Οι επιθέσεις ransomware έχουν μετασχηματιστεί σε μεγάλο βαθμό, από σχετικά μυστικές και ερασιτεχνικές σε πλήρως ανεπτυγμένες επιχειρήσεις με διακριτικά σήματα και στυλ που ανταγωνίζονται η μία την άλλη στο dark web.
Συνολικά, συνεχίζουν να αναπτύσσονται και να πετυχαίνουν παρά την ανάσχεση μερικών από τις πιο διαβόητες από αυτές. Βρίσκουν ασυνήθιστους τρόπους να επιτίθενται στα θύματά τους ή να καταφεύγουν σε newsjacking, κάνοντας με αυτόν τον τρόπο τις επιθέσεις τους πιο επίκαιρες. Οι ειδικοί της Kaspersky παρακολουθούν πάντα τις δραστηριότητες των ομάδων ransomware και, στο πλαίσιο της Ημέρας κατά του Ransomware (12 Μαΐου), έχουν δημοσιεύσει μια έκθεση που καλύπτει τις νέες τάσεις του ransomware όπως εντοπίστηκαν το 2022.
Σύμφωνα με την έκθεση, η πρώτη τάση που χαρακτηρίζει πλέον τις ομάδες ransomware είναι η παραγωγική χρήση των cross-platform δυνατοτήτων. Αυτήν την περίοδο, έχουν ως στόχο να βλάψουν όσο το δυνατόν περισσότερα συστήματα με το ίδιο κακόβουλο λογισμικό διαμορφώνοντας έναν κώδικα που μπορεί να εκτελεστεί ταυτόχρονα σε διάφορα λειτουργικά συστήματα. Η Conti, μία από τις πιο ενεργές ομάδες ransomware, έχει αναπτύξει μία παραλλαγή, η οποία διανέμεται μέσω επιλεγμένων θυγατρικών και στοχεύει το Linux. Κατά τα τέλη του 2021, η Rust και η Golang, γλώσσες προγραμματισμού για ανταλλαγή πληροφοριών μεταξύ πλατφορμών, έγιναν πιο διαδεδομένες. Η BlackCat, μια αυτοαποκαλούμενη “next-generation” συμμορία κακόβουλου λογισμικού που φέρεται να έχει επιτεθεί σε περισσότερους από 60 οργανισμούς από τον Δεκέμβριο του 2021, έγραψε το κακόβουλο λογισμικό της στη Rust. Η Golang χρησιμοποιήθηκε σε ransomware από το DeadBolt, μία ομάδα διαβόητη για τις επιθέσεις της στο QNAP.
Επιπλέον, κατά τα τέλη του 2021 και στις αρχές του 2022, οι ομάδες ransomware συνέχισαν τις δραστηριότητές τους προκειμένου να διευκολύνουν τις επιχειρηματικές τους διαδικασίες, συμπεριλαμβανομένης της τακτικής αλλαγής ονομασίας για να αποσπάσουν την προσοχή των αρχών, καθώς και να ανανεώσουν τα εργαλεία διαφυγής τους. Ορισμένες ομάδες ανέπτυξαν και εφάρμοσαν πλήρεις εργαλειοθήκες που έμοιαζαν με εκείνες που έχουν διαμορφωθεί από νόμιμες εταιρείες λογισμικού. Το Lockbit ξεχωρίζει ως ένα αξιοσημείωτο παράδειγμα της εξέλιξης μιας συμμορίας ransomware. Ο οργανισμός μπορεί να υπερηφανεύεται για μια σειρά από βελτιώσεις σε σύγκριση με τους αντιπάλους του, συμπεριλαμβανομένων τακτικών ενημερώσεων και επισκευών στην υποδομή του. Εισήγαγε επίσης για πρώτη φορά το StealBIT, ένα προσαρμοσμένο εργαλείο ransomware που επιτρέπει την απόσπαση δεδομένων στις υψηλότερες ταχύτητες όλων των εποχών – ενδεικτικό σημάδι της προσπάθειας που κατέβαλε η συγκεκριμένη ομάδα για την ταχύτατη διαμόρφωση κακόβουλου λογισμικού.
Η τρίτη τάση που έχουν παρατηρήσει οι ειδικοί της Kaspersky προκύπτει ως αποτέλεσμα της γεωπολιτικής κατάστασης που έχει διαμορφωθεί από τον πόλεμο στην Ουκρανία, η οποία έχει επηρεάσει σημαντικά το τοπίο του ransomware. Παρόλο που οι επιθέσεις αυτές συνδέονται συνήθως με φορείς APT (Advanced Persistent Threat), η Kaspersky εντόπισε ορισμένες σημαντικές δραστηριότητες σε forum για εγκλήματα στον κυβερνοχώρο και δράσεις από ομάδες ransomware ως απάντηση στην τρέχουσα κατάσταση. Λίγο μετά την έναρξη του πολέμου, διάφορες ομάδες ransomware διάλεξαν πλευρά, γεγονός που οδήγησε σε πολιτικά υποκινούμενες επιθέσεις από ορισμένες συμμορίες ransomware για την υποστήριξη της Ρωσίας ή της Ουκρανίας. Ένα από τα κακόβουλα λογισμικά που ανακαλύφθηκε πρόσφατα κατά τη διάρκεια της σύγκρουσης είναι το Freeud και αναπτύχθηκε από υποστηρικτές της Ουκρανίας. Το Freeud διαθέτει λειτουργία καθαρισμού (wiping). Εάν το κακόβουλο λογισμικό περιέχει μια λίστα αρχείων, αντί της κρυπτογράφησης, το κακόβουλο λογισμικό τα διαγράφει από το σύστημα.
