo fazo, ki sledi, bodo verjetno sposobni zaslužiti denar, ki ga iščejo.
5. stopnja: Šifriranje
Končno lahko kibernetski kriminalci po prikritem črpanju TB podatkov podjetja – prek poverilnic za prijavo, osebnih podatkov strank in intelektualne lastnine – zadajo še zadnji udarec. Kriptografska izsiljevalska programska oprema si prebija pot skozi vsako datoteko, do katere lahko dostopa prek prizadetih omrežij, in sproti šifrira. Napredne oblike nekaterih sevov izsiljevalske programske opreme gredo še dlje, saj onemogočijo funkcije, ki bi omogočile zadnjo obnovitev sistema, in izbrišejo vse varnostne kopije v okuženem omrežju. Vendar pa vsa izsiljevalska programska oprema ne šifrira: nekatere bodo zaklenile zaslon naprave ali celo preplavile uporabnika z neskončno množico pojavnih oken.
Nazadnje, ko so naprava in z njo povezane datoteke nedostopne, je žrtev obveščena o svoji slabi usodi prek obvestila o odkupnini. To se pogosto materializira kot datoteka .txt, shranjena na namizju računalnika, in vsebuje navodila za plačilo odkupnine.
Kdo je tarča izsiljevalske programske opreme?
Z vsakim uspešnim napadom postaja napadalec izsiljevalske programske opreme drznejši in cilja na industrije na načine, ki povzročajo največ možne bolečine. V zadnjih letih je bilo eno področje tarča s posebno neusmiljenostjo: kritična infrastruktura.
Napad na ponudnika energije lahko povzroči okvaro omrežja ali nedosledno proizvodnjo energije v domovih, poslovnih zgradbah ali drugih kritičnih ponudnikih storitev. Elektrarne, čistilne naprave, transportni sistemi in komunikacijska omrežja so bila v zadnjih nekaj letih področja, na katerih se je posebna pozornost posvetila. To je v veliki meri posledica večjih napak, skritih globoko v industrijskih nadzornih sistemih, ki se uporabljajo za spremljanje in nadzor teh kritičnih komponent infrastrukture.
Schneider Electric in Siemens sta dve industrijski nadzorni rešitvi, ki sta napadalcem že ponudili večverižne napadalne poti. Eden nedavnih primerov je napaka, ki vpliva na merilnike moči Schneider Electric ION in PowerLogic. Ti zagotavljajo spremljanje energije organizacijam v proizvodnem, energetskem in vodnem sektorju; označeno kot CVE-2022-46680, je to izkoriščevanje prejelo resno oceno CVSS 8.8 od 10 in akterjem groženj omogoča dostop do poverilnic, ki bi jim pomagale spremeniti konfiguracijske nastavitve in spremeniti vdelano programsko opremo.
Zakaj se napadi izsiljevalske programske opreme širijo?
Število napadov z izsiljevalsko programsko opremo še naprej skokovito narašča – deloma zaradi spreminjajočega se svetovnega gospodarstva. Ker je izsiljevalska programska oprema napad, ki je pogosto močno finančno motiviran, imajo družbenoekonomski problemi, kot sta revščina in neenakost premoženja, pomembno vlogo pri njeni priljubljenosti. Tudi to se je v zadnjih nekaj letih pospešilo – deloma zato, ker je izsiljevalska programska oprema zdaj najbolj dostopna, kar jih je kdaj bilo. Prizadevni kiberkriminalci ne potrebujejo več poglobljenega razumevanja varnosti omrežja. Namesto tega se določeni razvijalci izsiljevalske programske opreme odločijo deliti svojo kodo zlonamerne programske opreme prek dogovorov o izsiljevalski programski opremi kot storitvi (RaaS). V tej nastavitvi kibernetski kriminalec deluje kot podružnica, pri čemer uporablja vnaprej napisano kodo in deli del žrtvinega plačila odkupnine s prvotnim razvijalcem. To simbiotično razmerje se izkaže za obojestransko koristno: podružnice lahko izkoristijo prednosti izsiljevanja, ne da bi jim bilo treba razviti lastno zlonamerno programsko opremo, medtem ko lahko razvijalci povečajo svoj dobiček, ne da bi se postavili v prve bojne vrste.
