Ransomware-ul se află pe buzele tuturor, de fiecare dată când companiile discută despre amenințările cibernetice cu care se vor confrunta în 2021. Atacatorii și-au construit brand-urile și sunt mai încrezători în progresele lor ca niciodată, știrile despre organizații care au avut, deja, parte de atacuri ransomware în mod constant fiind pe primele pagini ale ziarelor. Dar, plasându-se sub lumina reflectoarelor, astfel de grupuri ascund complexitatea reală a ecosistemului ransomware.
Pentru a ajuta organizațiile să înțeleagă modul în care funcționează ecosistemul ransomware și cum să-l combată, cel mai recent raport al cercetătorilor Kaspersky, cuprinde detalii culese de pe forumurile darknet, o perspectivă asupra bandelor REvil și Babuk și nu numai, și demitizează unele dintre poveștile care circulă despre ransomware. Când vrei să descoperi mai multe despre această lume interlopă, trebuie să te aștepți că are multe fațete.
Ca orice industrie, ecosistemul ransomware cuprinde mulți jucători care își asumă diferite roluri. Contrar credinței că bandele de răscumpărare sunt de fapt bande – unite, au trecut prin toate situațiile împreună, grupări de tipul Godfather, realitatea este mai asemănătoare cu lumea din „The Gentlemen” a lui Guy Ritchie, cu un număr semnificativ de actori diferiți – dezvoltatori, botmasteri, vânzători de acces, operatori de ransomware – implicați în majoritatea atacurilor, furnizându-și servicii reciproc prin intermediul piețelor de pe dark web.
Acești actori se întâlnesc pe forumuri specializate darknet unde pot găsi anunțuri actualizate în mod regulat prin care se oferă servicii și parteneriate. Jucătorii importanți, implicați în atacurile mari, care își desfășoară activitatea pe cont propriu, nu frecventează astfel de site-uri, cu toate acestea, grupuri cunoscute, cum ar fi REvil, care au atacat din ce în ce mai multe organizații în ultimele trimestre, își publică ofertele și știrile în mod regulat, folosind programe afiliate. Acest tip de implicare presupune un parteneriat între operatorul grupului de ransomware și afiliat, cu operatorul de ransomware reținând o cotă de profit cuprinsă între 20-40%, în timp ce restul de 60-80% rămâne la afiliat.
REvil anunță o nouă capacitate de a organiza apeluri către mass-media și partenerii țintei pentru a pune o presiune suplimentară asupra achitării răscumpărării
Alegerea unor astfel de parteneri este un proces structurat, cu reguli de bază stabilite de operatorii de ransomware de la bun început – inclusiv restricții geografice și chiar puncte de vedere politice. În același timp, victimele ransomware-ului sunt selectate oportunist.
Întrucât persoanele care infectează organizațiile și cele care operează efectiv ransomware-ul sunt grupuri diferite, legate doar de dorința de a profita, cele mai multe organizații infectate sunt adesea ținte ușoare – în esență, cele la care atacatorii au reușit să aibă acces mai simplu. Ar putea fi atât atacatori care lucrează în cadrul programelor afiliate, cât și operatori independenți care vând ulterior accesul – într-o formă de licitație sau ca o soluție, începând de la 50 USD. Acești atacatori sunt, de cele mai multe ori, proprietari de botnets care lucrează la campanii de anvergură și vând accesul la echipamentele victimelor en gros alături de vânzători de acces care caută vulnerabilități dezvăluite public în software-ul conectat, cum ar fi dispozitivele VPN sau gateway-urile de e-mail, vulnerabilități pe care le pot folosi ulterior pentru a se infiltra în organizații.
Forumurile Ransomware găzduiesc și alte tipuri de oferte. Unii operatori de ransomware vând eșantioane de malware și constructori de ransomware pentru orice valoare cuprinsă între 300 la 4.000 USD, alții oferă Ransomware-as-a-Service – vânzarea de ransomware cu sprijin continuu din partea dezvoltatorilor săi, care poate varia de la 120 USD pe lună la 1.900 USD pachete anuale.
