O autorze
Kelvin Murray jest głównym badaczem zagrożeń w firmie Webroot.
Ransomware to złośliwe oprogramowanie, które przechowuje okup za dane. Obecnie zwykle wiąże się to z szyfrowaniem danych ofiary przed poproszeniem o pieniądze (zwykle kryptowalutę) w celu odszyfrowania. Ransomware rządzi światem szkodliwego oprogramowania od końca 2013 r., ale w zeszłym roku ostatecznie odnotował spadek. Ogólny spadek liczby złośliwego oprogramowania, a także ogólnie ulepszenia obronne wprowadzone w świecie komputerów (takie jak szerzej stosowane tworzenie kopii zapasowych) to czynniki, które przyczyniły się jednak również do tego, że zagrożenie to stało się bardziej konkretne i nieubłagane.
metody dostarczania
Kiedy po raz pierwszy pojawiło się oprogramowanie ransomware, było ono zwykle dystrybuowane za pośrednictwem ogromnych kampanii e-mailowych i zestawów operacyjnych. Konsumenci i użytkownicy biznesowi zostali dotknięci bez większej swobody uznania. Obecnie wielu przestępców korzystających z oprogramowania ransomware woli wybierać cele, aby zmaksymalizować swoje zyski. Prowadzenie działalności gospodarczej wiąże się z kosztami zarażania ludzi. Im większa grupa osób, do której chcesz dotrzeć, tym będzie to droższe.
Zestawy operacyjne
Samo odwiedzenie niektórych witryn może Cię zainfekować, nawet jeśli nie spróbujesz niczego pobrać. Zwykle odbywa się to poprzez wykorzystanie luk w oprogramowaniu używanym do przeglądania sieci, takim jak Twoja przeglądarka, Java lub Flash. Narzędzia do zarządzania treścią i programowania, takie jak WordPress i Microsoft Silverlight, również są częstymi źródłami luk w zabezpieczeniach. Jednak wiele programów i witryn internetowych jest zaangażowanych w przenoszenie infekcji w ten sposób. Większość tych prac znajduje się w zestawie exploitów, który można wypożyczyć przestępcom, aby pomóc im w rozprzestrzenianiu szkodliwego oprogramowania.
Wynajęcie zestawu operacyjnego może kosztować 1,000 euro miesięcznie. Ta metoda dostawy nie jest dla każdego. Tylko odpowiednio zmotywowani i finansowani cyberprzestępcy.
Eric Klonowski, starszy analityk ds. badań zagrożeń w firmie Webroot, powiedział: „Ponieważ koszty operacji wzrosły tak dramatycznie w ciągu ostatniej dekady, w dalszym ciągu obserwujemy spadek kosztów prowadzenia działalności. Korzystanie z okna 0-dniowego w środowisku naturalnym ( jako powiązany wyciek do celów prywatnych).
„Niewątpliwie podmioty państwowe będą w dalszym ciągu gromadzić je w celu wykorzystania w najbardziej dochodowych celach, mają jednak nadzieję, że ataki Shadowbrokerów ustaną”. Wyżej wymienione przecieki prawdopodobnie posłużyły wewnętrznie jako potężne narzędzie przebudzenia. mieć dostęp do tych mediów (lub być może tam, gdzie je pozostawiono).”
Operacje przeznaczone do wykorzystania zarówno przez złośliwe oprogramowanie, jak i zagrożenia internetowe są obecnie trudniejsze do wykonania, w związku z czym obserwujemy spadek liczby zestawów operacyjnych i wzrost kosztów operacji w środowisku naturalnym. Zagrożenie to nigdzie nie zmierza, ale maleje.
Kampanie e-mailowe
Wiadomości spamowe to świetny sposób na rozprzestrzenianie złośliwego oprogramowania. Są dobre dla przestępców, ponieważ mogą trafić miliony ofiar na raz. Jednak ominięcie filtrów poczty e-mail, utworzenie przekonującej wiadomości phishingowej, utworzenie narzędzia dropper i ogólnie ominięcie zabezpieczeń jest trudne do osiągnięcia na dużą skalę. Zarządzanie tak dużymi kampaniami wymaga pracy i doświadczenia, dlatego są drogie, podobnie jak zestaw operacyjny.
Ukierunkowane ataki
Prawdopodobieństwo, że ofiara zapłaci okup oraz jego wysokość zależy od wielu czynników, w tym:
- Kraj ofiary. PKB kraju ofiary jest skorelowany z sukcesem kampanii wyborczej, a ofiary z bogatszych krajów częściej płacą okup;
- Znaczenie zaszyfrowanych danych;
- Koszty związane z przestojami;
- Używany system operacyjny. Według danych Webroot użytkownicy systemu Windows 7 są dwa razy bardziej narażeni na ryzyko zagrożenia złośliwym oprogramowaniem niż użytkownicy systemu Windows 10.
- Niezależnie od tego, czy celem jest firma, czy osoba fizyczna. Klienci biznesowi chętniej płacą i to dużo.