Končni razlog za porast primerov izsiljevalske programske opreme so geopolitične napetosti. To je gonilna sila tako množičnih kampanj proti infrastrukturnim velikanom. Zamisel o hekerju, ki ga podpira država, je bila včasih izolirana za napad na akterje, ki so jih neposredno financirale zlonamerne države. Zdaj so se časi spremenili. Z rusko invazijo na Ukrajino – in vse večjo dostopnostjo izsiljevalske programske opreme – so se nepovezani akterji groženj vključili z gorečim navdušenjem. Kritična infrastruktura, kot je železnica, je bila ponosno ustavljena – kot je vdor Cyber Partisans v beloruske železnice, ki je bil orkestriran v poskusu preprečitve gibanja ruskih vojakov.
Zgodovina napadov izsiljevalske programske opreme
Začenši s poskusno disketo, je izsiljevalska programska oprema potrebovala veliko časa, da se je razvila v hiperagresivne napade, s katerimi se soočajo današnje organizacije.
1989: Nizkotehnološki začetki. Prva dokumentirana izsiljevalska programska oprema je bil trojanec AIDS. Rojstvo izsiljevalske programske opreme, ki se distribuira prek disket, izvira iz osupljivo nizke tehnologije. Datotečni imeniki v računalniku žrtve so bili skriti, preden je pojavno okno z izsiljevalsko programsko opremo zahtevalo 189 USD, da jih razkrije. Ker pa je šifriral imena datotek in ne dejanskih datotek, so lahko uporabniki sčasoma sami odpravili škodo.
2005: Pojavijo se novi stili šifriranja. Po razmeroma majhnem številu napadov z izsiljevalsko programsko opremo v zgodnjih 2000-ih se je začel porast okužb, predvsem v Rusiji in vzhodni Evropi. Pojavile so se prve različice, ki so uporabljale asimetrično šifriranje. Ker je novejša izsiljevalska programska oprema ponudila učinkovitejše metode za izsiljevanje denarja, je vse več kiberkriminalcev začelo širiti izsiljevalsko programsko opremo po vsem svetu.
2009: Nesledljiva plačila se pridružite spopadu. Pojav kriptovalute, zlasti bitcoina, je kiberkriminalcem omogočil prejemanje neizsledljivih plačil odkupnine, kar je povzročilo naslednji val aktivnosti izsiljevalske programske opreme.
2013: CryptoLocker se je izkazal. Sodobna doba izsiljevalske programske opreme se začne z uvedbo CryptoLockerja, ki označuje začetek skriptov izsiljevalske programske opreme, ki temeljijo na šifriranju in od žrtve zahtevajo plačilo v kriptovaluti.
2015: RaaS je rojen. Različica izsiljevalske programske opreme Tox je pionir v modelu izsiljevalske programske opreme kot storitve (RaaS), ki drugim kiberkriminalcem omogoča enostaven dostop in namestitev izsiljevalske programske opreme za lastne zlonamerne namene.
2017: WannaCry doseže NHS. Pojav WannaCry pomeni prve široko uporabljene samopodvajajoče se kriptočrve, ki omogočajo hitro širjenje izsiljevalske programske opreme po omrežjih in sistemih.
2018: Ryuk cilja na Wall Street Journal in LA Times. Ryuk pridobiva na priljubljenosti in uvaja koncept lova na veliko divjad v napadih z izsiljevalsko programsko opremo, ki cilja na organizacije z visoko vrednostjo za večja izplačila odkupnine.
2019: Dvojno izsiljevanje postane norma. Dvojni napadi izsiljevalske programske opreme začnejo naraščati. Večina incidentov z izsiljevalsko programsko opremo, ki jih obravnava IBM-ova ekipa za odzivanje na varnostne incidente, zdaj vključuje tako šifriranje podatkov kot grožnjo, da jih razkrijete, če odkupnina ostane neplačana.