„În ultimii doi ani, am văzut cum infractorii cibernetici au devenit mai îndrăzneți în utilizarea ransomware-ului. Organizațiile vizate de astfel de atacuri nu se limitează la corporații și organizații guvernamentale – operatorii de ransomware sunt gata să intre în culisele oricărei companii, indiferent de dimensiune. Este clar că industria ransomware-ului în sine este una complex, care implică mulți actori diferiți cu roluri diferite. Pentru a lupta împotriva lor, trebuie să ne educăm cu privire la modul în care funcționează și să luptăm unitar împotriva lor. Ziua Anti-Ransomware este o bună oportunitate de a evidenția această nevoie și de a reaminti publicului cât de importantă este adoptarea unor practici de securitate eficiente. Programul global de criminalitate cibernetică al INTERPOL, împreună cu partenerii noștri, este hotărât să reducă impactul global al ransomware-ului și să protejeze comunitățile de daunele cauzate de această amenințare tot mai presantă”, comentează Craig Jones, Director or Cybercrime, INTERPOL.
„Ecosistemul ransomware este unul complex, cu multe interese în joc. Este o piață fluidă, cu mulți jucători, unii destul de oportunisti, alții – foarte profesioniști și avansați. Ei nu aleg ținte specifice, pot merge către orice organizație – o companie mare sau o afacere mică, atâta timp cât pot avea acces la ele. Mai mult, afacerile lor sunt înfloritoare, fapt care arată că nu vor dispărea prea curând”, comentează Dmitry Galov, cercetător în securitate la echipa globală de cercetare și analiză a Kaspersky. „Vestea bună este că utilizarea chiar și a unor măsuri de securitate destul de simple poate îndepărta atacatorii de organizații, așa că practicile standard, cum ar fi actualizări periodice de software și copii de rezervă, izolate, ajută, dar și există mult mai multe lucruri pe care organizațiile le pot face pentru a se proteja.”
„Acțiunile eficiente împotriva ecosistemului ransomware pot fi decise doar după ce fundamentele sale sunt înțelese cu adevărat. Cu acest raport, sperăm să facem lumină asupra modului în care atacurile ransomware sunt organizate cu adevărat, astfel încât comunitatea să poată stabili contramăsuri adecvate”, adaugă Ivan Kwiatkowski, cercetător principal în securitate la echipa globală de cercetare și analiză Kaspersky.
Aflați mai multe despre ecosistemul ransomware în raportul complet pe Securelist.
Pe 12 mai, de Ziua Anti-Ransomware, Kaspersky încurajează organizațiile să urmeze aceste bune practici care să le ajute să se protejeze împotriva ransomware-ului:
• Păstrați întotdeauna software-ul actualizat pe toate dispozitivele pe care le utilizați, pentru a preveni atacatorii să se infiltreze în rețeaua dumneavostră prin exploatarea vulnerabilităților.
• Concentrați-vă strategia de apărare pe detectarea mișcărilor laterale și exfiltrarea datelor pe internet. Acordați o atenție specială traficului de ieșire pentru a detecta conexiunile criminalilor cibernetici. Păstrați copii de rezervă offline, la care intrușii să nu aibă cum să ajungă. Asigurați-vă că le puteți accesa rapid în caz de urgență, atunci când este necesar.
• Activați protecția ransomware la întregul nivel endpoint. Soluția gratuită Kaspersky Anti-Ransomware Tool for Business protejează computerele și serverele de ransomware și alte tipuri de malware, previne exploit-urile și este compatibil cu soluțiile de securitate deja instalate.
• Instalați soluții anti-APT și EDR, permițând capabilități pentru descoperirea și detectarea avansată a amenințărilor, investigarea și remedierea la timp a incidentelor. Oferiți echipei dumneavoastră SOC acces la cele mai recente informații privind amenințările și la sesiuni regulate de pregătire profesională. Toate cele de mai sus sunt disponibile în cadrul Kaspersky Expert Security.
