Oprogramowanie ransomware jest niezmiennie obecne w krajobrazie zagrożeń i rośnie w siłę do tego stopnia, że niektóre organizacje uwzględniają już koszty takiego ataku w swoich rocznych budżetach. Badanie Internet Security Report – Q4 2022 wskazuje, że wykrycia ransomware na urządzeniach końcowych wzrosły w 2022 roku aż o 627% w porównaniu z poprzednim rokiem.
Mimo że atak ransomware może zdarzyć się w każdym przedsiębiorstwie, bez względu na branżę, najbardziej dotknięty w ubiegłym roku okazał się sektor produkcyjny. Ataki ransomware na przedsiębiorstwa przemysłowe wzrosły o 87%, jak wynika z raportu Dragos ICS / OT Cybersecurity Year in Review 2022.
Ewolucja ransomware
Wraz z doskonaleniem technik cyberprzestępców zmieniał się charakter ataków ransomware. W przeciągu zaledwie jednego roku, od 2021 do 2022 r. średni czas przeprowadzenia ataku spadł z dwóch miesięcy do mniej niż czterech dni. Jednak kiedy tak naprawdę po raz pierwszy pojawił się ten rodzaj cyberataku i jak ewoluował w zagrożenie znane nam dzisiaj?
1989
Pierwszy atak ransomware miał miejsce po konferencji Światowej Organizacji Zdrowia poświęconej AIDS. Wtedy to Joseph Poppa — doktor nauk biologicznych rozesłał 20 tysięcy dyskietek oznaczonych jako “AIDS Information Introductory Diskette” do badaczy. Nośniki były zainfekowane ransomwarem, który szyfrował wszystkie pliki na dysku C ofiar. Oprogramowanie żądało okupu w wysokości 189 dolarów. Według Poppa suma miała służyć do finansowania badań nad AIDS.
2004-2006
W 2004 roku kampania phishingowa ze złośliwymi linkami zainfekowała ofiary atakiem znanym jako GPCode Archievius. Szyfrował on pliki w systemach Windows i żądał 20 dolarów za klucz deszyfrujący. Ataki trwały aż do 2006 r., kiedy to atakujących zgubiła… niewłaściwa higiena haseł. Jak się okazało, każdy deszyfrator korzystał z tego samego hasła, aż ofiary odkryły ten błąd.
2010-2015
Wraz z początkiem zainteresowania kryptowalutami pojawiło się oprogramowanie typu locker ransomware. WinLock infekował użytkowników, którzy odwiedzali złośliwe strony internetowe i blokował dostęp do ich urządzeń. Z kolei w 2012 r. pojawiła się pierwszy raz usługa ransomware-as-a-service (RaaS) ze złośliwym oprogramowaniem Reveton. Napastnicy przy jego wykorzystaniu podszywali się w wiadomościach pod organy ścigania i grozili użytkownikom ofiarom więzieniem, jeśli nie zapłacą okupu w Bitcoinach. W 2013 roku pojawił się CryptoLocker, który przyniósł autorom ponad 27 milionów dolarów w płatnościach okupu w pierwszych dwóch miesiącach. Wraz z SimpleLockerem w 2014 roku oprogramowanie szantażujące trafiło z komputerów na inne urządzenia, w tym przypadku z systemem Android. W 2015 roku popularność zyskał LockerPin, który również celował w urządzenia mobilne, blokując użytkownikom dostęp do swoich urządzeń i zmieniając ich PIN.
2016-2017
Złośliwe oprogramowanie Petya było pierwszym wariantem, który nie szyfrował poszczególnych plików, ponieważ, jak się okazało, szybciej można było zablokować cały dysk twardy swoich ofiar.
Niedługo później oprogramowanie szyfrujące stało się problemem globalnym, ze względu na robaka WannaCry. Zainfekował on setki tysięcy maszyn w ponad 150 krajach. Wtedy też pojawił się wariant NotPetya, zawierający nowe funkcje umożliwiające usuwanie i niszczenie plików ofiar.