«Ενώ πέρυσι παρατηρήσαμε ότι το ransomware είχε ξεκινήσει να “ανθίζει”, φέτος βλέπουμε πως η “ανθοφορία” του είναι πια πλήρης. Παρόλο που μεγάλες ομάδες ransomware από πέρυσι αναγκάστηκαν να παραιτηθούν, νέοι παράγοντες εμφανίστηκαν με πρωτόγνωρες τεχνικές», σχολιάζει ο Dmitry Galov, ανώτερος ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky. «Παρ’ όλα αυτά, καθώς οι απειλές ransomware εξελίσσονται και επεκτείνονται τόσο τεχνολογικά όσο και γεωγραφικά, γίνονται πιο προβλέψιμες, γεγονός που μας βοηθά να τις εντοπίζουμε και να αμυνόμαστε καλύτερα».
Μάθετε περισσότερα σχετικά με τις τρέχουσες τάσεις του ransomware στην πλήρη έκθεση στο Securelist.
Στις 16 Μαΐου στις 16:00 (Ώρα Κεντρικής Ευρώπης), ο Dmitry Galov, ερευνητής ασφαλείας στην GReAT της Kaspersky, θα συζητήσει τις τελευταίες τάσεις στην αγορά ransomware, εστιάζοντας σε νέες ομάδες ransomware, τις τεχνικές και τους στόχους τους. Εγγραφείτε στο διαδικτυακό σεμινάριο εδώ: https://kas.pr/mx4e.
Στις 12 Μαΐου, ημέρα κατά του Ransomware, η Kaspersky ενθαρρύνει τους οργανισμούς να ακολουθήσουν τις παρακάτω βέλτιστες πρακτικές που συμβάλλουν στην προστασία τους από τις επιθέσεις ransomware:
- Διατηρείτε πάντα το λογισμικό ενημερωμένο σε όλες τις συσκευές που χρησιμοποιείτε για να αποτρέψετε τους επιτιθέμενους από το να εκμεταλλευτούν τα τρωτά σημεία και να διεισδύσουν στο δίκτυό σας.
- Η στρατηγική άμυνας του οργανισμού σας θα πρέπει να επικεντρωθεί στον εντοπισμό πλευρικών κινήσεων και διαφυγής δεδομένων στο διαδίκτυο. Δώστε ιδιαίτερη προσοχή στην εξερχόμενη επισκεψιμότητα για τον εντοπισμό των συνδέσεων κυβερνοεγκληματιών στο δίκτυό σας. Ρυθμίστε αντίγραφα ασφαλείας εκτός σύνδεσης που οι εισβολείς δεν μπορούν να πειράξουν. Βεβαιωθείτε ότι μπορείτε να έχετε πρόσβαση σε αυτά γρήγορα όταν χρειάζεται ή σε περίπτωση έκτακτης ανάγκης.
- Ενεργοποιήστε την προστασία ransomware για όλα τα τερματικά σημεία. Υπάρχει ένα δωρεάν εργαλείο, το Kaspersky Anti-Ransomware for Business, το οποίο προστατεύει τους υπολογιστές και τους servers από το ransomware και άλλους τύπους κακόβουλου λογισμικού, αποτρέπει τις εκμεταλλεύσεις και είναι συμβατό με ήδη εγκατεστημένες λύσεις ασφαλείας.
- Εγκαταστήστε λύσεις anti-APT και EDR, επιτρέποντας την ανακάλυψη και τον εντοπισμό απειλών, τη διερεύνηση και την έγκαιρη αποκατάσταση τους. Δώστε στην ομάδα SOC του οργανισμού σας πρόσβαση στη πιο πρόσφατα ενημερωμένη λύση αντιμετώπισης ψηφιακών απειλών και θέστε στον προγραμματισμό σας την τακτική ανανέωση των δεξιοτήτων τους. Όλα τα παραπάνω είναι διαθέσιμα στο Kaspersky Expert Security Framework.
- Παρέχετε στην ομάδα SOC του οργανισμού σας πρόσβαση στις πιο πρόσφατες πληροφορίες απειλών (TI). Το Kaspersky Threat Intelligence Portal είναι ένα ενιαίο σημείο πρόσβασης για την TI της Kaspersky, παρέχοντας δεδομένα κυβερνοεπιθέσεων και πληροφορίες που συλλέγονται από την ομάδα μας για πάνω από 20 χρόνια. Για να βοηθήσει τις επιχειρήσεις να καταστήσουν δυνατή την αποτελεσματική άμυνα σε αυτούς τους ταραχώδεις καιρούς, η Kaspersky ανακοίνωσε την πρόσβαση σε ανεξάρτητες, συνεχώς επικαιροποιούμενες και παγκόσμιες πληροφορίες σχετικά με τις συνεχιζόμενες επιθέσεις και απειλές στον κυβερνοχώρο, χωρίς καμία χρέωση. Ζητήστε πρόσβαση σε αυτήν την προσφορά εδώ.