2023: Ugrabitev niti je zdaj priljubljena. Ugrabitev niti se kaže kot pomemben vektor za izsiljevalsko programsko opremo, pri čemer se kiberkriminalci vmešajo v spletne pogovore svojih tarč, da olajšajo širjenje izsiljevalske programske opreme in povečajo svoje možnosti za uspešno izsiljevanje.
Zakaj ne bi smeli preprosto plačati odkupnine
Leta 2019 je večina žrtev izsiljevalske programske opreme na koncu plačala svojim napadalcem. Vendar se je v prvem četrtletju leta 2022 to zmanjšalo. To je deloma posledica velikega števila razlogov, ki nasprotujejo izplačilu te ključne odkupnine.
Morda ne boste dobili ključa za dešifriranje
V povprečju so leta 2021 organizacije, ki so plačale odkupnino, pridobile le 61 % svojih podatkov. Število organizacij, ki so plačale in nato prejele vse svoje podatke, je bilo pičlih 4 %. Ko hekerji prejmejo odkupnino, so vaši podatki zanje še vedno vredni denarja – njihova prodaja in razkritje jim nudi še večjo donosnost naložbe.
Morda boste večkrat prejeli zahteve po odkupnini
Velika večina žrtev, ki plačajo, je v nadaljevanju prizadeta z več napadi z odkupnino. Vodilno poročilo iz leta 2022 analiziral, kaj se zgodi po tem, ko organizacija preprosto plača svojim napadalcem, in odkril strašansko visoke stopnje ponovnih kaznivih dejanj. Od vseh žrtev, ki so priznale, da so plačale odkupnino, jih je bilo 80 % pozneje napadenih drugič – 68 % jih je bilo napadenih še isti mesec z višjo zahtevo po odkupnini. Eden od razlogov za to je dejstvo, da so tisti, ki se odločijo plačati, obravnavani kot ranljive tarče. 9 % plačano tretjič.
Morda boste kmalu kršili zakon
Ministrstvo za finance ZDA je že objavilo svetovalno opozorilo o prihodnjih pravnih težavah. Če ste vpleteni v plačila z izsiljevalsko programsko opremo – kot žrtev, kibernetska zavarovalnica ali finančna institucija – bi lahko kršili zakone o mednarodni varnosti. To je v veliki meri posledica zadnje točke, ki poudarja gospodarsko realnost izsiljevalske programske opreme.
Financirate kriminalne dejavnosti
Z vsako žrtvijo, ki plača, lahko hekerske skupine razvijejo še naprednejše metode uporabe zlonamerne programske opreme za infiltracijo v bolj ranljiva podjetja. Plačilo odkupnine ne samo poslabša izsiljevalsko programsko opremo – ampak neposredno financira agresivne nacionalne države, ki pogosto financirajo takšne javne in moteče napade.
Po drugi strani pa je več ovir, s katerimi se srečujejo hekerji pri svojih kriminalnih dejavnostih, manjše možnosti, da bodo še naprej škodovali drugim podjetjem.
Različne vrste izsiljevalske programske opreme
Izsiljevalska programska oprema je pogosto v različnih oblikah in čeprav je izsiljevalska programska oprema, ki temelji na šifriranju, ena pogostejših vrst, šifriranje občutljivih podatkov ni edini način, na katerega je mogoče podatke organizacij držati na udaru.
Zastrašujoče programske opreme
Scareware je nizkotehnološki bratranec izsiljevalske programske opreme. Ti bodo pogosto videli zlonamerno koristno obremenitev, ki zažene sporočilo, ki trdi, da je od organov kazenskega pregona ali celo od zakonite okužbe z virusom. Uporabnika lahko usmeri na lažno protivirusno programsko opremo, zaradi česar žrtve plačajo za privilegij prenosa lastne izsiljevalske programske opreme.
