Cyberprzestępcy rozpoczęli stosowanie nowych technik w atakach ransomware. Szyfrują tylko część danych i prowadzą ataki bezplikowe, dzięki czemu mogą dłużej unikać wykrycia. Aby zwiększyć presję na zapłacenie okupu celują też w tworzone przez firmy kopie zapasowe danych. Po włamaniu do sieci ofiary hakerzy sprzedają dostęp do niej kolejnym grupom prowadzącym ataki ransomware – w ubiegłym roku takich ofert pojawiło się na forach cyberprzestępczych ponad 1300.
Na skróty:
Szyfrowanie przerywane nową metodą ataku
Po przedostaniu się do firmowej sieci przestępcy muszą wykraść i zaszyfrować jak najwięcej danych, zanim zostaną wykryci. Szyfrowanie zasobów ofiary wymaga jednak czasu, a im dłużej atakujący są w sieci, tym większe ryzyko, że zostaną namierzeni. Dlatego stosują nową technikę przerywanego szyfrowania. Na celownik biorą tylko wycinki danych – wystarczająco małe, żeby utrzymywać niskie zużycie procesora i uniknąć namierzenia, ale na tyle duże, aby z plików nie dało się korzystać bez klucza deszyfrującego. Aby zyskać na czasie, zmieniają pory dnia i ilość szyfrowanych zasobów, dzięki czemu ich działania nie są wychwytywane przez zautomatyzowane mechanizmy ochronne. Jednocześnie mogą szybciej uszkadzać pliki ofiary, zwiększając presję na zapłacenie okupu.
Aby zwiększyć swoją skuteczność oraz utrudniać firmom reagowanie, przestępcy łączą też w jednym skoordynowanym ataku kilka technik: spam, phishing, spoofing (podszywanie się pod kogoś w celu zyskania zaufania) i inne socjotechniczne mechanizmy manipulacyjne. W unikaniu wykrycia pomagają ataki bezplikowe, które polegają na infekowaniu urządzeń oprogramowaniem ransomware bez umieszczania na nich jakichkolwiek plików, z wykorzystaniem jedynie znanych, zaufanych narzędzi. W ten sposób często atakowane są instytucje państwowe – przestępcy mogą pozostać niewykryci, jeśli unikają używania nazw procesów lub skrótów plików, które zostały wcześniej przez zespół IT oznaczone jako niebezpieczne.
Podwójne wymuszenia zyskują na popularności
Cyberprzestępczość stała się usługą. Hakerzy atakują wzajemnie swoje ofiary – ci, którzy włamują się do sieci firmy jako pierwsi, sprzedają następnie dostęp do jej systemu i danych kolejnym grupom ransomware, a sami koncentrują się na wymuszaniu okupu. Jak podaje firma KELA, w 2021 roku na najważniejszych monitorowanych forach cyberprzestępczych pojawiło się ponad 1300 takich ofert.
Wielu cyberprzestępców po udanym ataku nie tylko szyfruje, ale też wykrada i niszczy dane oraz ich kopie zapasowe dostępne online lub słabo zabezpieczone. Takie paraliżowanie zdolności firmy do odzyskania zasobów dodatkowo zwiększa presję na zapłacenie okupu. Celem tego typu ataków są często firmy z branży finansowej, medycznej i instytucje sektora publicznego, w przypadku których atak może wpłynąć na działanie infrastruktury krytycznej.
Tradycyjna ochrona wciąż najskuteczniejsza
Wciąż najlepsze są tradycyjne, a często zaniedbywane metody ochrony, czyli regularne aktualizowanie aplikacji oraz systemów. Zmniejsza to prawdopodobieństwo, że przestępcom uda się uzyskać dostęp do danych – nawet 80% ataków ransomware wykorzystuje znane luki w zabezpieczeniach. Nie mniej istotna jest cyberedukacja dotycząca właściwych nawyków w całej firmie. Każdy użytkownik powinien potrafić rozpoznawać typowe metody ataków, wiedzieć jak na nie zareagować i do kogo należy się zgłosić.
Celem przestępców coraz częściej staje się również backup, dlatego szczególnie ważna staje się weryfikacja strategii tworzenia kopii zapasowych, które odpowiednio zabezpieczą dane. Według raportu Veeam Data Protection Trends Report 2022, nawet 9 na 10 firm nie jest w stanie odzyskać przynajmniej części skradzionych zasobów. Konieczne jest posiadanie trzech kopii zapasowych, na co najmniej dwóch różnych nośnikach, zaś jedna powinna znajdować się poza terenem firmy, być odizolowana od sieci oraz niezmienialna. Kopie zapasowe powinny też być pozbawione błędów i zweryfikowane pod kątem gwarancji odzyskania w razie awarii.
Nie mniej istotny jest plan wznawiania działalności po awarii. Warto przeprowadzić symulację ataku i przećwiczyć scenariusz awaryjny oraz zaplanowane kroki. Analiza tych działań w praktyce to najlepszy sposób na zidentyfikowanie potencjalnych luk w planie, a także zapoznanie wszystkich pracowników z ich rolą czy narzędziami, których mogą potrzebować. Pozwoli też lepiej odnaleźć się w momencie wystąpienia incydentu, który wiąże się zazwyczaj z koniecznością reagowania w sytuacji wysokiego stresu.
Autor: Rick Vanover, dyrektor ds. strategii produktowej w Veeam
Źródła:
Raporty firmy KELA:
https://ke-la.com/wp-content/uploads/2022/06/KELA-RESEARCH-RANSOMWARE-VICTIMS-AND-NETWORK-ACCESS-SALES-IN-Q1-2022.pdf
https://ke-la.com/from-initial-access-to-ransomware-attack-5-real-cases-showing-the-path-from-start-to-end/