BezpieczeństwoWzrost liczby ataków ransomware z poczwórnym wymuszeniem i jak się przed nimi chronić > redakcja Opublikowane 29 września 20230 0 96 Podziel się Facebook Podziel się Twitter Podziel się Google+ Podziel się Reddit Podziel się Pinterest Podziel się Linkedin Podziel się Tumblr Wszyscy słyszeliśmy już o ransomware, ale czy wiesz, jakie są najnowsze taktyki, które stosują cyberprzestępcy, aby zmusić ofiary do zapłaty? Dawno minęły już czasy, gdy atak szyfrujący jedynie blokował pliki, a następnie wyświetlał żądanie okupu w kryptowalucie w zamian za klucz odszyfrowujący zablokowane pliki. Obecnie cyberprzestępcy często stosują dodatkowe taktyki, aby wywrzeć presję na swoich ofiarach i upewnić się, że nawet jeśli ich ofiara potrafi przywrócić działalność po ataku szyfrującym, nadal będzie mieć ważny powód, aby zapłacić okup.W tym artykule przedstawimy, co sprawia, że te nowe taktyki są tak niebezpieczne oraz wyjaśnimy, jak możesz ochronić przed nimi swoją firmę.Rozwój ataków ransomwareDziałalność gangów ransomware sprawiła, że ataki stały się bardziej wyrafinowane i bardziej szkodliwe dla organizacji. Terminy: podwójne, potrójne i poczwórne wymuszenie są używane do opisania ewoluujących taktyk wykorzystywanych przez cyberprzestępców do wyłudzania pieniędzy od swoich ofiar – nawet jeśli atakowane organizacje są w stanie przywrócić krytyczne dane i powrócić do działalności po ataku szyfrującym. Pierwsze trzy z tych taktyk stają się coraz bardziej powszechne i dokonano wielu analiz ich rzeczywistego zastosowania.Ransomware z pojedynczym wymuszeniem, czyli tradycyjny atak, podczas którego szyfruje się pliki ofiary, a następnie żąda okupu za ich odszyfrowanie. Ofiary zazwyczaj nie mogą pokonać silnego szyfrowania użytego do zablokowania ich plików bez opłacenia okupu w zamian za klucz odszyfrowywania. Ta taktyka została ostatnio osłabiona przez skuteczne wykorzystanie ochrony danych w postaci dobrze wdrożonych i przetestowanych technologii i procesów tworzenia kopii zapasowych w celu odzyskania zaszyfrowanych systemów i danych. Ponadto zwiększona współpraca między organami ścigania, dostawcami technologii i społecznością użytkowników w zakresie udostępniania kluczy deszyfrujących odkrytych w odpowiedzi na wcześniejsze ataki, umożliwia niektórym ofiarom odszyfrowanie plików bez płacenia okupu.• Ransomware o podwójnym wymuszeniuto ataki, które są coraz częściej stosowaną taktyką opracowaną w reakcji na rosnącą skuteczność przywracania danych z kopii zapasowych i wznowienia działalności bez płacenia okupu. Ta taktyka opiera się na potajemnej eksfiltracji dużej ilości poufnych danych ofiary stosowanej przez atakujących przed uruchomieniem ataku szyfrującego. Żądanie okupu zawiera teraz groźbę publicznego ujawnienia danych, jeśli ofiara nie zapłaci okupu. Może to być niezwykle skuteczna metoda, ponieważ ujawnienie danych może doprowadzić do wielu negatywnych konsekwencji takich jak utrata zaufania klientów i partnerów, pogorszenie kursu akcji spółki notowanej na giełdzie, ujawnianie informacji wrażliwych z punktu widzenia konkurencji, np. niezapowiedziane plany dotyczące produktów, sprzedaży i marketingu oraz ujawnianie kłopotliwych informacji, takich jak poufne wiadomości e-mail. Firmy w branżach regulowanych mogą również podlegać sankcjom, np. RODO w Unii Europejskiej wymaga, aby każda firma z klientami będącymi rezydentami UE chroniła prywatność i dostępność danych klientów. Norma zgodności HIPAA nakłada grzywny na dostawców usług medycznych z siedzibą w USA, którzy nie chronią prywatności danych pacjentów.• Ransomware z potrójnym wymuszeniem – ataki te przenoszą zagrożenie podwójnego wymuszenia na inny poziom: atakujący kontaktuje się z klientami i partnerami ofiary, informując, że ich wrażliwe dane znajdujące się w posiadaniu ofiary mogą również zostać publicznie ujawnione. Atakujący sugerują, że ci klienci i partnerzy powinni skontaktować się z ofiarą ataku i zachęcić ją do zapłacenia okupu, aby nie ponieśli oni podobnych konsekwencji z powodu publicznego ujawnienia własnych danych.Jak wyglądają etapy wymuszenia ransomwarePodsumujmy stosowanie tych taktyk w kolejności:Ransomware z pojedynczym wymuszeniem• Przestępcy stosujący ransomware uzyskują wstępny dostęp, naruszając zewnętrzne mechanizmy obronne ofiary, aby zainstalować złośliwe oprogramowanie szyfrujące, najczęściej za pośrednictwem wiadomości e-mail wyłudzającej informacje, w której niczego niepodejrzewający użytkownik klika w złośliwe łącze lub załącznik. To złośliwe oprogramowanie potajemnie szyfruje pliki systemu ofiary, a następnie żąda zapłaty okupu w kryptowalucie (lub, co zdarza się rzadziej, w innym trudnym do wyśledzenia środku płatniczym, takim jak detaliczna karta podarunkowa) w zamian za klucz odszyfrowywania.