Кибератаките с криптиране и изнудване за откуп са една от най-големите заплахи пред бизнеса днес. Организация, която става жертва на атака с „рансъмуер” (използване на злонамерен софтуер за криптиране на мрежата, което я прави неработоспособна), бързо се оказва неспособна да прави бизнес. Лошото е, че този вид атаки тепърва ще стават все по-сложни, все по-свирепи и трудни за справяне.
Криптирането на мрежата е най-бързият и лесен начин да се печелят пари от компрометирана организация. Нападателите изискват откуп в замяна на ключа за дешифриране на файловете. През 2020 г. критериите за подобно изнудване са се „вдигнали” – бандите за изнудване сега редовно изискват от жертвите крупни суми, обикновено в биткойн, отчитат всички наблюдатели на процесите в света на киберсигурността.
Най-доходоносни
Неприятната реалност е, че рансъмуерът продължава да е успешен, тъй като значителен брой жертви се поддават на изнудването и в крайна сметка си плащат откупа. Докато полицията и компаниите за киберсигурност настояват, че пари не бива да се дават, фирмените лидери са склонни да подадат на натиска. Те усещат, че сякаш това е най-бързият и лесен начин за възстановяване на мрежата им и предотвратяване на дългосрочни икономически щети.
Паралелно с това изнудвачите обаче се „научиха” да добавят нови елементи в своите програми за изнудване на жертвите. Те заплашват да продадат откраднати данни. Това означава, че чувствителните корпоративни данни или лична информация на клиенти могат в крайна сметка да се окажат „на пазара”, предоставени на други престъпници.
„От гледна точка на престъпника атаките с криптиране и изнудване остават най-доходоносният вид кибернападение, особено когато жертвите са предприятия с висока стойност. В края на 2020 г. киберпрестъпниците са „подплатили” атаките си, за да постигнат максимални финансови печалби и да увеличат шансовете си да получат пари”, казва Анна Чунг, анализатор по киберсигурността в поделение 42 на Palo Alto Networks, цитиран от ZDNet.
Атаките с криптиране и изнудване са станали по-мощни и доходоносни от всякога – до такава степен, че напредналите киберпрестъпни групи вече са преминали към използването основно на този вид нападения и са загърбили традиционните си форми на престъпление. Прогнозата на наблюдателите е, че е много вероятно атаките да станат още по-мощни през 2021 г.
Нов фокус за атакуващите: облакът
Какво би станало, ако бандите за рансъмуер могат да ударят множество различни организации наведнъж, едновременно, в добре координирана атака? Това би предоставило възможност да спечелят голяма сума пари за много кратко време. Един от начините, по които злонамерените хакери могат да се опитат да направят това, е да атакуват облачните услуги с рансъмуер.
„Следващото нещо, на което ще станем свидетели, вероятно е по-скоро фокусиране върху облака. COVID-19 ускори прехода на много организации към облака. В резултат повечето организации вече имат данни, съхранявани в облака”, казва Андрю Роуз, CISO експерт в Proofpoint.
Ако престъпниците получат достъп до облачни услуги, използвани от множество организации, и ги криптират, това би причинило мащабен срив на дейността на огромен брой фирми по света. Напълно възможно е в този сценарий бандитите да поискат милиони долари откуп – поради мащаба на това, което е заложено.
Политически мотиви
Разрушителният характер на рансъмуера може да се окаже експлоатиран и чрез хакерски операции, които не са изцяло мотивирани от парите. Вече сме били свидетели на подобен род атаки – привидно искане на откуп, но без реална възможност за плащане. В такива случаи става дума за чиста проба унищожаване.
Подобен род атаки се приписват на организации на киберпрестъпници, които са политически обвързани и, предполага се, финансирани на правителствено ниво. Предвид текущите политически конфликти в глобален мащаб, изследователите са склонни да очакват, че атаките с рансъмуер с политически оттенъци няма да са нещо изненадващо в обозримо бъдеще.
„Вече видяхме прецедент, създаден от киберпрстъпници с финансиране от националните държави. Какво ще стане, ако предприемат подобни действия на следващо ниво? Разрушителните възможности на рансъмуера със сигурност са привлекателни за злонамерените шпионски актьори и те могат да го използват, за да причиняват смущения”, казва Сандра Джойс, старши вицепрезидент и ръководител на глобалното разузнаване в FireEye.
Препоръки
Рансъмуерът ще продължи да бъде голяма заплаха, но бизнесът може да си помогне да се предпази от него, като прилага малък брой относително прости практики за киберсигурност.
Организациите трябва да си гарантират, че имат добре управляван план за прилагане на т.нар. „пачове” за киберсигурност и други актуализации. Тези корекции често се пускат, тъй като софтуерните компании са разбрали за известни уязвимости в своите продукти. Подобни уязвимости могат да се използват от киберпрестъпниците. Затова бързото и навременно прилагане на „кръпките” може да попречи на злонамерените атаки.
Слабите пароли са друг „традиционен” похват за кибернападателите. За да предотвратят това, организациите трябва да насърчават служителите да използват по-сложни пароли, а още по-добре – да приучат хората си да използват многофакторно удостоверяване.
Бизнесът трябва също така да се увери, че е подготвен за това, което може да се случи, ако в крайна сметка стане жертва на атака с рансъмуер. Редовното създаване на резервни копия на данните и съхраняването им офлайн означава, че ако се случи най-лошото и рансъмуерът криптира мрежата, е възможно тя да бъде възстановена от сравнително скорошно състояние. Така на фирмата няма да се налага да отстъпи пред изнудваческите искания на киберпрестъпниците.