Ponieważ prawdopodobieństwo powodzenia będzie się różnić w zależności od okoliczności celu, należy pamiętać, że istnieją sposoby zawężenia targetowania przy użyciu zestawów exploitów lub kampanii e-mailowych, ale ataki te są bardziej rozproszone niż inne, bardziej specyficzne ataki.
Protokół pulpitu zdalnego (RDP)
Remote Desktop Protocol (RDP) to popularny system firmy Microsoft, używany głównie przez administratorów do zdalnego łączenia się z serwerami i innymi punktami końcowymi. Jeśli są włączone przez złe ustawienia i zasady haseł, cyberprzestępcy mogą łatwo je zhakować. Naruszenia przepisów PDR nie są niczym nowym, ale niestety społeczność biznesowa (a zwłaszcza społeczność małych przedsiębiorstw) od lat ignorowała to zagrożenie.
Niedawno agencje rządowe w Stanach Zjednoczonych i Wielkiej Brytanii ostrzegały przed tym atakiem, którego można całkowicie uniknąć. Mniej wyrafinowani cyberprzestępcy mogą wykupić dostęp RDP do już zhakowanych maszyn w Dark Web. Dostęp do maszyn na głównych lotniskach widziano na czarnym rynku już za kilka dolarów.
phishing
Jeśli znasz swój cel, możesz dostosować e-mail specjalnie tak, aby go oszukać. Nazywa się to harpunem i jest niezwykle skuteczną techniką stosowaną w wielu przypadkach oprogramowania ransomware.
Modułowe złośliwe oprogramowanie
Modułowe złośliwe oprogramowanie atakuje system na różnych etapach. Po uruchomieniu na maszynie przeprowadzane są prace rozpoznawcze, zanim szkodliwe oprogramowanie wznowi komunikację ze swoją bazą i pobierze dodatkowe ładunki.
trickbot
Widzieliśmy także trojana Trickbot Modular Banking Trojan depozytujący oprogramowanie ransomware, takie jak Bitpaymer, na komputerach. Ostatnio wykorzystano go do przetestowania wartości firmy, zanim umożliwiono atakującym wdrożenie narzędzi zdalnego dostępu, a Ryuk (ransomware) w celu zaszyfrowania jej najcenniejszych informacji. Aktorzy stojący za tą kampanią Trickbot/Ryuk realizują wyłącznie duże, lukratywne cele, o których wiedzą, że mogą sparaliżować.
Sam Trickbot jest często porzucany przez inny modułowy program szkodliwego oprogramowania, Emotet.
Jakie są aktualne trendy?
Jak zauważono, wykorzystanie oprogramowania ransomware może spadać ze względu na zwiększone zabezpieczenia i zwiększoną świadomość zagrożenia, ale szerszą i godną uwagi tendencją jest ostrożniejsze poszukiwanie celów. wybrany. W ciągu ostatnich 2 lat rozszerzenia RDP były największym źródłem zgłoszeń oprogramowania ransomware do naszych zespołów pomocy technicznej. Są one całkowicie niszczycielskie dla osób nimi dotkniętych, za które często płaci się okup.
Modułowe złośliwe oprogramowanie polega na wyszukiwaniu celu przed podjęciem decyzji, czy należy go wykonać, czy nie, a zagrożenie to staje się zagrożeniem w ciągu ostatnich sześciu miesięcy.
automatyzacja
Kiedy mówimy o targetowaniu, prawdopodobnie zakładasz, że w sprawę zaangażowany jest człowiek. Jednak w miarę możliwości atak zostanie zaszyfrowany, aby uwolnić siłę roboczą. Złośliwe programy zazwyczaj rezygnują z uruchamiania, jeśli znajdują się w środowisku zwirtualizowanym lub jeśli na komputerach są zainstalowane narzędzia skanujące. Trickbot i Emotet wykorzystują płynną automatyzację, aby utrzymać działanie sieci zombie i rozprzestrzeniać się za pomocą skradzionych danych uwierzytelniających. Naruszenia PROW są łatwiejsze niż kiedykolwiek dzięki zautomatyzowanym procesom ukierunkowanym na cele do wykorzystania w Internecie. W przyszłości można spodziewać się coraz bardziej inteligentnej automatyzacji oprogramowania ransomware i innego złośliwego oprogramowania.
Co mogę zrobić?
- Zabezpiecz swój PROW;
- Użyj odpowiedniej polityki haseł. Jest to związane z zagrożeniami ransomware RDP i szczególnie dotyczy administratorów;
- Zaktualizuj wszystko;
- Zapisz wszystko. Czy ta kopia zapasowa jest fizycznie połączona z Twoim środowiskiem (np. na nośniku USB)? W takim przypadku złośliwe podmioty mogą łatwo zaszyfrować dane. Pamiętaj, aby utworzyć kopię zapasową poczty lotniczej lub poczty w chmurze.
- Jeśli uważasz, że padłeś ofiarą naruszenia, mogą być dostępne narzędzia deszyfrujące. Pomimo błyskotliwych wysiłków badaczy w zakresie odszyfrowania, udaje się to tylko w niektórych przypadkach.
Kelvin Murray jest głównym badaczem zagrożeń w firmie Webroot.