Zaklepanja zaslona
Ta oblika izsiljevalske programske opreme blokira uporabniški dostop ne s šifriranjem, ampak tako, da uporabniku preprosto prepreči interakcijo s katero koli od njegovih datotek. Zaklepanje celotne naprave žrtve se običajno doseže z blokiranjem dostopa do operacijskega sistema. Namesto da bi se naprava zagnala kot običajno, naprava preprosto prikaže zahtevo po odkupnini.
Brisalci
Medtem ko izsiljevalska programska oprema, ki temelji na šifriranju, pogosto zvabi žrtve v plačilo z obljubo, da se bo vse vrnilo v normalno stanje, imajo brisalci bolj agresiven pristop. Odkupnina bo grozila z uničenjem vseh podatkov, če ne bo plačana. Tudi v primerih, ko žrtve ponagajajo, se podatki pogosto izbrišejo ne glede na to. Zaradi samega uničujočega potenciala brisalcev so še posebej dobro izkoriščeno orodje za akterje nacionalnih držav in haktiviste.
Priljubljene različice izsiljevalske programske opreme
V blatnem, nenehno razvijajočem se kraljestvu izsiljevalske programske opreme so lahko različice v enem trenutku tu, v naslednjem pa jih ni več. V zadnjem desetletju so na sceno vstopili štirje glavni akterji, od katerih je vsak odigral edinstveno vlogo pri potiskanju nezakonite industrije na nov teren.
WannaCry
WannaCry je bil prvi viden primer kriptočrva – vrste izsiljevalske programske opreme, ki se lahko razširi na druge naprave v omrežju. Ciljal je na več kot 200,000 računalnikov v 150 državah, pri čemer je izkoristil ranljivost EternalBlue v sistemu Microsoft Windows, ki je skrbniki niso uspeli popraviti. Poleg šifriranja dragocenih podatkov je izsiljevalska programska oprema WannaCry predstavljala tudi grožnjo za brisanje datotek, če plačilo ni bilo prejeto v roku sedmih dni.
Napad WannaCry velja za enega največjih incidentov z izsiljevalsko programsko opremo, zabeleženih do danes, z ocenjenimi stroški dosegel kar 4 milijarde USD. Njegov obsežen vpliv in hitro širjenje sta poudarila pomembne posledice, ki jih lahko imajo nepopravljene ranljivosti in malomarnost sistemskih skrbnikov ob takšnih kibernetskih grožnjah.
REVIL
REvil, imenovan tudi Sodin ali Sodinokibi, je imel pomembno vlogo pri popularizaciji modela Ransomware-as-a-Service (RaaS) za distribucijo izsiljevalske programske opreme. Ta pristop omogoča drugim kiberkriminalcem dostop do izsiljevalske programske opreme REvil in njeno uporabo za lastne zlonamerne dejavnosti. REvil je zaslovel zaradi svoje vpletenosti v napade na lov na veliko divjad in taktike dvojnega izsiljevanja.
Leta 2021 je bil REvil odgovoren za pomembne napade na JBS USA in Kaseya Limited. JBS, ugledno podjetje za predelavo govejega mesa v Združenih državah, je prišlo do motenj, ki so privedle do plačila odkupnine v višini 11 milijonov USD. Napad je vplival na predelavo govejega mesa JBS po vseh ZDA. Kaseya Limited, ponudnik programske opreme, je videl več kot tisoč prizadetih strank zaradi znatnih izpadov, ki jih je povzročil napad.
V začetku leta 2022 je ruska zvezna varnostna služba izjavila, da je razbila REvil in začela obtoževati več njenih članov za njihove pretekle zločine.
Ryuk
Izsiljevalska programska oprema Ryuk, ki so jo prvič opazili leta 2018, je vodila napade »izsiljevalske programske opreme za velike igre«, ki ciljajo posebej na entitete visoke vrednosti; njihove zahteve po odkupnini so redno presegale milijon dolarjev. Ryuk je opremljen za ciljanje na tako uspešne organizacije, zahvaljujoč svoji agresivni sposobnosti prepoznavanja in onemogočanja varnostnih kopij datotek in funkcij obnovitve sistema. Leta 2021 je bil identificiran nov sev Ryuk z zmožnostmi kriptočrva, kar je dodatno povečalo njegovo sposobnost hitre in obsežne okužbe.
