Рансъмуер: тактиките стават все по-безпощадни

Изпълнителите на рансъмуер нападения стават все по-ловки и използват все по-сложни тактики в своите акции. Тяхната дейност наподобява легитимния бизнес, който се стреми да използва модерните тенденции, разчита на йерархия и специализация на дейностите, търси начини за намаляване на разходите. На прицел основно са „Zero-day” уязвимостите и мрежите за обслужване на веригите за доставки.

Годишният доклад „Ransomware Spotlight” на анализаторските фирми Ivanti и Cyware идентифицира 32 нови семейства рансъмуер през 2021 г., с което общият им брой достига 157 и представлява увеличение от 26% спрямо предходната година, отбелязва SecurityBrief. Групите за откупи продължават да се възползват ловко от непоправени и незакърпени уязвимости и да експлоатират „Zero-day” уязвимости, за да проведат „осакатяващи”, по думите на анализаторите, атаки.

Незакърпените дупки – най-обещаващият вектор на атака

Непоправените уязвимости в ИТ системите остават най-експлоатираният вектор на атака от рансумуер групите. Освен, че използват незакърпените дупки, те биват популяризирани в т.нар. тъмни мрежи и по този начин – многократно експлоатирани.

„Zero-day” уязвимости

Групите за рансъмуер продължават да намират и използват уязвимости от типа „нулев ден”. Тази опасна тенденция подчертава необходимостта от гъвкавост от страна на доставчиците при разкриване на уязвимостите и приоритетно пускане на „кръпките”.

Веригата на доставки – на прицел

Рансъмуер нападателите все повече се насочват към мрежите на веригите за доставки, за да нанесат възможно най-големи щети и да причинят хаос. Един компромис във веригата на доставки може да отвори множество пътища за пробив в стотици мрежи на жертви. Тази тактика работи добре за рансъмуер бандите и видимо няма как да бъде ограничена.

Един от емблематичните примери е от миналата година с атаката на групата REvil спрямо Kaseya, която доведе до компрометиране на всички клиенти. Най-пресният случай пък са петролните бизнеси в Европа.

Рансъмуер като услуга

След като се видя, че бизнес-моделът „софтуер като услуга” работи добре, сега рансъмуер групите все повече споделят услугите си с други банди. „Ransomware-as-a-service” е бизнес-модел, при който разработчиците на софтуер за изнудване предлагат своите услуги и програмен код на други злонамерени участници срещу плащане. Като услуга се предлагат и методите за експлоатиране на уязвимости. Има даже и „троянски кон като услуга”!

Необуздани атаки през следващите години

Изследователите са установили, че има 157 семейства рансъмуер, които използват 288 уязвимости. Според Coveware, организациите плащат средно 220 298 долара и страдат средно от 23 дни престой след рансъмуер атака.

[related-posts]

„Групите за рансъмуер работят все по-сложно и техните атаки стават по-въздействащи. Тези играчи все повече използват автоматизирани набори от инструменти, за да използват уязвимостите и да проникнат по-дълбоко в компрометираните мрежи”, коментира старшият вицепрезидент по продуктите за сигурност в Ivanti Сринивас Мукамала.

„Те също така разширяват целите си и извършват повече атаки срещу критични сектори, засягайки ежедневния живот на хората и причинявайки безпрецедентни щети”, допълва Мукамала.

„Тъй като бандите за рансъмуер „операционализират” своите инструменти, методи и целеви списъци, за екипите на SecOps е от съществено значение да автоматизират процесите за самовъзстановяване на уязвими активи и системи”, казва главният изпълнителен директор на Cyware Анудж Гоел.

Необходим е безкомпромисен подход към кибер-хигиената, единодушни са специалистите. Гледайки напред, автоматизирането на кибер-хигиената ще става все по-важно, тъй като пейзажът при атаките става все по-сложен.