În anul ce a trecut, știrile despre gravitatea atacurilor de tip ransomeware ce au ținut cap de afiș sunt rezultatul a ceea ce putem descrie doar un salt evolutiv al acestui tip de atac cibernetic. Criminalii cibernetici au transformat amenințarea de criptare a fișierelor într-un instrument destul de complicat – și toate semnele arată că tendința evoluționistă continuă.
Înainte de 2020
În zilele „bune”, victimele ransomeware-urilor au fost predominant ocazionale. Criminalii cibernetici foloseau spamul la scară largă, sperând să găsească cel puțin un utilizator cu fișiere importante pe computer sau care ar deschide un atașament rău intenționat.
Însă situația s-a schimbat. Din ce în ce mai mult, listele aleatoare ale spam-ului au fost înlocuite cu adresele special recoltate ale angajaților companiilor aflate online. Autorii și-au dat seama în mod clar că atacurile afacerilor erau mai profitabile. Conținutul mesajelor s-a modificat și în consecință: în loc să se comporte ca o corespondență personală, mesajele păreau acum să vină de la parteneri, clienți și servicii fiscale.
2017
În 2017, situația s-a schimbat din nou, de dată această radical. Două epidemii la scară largă care au cauzat pagube de milioane de dolari au arătat că ransomware-ul ar putea fi folosit în alte scopuri decât extorcarea. Primul, notabilul WannaCry, a fost un „trailblazer tehnologic”. Acest program de ransomware a exploatat o vulnerabilitate în implementarea protocolului SMB în Windows. A fost o vulnerabilitate care fusese deja rezolvată, dar multe companii nu se deranjau să instaleze patch-urile. Iar acesta era abia începutul.
WannaCry nu a avut succes pe parte de răscumpărare. În ciuda infectării a sute de mii de mașini, WannaCry a adus numai creșteri modeste creatorilor. Unii cercetători au început să se întrebe dacă obiectivul erau banii sau dacă ar putea fi în schimb un sabotaj sau dorința de distrugere a datelor.
Următoarea amenințare a șters orice îndoială. ExPetr nu era chiar capabil să recupereze date criptate – era un ștergător deghizat in ransomware. În plus, s-a folosit o nouă modalitate de înșelătorie. Folosind un atac de supplychain, creatorii au reușit să compromită o bucată de software contabil ucrainean numit MeDoc, expunând aproape orice companie care face afaceri în Ucraina riscului de infecție.
2018
Evenimentele de până acum din acest an arată că ransomware-ul continuă să evolueze. Experții din domeniul securității cibernetice au investigat recent o amenințare destul de nouă, ultima modificare a ransomware-ului SynAck. Aceștia au constatat că această modificare conține mecanisme complexe de combatere a tehnologiilor de protecție, semne ale unui atac orientat. Măsurile de contracarare includ:
Aplicarea unei metode de duplicare a proceselor cunoscută sub numele de Process Doppelgänging pentru a încerca să treacă un proces rău intenționat ca legitim;
Obfuscarea codului executabil înainte de compilare;
Verificarea pentru a se asigura că nu este depistat într-un mediu controlat;
Închiderea proceselor și serviciilor pentru a asigura accesul la fișiere importante;
Eliminarea jurnalelor de evenimente pentru a împiedica analiza post-incident.
Nu există niciun motiv să credem că evoluția ransomware-ului este completă. Creatorii săi vor continua să caute modalități de îmbunătățire a acestuia.
Singura modalitate de a pune capăt dezvoltării ransomware-ului este de a face atacurile ineficiente. Și asta necesită cele mai noi tehnologii de vârf.
Însă chiar dacă utilizați soluțiile corporative ale unei companii de securitate cibernetică, acesta nu este un motiv pentru a va lăsa datele neprotejate.
Comentarii