• Bardziej wyrafinowane wersje ransomware mogą rozprzestrzeniać się w sieci lokalnej pierwszej ofiary, szyfrując inne komputery stacjonarne, laptopy i serwery. Wiele wersji wyszukuje i szyfruje archiwa kopii zapasowych, kopie w tle i inne zasoby, których można użyć do przywrócenia zaszyfrowanych plików.Atak z podwójnym wymuszeniem• Przed uruchomieniem ataku szyfrującego przestępcy potajemnie eksfiltrują dużą ilość poufnych danych, zwykle kopiując je na zewnątrz na kontrolowany przez siebie serwer w chmurze. Może to obejmować taktykę „Living off the land” (LotL), w której atakujący przejmuje narzędzie informatyczne zwykle używane do pożytecznych celów (np. oprogramowanie do tworzenia kopii zapasowych), aby sprawić, że eksfiltracja będzie trudniejsza do wykrycia. Następnie przechodzą do fazy szyfrowania ataku.• Żądanie okupu, prezentowane po zablokowaniu docelowych plików, zawiera teraz groźbę publicznego ujawnienia poufnych danych ofiary, jeśli okup nie zostanie zapłacony.Atak z potrójnym wymuszeniem• Po przeprowadzeniu faz ataku z podwójnym wymuszeniem operator ransomware kontaktuje się z klientami i partnerami ofiary, informując ich, że posiada wrażliwe dane na ich temat, które również zostaną ujawnione, jeśli ofiara nie zapłaci okupu. Te „ofiary dodatkowe” są zachęcane do kontaktowania się z organizacją, która padła ofiarą ataku, nakłaniania jej do zapłacenia okupu i ochrony ich informacji.Atak z poczwórnym wymuszeniem• Oprócz taktyk opisanych w powyższych trzech atakach, żądanie okupu zawiera także groźbę wyłączenia publicznych serwerów ofiary za pomocą rozproszonego ataku typu „odmowa usługi” (DDoS), jeśli ofiara nie zapłaci okupu.Obecnie najczęściej spotykane są taktyki z pojedynczym i podwójnym wymuszeniem, przy czym coraz częściej stosuje się potrójne wymuszenie. Atak z poczwórnym wymuszeniem jest najrzadszą z tych taktyk, chociaż ostatnie analizy bezpieczeństwa cybernetycznego wskazują na jej rosnącą popularność, ponieważ atakujący szukają nowych sposobów zapewnienia i przyspieszenia wpłaty okupu.Ataki ransomware to więcej niż szyfrowaniePojawienie się nowych taktyk wymuszania w atakach ransomware sprawia, że wzmocnienie mechanizmów obronnych firmy staje się niezwykle pilną potrzebą, aby zapobiec skutecznym atakom ransomware oraz zapewnić możliwość przywrócenia działalności po ataku, jeśli mechanizmy obronne zostaną złamane.Warto zauważyć, że gangsterzy korzystający z ransomware są bardzo wyrachowani i atakują firmy o każdej wielkości, w każdym regionie i z każdej branży. Niektóre branże są preferowanymi celami, na przykład instytucje służby zdrowia staną w obliczu konsekwencji życia i śmierci, jeśli krytyczne systemy ulegną awarii; instytucje finansowe podlegają wielu branżowym i rządowym reżimom regulacyjnym; instytucje edukacyjne cierpią z powodu napiętych budżetów, a studenci nie dbają o kwestie cyberbezpieczeństwa; firmy technologiczne narażone są na większe szkody wizerunkowe, jeśli wyjdzie na jaw, że padły ofiarą cyberprzestępców. Jednak skuteczne ataki zdarzają się w każdym sektorze, a małe i średnie przedsiębiorstwa padają ofiarą 75% skutecznych ataków, ponieważ organizacjom tym często brakuje zasobów i umiejętności, aby zapewnić skuteczną obronę cybernetyczną i przeprowadzać sprawne operacje przywracania działalności.Ostatnie badania i doniesienia prasowe podkreślają rosnącą częstotliwość, wyrafinowanie i skalę ataków ransomware:• Ataki DDoS powiązane z ransomware wzrosły o 29% w czwartym kwartale 2021 r. według raportu Cloudflare opublikowanego w styczniu.• Bandwidth.com, globalna firma zajmująca się komunikacją w chmurze, poinformowała o stratach wynoszących między 9 a 12 mln USD z powodu ataku DDoS. Był to tylko jeden z wielu ataków na firmy obejmujących nawet wielomilionowe żądania okupu.