Temna stran
DarkSide je različica izsiljevalske programske opreme, ki naj bi jo upravljala skupina, za katero se sumi, da ima sedež v Rusiji. 7. maja 2021 je DarkSide izvedel pomemben kibernetski napad na ameriški Colonial Pipeline, ki velja za najhujši kibernetski napad na kritično infrastrukturo v ZDA doslej. Zaradi napada je bil začasno zaprt naftovod, ki je odgovoren za dobavo približno 45 odstotkov goriva vzhodni obali ZDA.
Skupina DarkSide ne izvaja samo neposrednih napadov z izsiljevalsko programsko opremo, temveč tudi licencira svojo izsiljevalsko programsko opremo drugim podružnicam kibernetskega kriminala, kar skupini omogoča razširitev dosega in dobička.
Kako se zaščititi pred izsiljevalsko programsko opremo
Ključnega pomena je, da temeljito raziščete vir napada izsiljevalske programske opreme in sprejmete ustrezne ukrepe za rešitev težave. Če je napad izviral iz tega, ker je zaposleni kliknil tvegano povezavo, je pomembno izboljšati usposabljanje zaposlenih v prepoznavanje lažnih napadov in poudarjajo pomen vzdrževanja varnih, edinstvenih gesel, kot so gesla. Izvedba programske opreme za dvostopenjsko avtentikacijo za vse naprave in zaposlene lahko zagotovi dodatno raven zaščite.
Redno posodabljanje programske in strojne opreme je bistveno za ublažitev morebitnih ranljivosti. Okrepitev infrastrukture kibernetske varnosti je nujna, da sledite nenehno razvijajočim se taktikam, ki jih uporabljajo napadalci. Redno konfiguriranje vašega omrežja lahko pomaga pri prestrezanju zlonamernega prometa in kriminalcem oteži napad na vašo organizacijo.
Ključnega pomena je prepoznavanje morebitnih varnostnih vrzeli in njihova takojšnja odprava. Na vsak varnostni incident je treba gledati kot na priložnost za pridobitev vpogleda v ranljivosti infrastrukture in izboljšanje splošnega varnostnega položaja. Varnost je stalen proces, ki zahteva nenehno preizkušanje in izboljšave, da ostanemo pred morebitnimi grožnjami.
Kako LayerX ščiti pred izsiljevalsko programsko opremo
Ko je taktika izsiljevalske programske opreme vse močnejša, so se ranljivosti, ki utirajo pot napadalcem, spremenile. Istočasno je brskalnik postal osrednja komponenta sodobnega delovnega prostora, tako kot aplikacije, ki segajo od upravljanih do popolnoma nedovoljenih aplikacij. Sedenje med varnim okoljem zaščitene končne točke in svetovnim spletom je edinstveno presečišče teh aplikacij – in šibka točka mnogih organizacij.
LayerX ščiti sredstva, ki so izven nadzora varnostne ekipe podjetja, z uvedbo globoke razdrobljenosti. To izpostavlja vse dejavnosti, ki lahko predstavljajo tveganje prenosa izsiljevalske programske opreme ali RAT. Osredotočenost na zaščito na terenu omogoča LayerX uvajanje z razširitvijo brskalnika za hitro namestitev na ravni uporabniškega profila. Vidnost, ki je na prvem mestu uporabnika, je združena z analizo, ki je vodilna v panogi, na čelu LayerX-ovega oblaka za obveščanje o grožnjah. Pri proaktivni identifikaciji elementov z visokim tveganjem elementi za uveljavljanje LayerX delujejo odločno – nevtralizirajo vsako grožnjo razširjenega šifriranja brez grožnje motenj pri uporabniku. Z LayerX lahko organizacije uvedejo popolno zaščito povsod, kjer uporabniki dostopajo do spleta.