2018-2022
W ciągu ostatnich pięciu lat oprogramowanie szantażujące ewoluowało najmocniej, stając się tym samym szkodliwe, jak nigdy wcześniej. Wśród czynników, które wpłynęły na tę transformację, należy wymienić podwójne wymuszanie okupu, gdzie atakujący nie tylko szyfrują, ale również kradną dane swoich ofiar. Ponadto warto wspomnieć również o “big game hunting”, czyli polowaniu w szczególności na duże firmy. Tendencja ta jednak nie wyklucza ataków wymuszających okup na mniejsze firmy, które obserwujemy już od dawna.
2022-2023
Rok 2022 był rekordowym rokiem pod względem wykryć ransomware. Badacze WatchGuard są zdania, iż to grupa Lockbit jest bez wątpienia liderem jeśli chodzi o skuteczność naruszeń bezpieczeństwa w sieciach korporacyjnych. Ponadto nieustannie pojawiają się nowe warianty złośliwego oprogramowania Lockbit.
Obecnie dominującym trendem w dziedzinie oprogramowania szyfrującego jest ransomware-as-a-service (RaaS). Usługi takie oferują różnorodne funkcje, jak np. customizacja oprogramowania, dostęp do wsparcia czy wybór preferowanego sposobu płatności okupu. Aktualnie najbardziej popularnym wektorem ataku są exploity zero-day.
Technologie takie jak sztuczna inteligencja i uczenie maszynowe również zdobywają popularność wśród cyberprzestępców. Sprawia to, że oprogramowanie szyfrujące staje się bardziej wyszukane i trudniejsze do wykrycia. Atakujący wykorzystują automatyzację, w celu zmniejszenia ryzyka błędów ludzkich. Dzieje się to zwłaszcza na etapie penetracji, który zazwyczaj wymaga znacznych nakładów czasu i wysiłku.
Inny trend, który zyskuje na popularności, to personalizacja ataków, gdzie aktorzy dokładnie analizują profil swoich ofiar i budują wokół niego strategię wdrażania złośliwego oprogramowania. Wszystkie te czynniki mają ogromny wpływ na branżę cyberbezpieczeństwa.
Jak ważna jest ochrona punktów końcowych?
Aby zwalczać ransomware, niezbędne jest podjęcie zdecydowanych kroków. Organizacje powinny skupić się na zaawansowanych mechanizmach kontroli bezpieczeństwa, które będą w stanie proaktywnie zapobiegać incydentom. Równie ważne jest posiadanie solidnego planu ciągłości działania i odzyskiwania po incydencie.
Zastosowanie kompleksowego rozwiązania bezpieczeństwa endpointów, które łączy funkcje ochrony przed zagrożeniami (EPP) i detekcji zdarzeń (EDR), posiada wiele zalet w zwalczaniu zaawansowanych zagrożeń, takich jak ransomware. Dzięki ciągłemu monitorowaniu endpointów możliwe jest wykrywanie i klasyfikowanie wszelkich aktywności, co z kolei umożliwia identyfikację i blokowanie podejrzanych zachowań użytkowników, maszyn oraz procesów.
Rozwiązanie WatchGuard EPDR spełnia te wymagania, automatyzując jednocześnie procesy zapobiegania, wykrywania, ograniczania i reagowania na zaawansowane zagrożenia. Dzięki temu umożliwia aktywne wykrywanie nowych technik i taktyk stosowanych przez cyberprzestępców. Jest to szczególnie istotne w kontekście ciągłej ewolucji ransomware i rosnącego poziomu jego skomplikowania.
Zabezpiecz swoją organizację przed ewolucją ransomware! Skontaktuj się z nami i dowiedz się więcej o rozwiązaniu EPDR WatchGuard – TUTAJ.
Może zainteresować Cię również: Jak w 2023 będziemy bronić się przed ransomware? – Blog Net Complex
Źródło: https://www.watchguard.com/wgrd-news/blog/ransomware-detections-endpoints-increase-627
Grafika: kerfin7, freepik
Redaktorka Net Complex Blog