• Platforma Register poinformowała, że brytyjski VoIP Unlimited otrzymał „żądanie kolosalnego okupu” w następstwie ataku DDoS, a kanadyjski dostawca VOIP.MS otrzymał żądanie okupu DDoS wynoszące 4,2 mln USD. Przywrócenie obsługi klienta zajęło firmie prawie dwa tygodnie.• Grupa ransomware o nazwie BlackCat stosuje techniki z poczwórnym wymuszeniem, aby zmusić ofiary do zapłacenia okupu. Ostatnio grupa ta zwiększyła swoje stawki do 2,5 mln USD.Ponieważ nie wszystkie ataki ransomware są zgłaszane, trudno jest oszacować średnią wysokość okupu związanego z ransomware. Koszt różni się znacznie w zależności od wielkości i charakteru atakowanej organizacji, ilości zaszyfrowanych danych i żądania okupu. Jednak łączna kwota wynosi obecnie dziesiątki miliardów USD rocznie.Strategie ochrony przed ransomware z poczwórnym wymuszeniemAby zmniejszyć ryzyko ataku ransomware, firmy muszą inwestować zarówno w zabezpieczenia cybernetyczne, jak i środki ochrony danych, aby mieć pewność, że mogą nie tylko odeprzeć ataki, lecz również szybko przywrócić działalność po ataku.Kompleksowy plan obrony w celu zminimalizowania ryzyka utraty danych i przestojów spowodowanych atakami ransomware obejmuje następujące kroki:• Regularne tworzenie kopii zapasowych danych. Pamiętaj, aby przechowywać kopie zapasowe w bezpiecznym miejscu, które nie jest połączone z siecią. Zapewni to możliwość przywrócenia danych nawet w przypadku naruszenia bezpieczeństwa sieci.• Wprowadź środki ochrony takie jak filtrowanie e-maili, blokowanie spamu, uwierzytelnianie wieloskładnikowe i uniwersalne klucze deszyfrujące, aby zmniejszyć szanse na dotarcie złośliwych wiadomości e-mail do skrzynek pocztowych pracowników.• Upewnij się, że całe oprogramowanie – w tym systemy operacyjne, przeglądarki internetowe i aplikacje – jest aktualne i ma zainstalowane najnowsze poprawki bezpieczeństwa. Uniemożliwi to atakującym wykorzystanie znanych luk w celu uzyskania dostępu do systemów.• Używaj oprogramowania antywirusowego i chroniącego przed złośliwym oprogramowaniem, aby wykrywać ataki ransomware i zapobiegać im. Aktualizuj oprogramowanie antywirusowe i chroniące przed złośliwym oprogramowaniem za pomocą najnowszych definicji wirusów.• Wdrażaj środki bezpieczeństwa sieci, takie jak zapory sieciowe, systemy wykrywania włamań i zapobiegania włamaniom oraz segmentacja sieci, aby uniemożliwić atakującym uzyskanie dostępu do systemów.• Wdróż środki anty-DDoS, aby zmniejszyć ryzyko ataków na serwery publiczne.• Edukuj pracowników w zakresie ryzyka ataków ransomware i sposobów ich unikania. Naucz ich, jak rozpoznawać e-maile wyłudzające informacje i podejrzane linki oraz zgłaszać wszelkie podejrzane ataki.• Przygotuj plan reagowania na incydenty na wypadek ataku ransomware. Powinno to obejmować kroki mające na celu odizolowanie zainfekowanych systemów, odłączenie ich od sieci i powiadomienie organów ścigania. Ważne jest również posiadanie planu przywracania danych z kopii zapasowych.Obroń się przed atakami ransomware za pomocą Acronis Cyber ProtectAcronis Cyber Protect to zintegrowane rozwiązanie do ochrony cybernetycznej, które pomaga chronić firmy przed wszystkimi rodzajami ransomware. Wykorzystuje połączenie uczenia maszynowego i sztucznej inteligencji do wykrywania i blokowania ataków ransomware, zapewniając jednocześnie opcje odzyskiwania w przypadku ataku.Acronis Cyber Protect wykrywa i blokuje ataki ransomware przy użyciu wielowarstwowego podejścia. Heurystyka i wykrywanie oparte na sygnaturach identyfikują znane zagrożenia ransomware, a analiza behawioralna i technologie uczenia maszynowego mogą wykryć nawet nigdy wcześniej nie zidentyfikowane zagrożenia. Rozwiązanie wykorzystuje sztuczną inteligencję do monitorowania zmian w zachowaniu, które mogą wskazywać na zbliżający się atak.W przypadku ataku, Acronis Cyber Protect umożliwia kilka opcji odzyskania danych. Może na przykład przywracać pojedyncze pliki lub foldery, które zostały zaszyfrowane, oraz całe systemy. Oferuje również możliwość cofnięcia zmian dokonanych przez ransomware, dzięki czemu można wrócić do poprzedniej wersji danych sprzed ataku.
