Czym są rodziny ransomware i dlaczego ich znajomość może pomóc Twojej firmie uniknąć ataku?

Używanie komputera lub sieci w celach biznesowych byłoby praktycznie niemożliwe bez świadomości istnienia złośliwego oprogramowania typu ransomware. Eksperci od lat przestrzegają, że obecnie jest to jedno z najniebezpieczniejszych cyberzagrożeń, które czyhają na nas w sieci. Dlatego w tym artykule szerzej opiszemy, czym jest ransomware oraz jakie są jej najważniejsze rodzaje.

Jeśli zarządzasz cyberbezpieczeństwem lub jesteś właścicielem małej, lub średniej firmy, to powinieneś zwrócić uwagę na to, w jaki sposób zabezpieczyłeś swoją sieć przed zagrożeniami typu ransomware. Musisz wiedzieć, jak oprogramowanie tego typu jest wykorzystywane do przeprowadzania cyberataków i w jaki sposób zagraża Twojej firmie. 

Ataki ransomware w Stanach Zjednoczonych wzrosły o 300% w ciągu ostatnich dwóch lat, a małe firmy były ofiarami co najmniej 50% incydentów. Pomimo zintensyfikowanych wysiłków na rzecz identyfikowania i aresztowania hakerów oraz udaremniania ataków ransomware, ewolucja oprogramowania ransomware jako usługi (RaaS) — w której złoczyńcy zapewniają dostęp do sieci ofiary grupie RaaS, która pobiera okup — oznacza, że ​​jest mało prawdopodobne, że zagrożenie zmniejszy się w najbliższym czasie.

Powstanie rodziny RaaS i ransomware

Co mają wspólnego „rodziny” z cyberatakami?

„Rodziny są bezpośrednio związane z nowoczesnym modelem RaaS” — wyjaśnia Martin Zugec, dyrektor ds. rozwiązań technicznych w firmie Bitdefender. „Infekcja ransomware to tylko ostatni krok; przygotowanie tych nowoczesnych ataków zajmuje trochę czasu, a cyberprzestępcy starają się dokładnie przygotować jeszcze przed rozpoczęciem ataku”.

Większość cyberataków opiera się na mniej niż dwudziestu rodzinach oprogramowania ransomware. Rodziny ransomware to typowe sygnatury kodu, wirusy i złośliwe polecenia, które wykonują brudną robotę po uzyskaniu dostępu do systemów firmy.

Zazwyczaj RaaS prowadzi negocjacje w sprawie okupu, więc specjaliści do spraw cyberbezpieczeństwa często skupiają na żądaniach hakerów, aby zidentyfikować rodzinę (i odpowiednio zareagować na trwający atak). 

W sumie eksperci do spraw cyberbezpieczeństwa podejrzewają, że istnieje około 250 znanych rodzin oprogramowania ransomware.

Próba wdrożenia narzędzi bezpieczeństwa w celu udaremnienia setek rodzajów cyberzagrożeń brzmi zniechęcająco, ponieważ oprogramowanie ransomware jest tylko ostatnim krokiem nowoczesnego ataku, jego wykrywanie i reagowanie stają się niezwykle ważne.

Dowiedzenie się, jak działają najbardziej wydajne rodziny i wdrożenie narzędzi bezpieczeństwa przeszkolonych w wykrywaniu kodów podpisów rodzinnych, może pomóc Twojej firmie i zespołowi do spraw bezpieczeństwa lepiej bronić się przed oprogramowaniem ransomware. Pomoże to również zidentyfikować i wyeliminować luki w zabezpieczeniach oraz wektory zagrożeń, które sprawiają, że Twoja firma jest podatna na ataki typu ransomware.

Jakie są najbardziej znane rodziny oprogramowania ransomware?

W ostatniej analizie Bitdefender wykrył 12,7 miliona ataków typu ransomware i zidentyfikował 220 rodzin. 

Liczba wykrytych rodzin ransomware zmienia się każdego miesiąca, w zależności od bieżących kampanii ransomware na całym świecie.  Ostatnie badanie wykazało, że tylko trzy rodziny — WannaCryptor, Stop/DJVU i Phobos — odpowiadały za 59% ataków.

Wzrost liczby incydentów związanych z oprogramowaniem ransomware w ciągu ostatnich kilku lat, zwłaszcza jako narzędzia syndykatów cyberprzestępczych i cyberzłodziei luźno powiązanych z określonymi rodzinami oprogramowania ransomware, spowodował, że ataki te znalazły się wśród głównych cyberzagrożeń na całym świecie. 

Ransomware to lukratywny biznes dla cyfrowych przestępców. Weźmy pod uwagę niedawne aresztowania i zarzuty członków rodziny oprogramowania ransomware REvil/Sodinokibi, którzy brali udział w atakach Kaseya Software tego lata. Departament Sprawiedliwości Stanów Zjednoczonych odzyskał 6,1 miliona dolarów z konta tylko jednego mężczyzny, które były pieniędzmi wyłudzonymi od ofiar ransomware.

Szybka anatomia ataku ransomware

Ransomware nie jest nowym zjawiskiem. Pierwszy atak ransomware miał miejsce w 1989 r., kiedy to AIDS Trojan/PC Cyborg zainfekował sieci organizacji opieki zdrowotnej. 

Nowoczesne oprogramowanie ransomware zazwyczaj dzieli się na dwie kategorie: kryptowaluty i programy blokujące.

• Crypto ransomware szyfruje pliki firmy, aby nie miała już do nich dostępu. 
• Oprogramowanie ransomware Locker zachowuje się tak, jak można się spodziewać i całkowicie blokuje firmie dostęp do niektórych lub wszystkich jej systemów i plików.

W obu przypadkach atakujący uniemożliwiają dostęp do zasobów i żądają zapłaty, zwykle w trudnych do wyśledzenia kryptowalutach, za ich uwolnienie. Często istnieje okno czasowe, po którym atakujący obiecuje zniszczyć zasoby cyfrowe. 

Dzięki RaaS napastnicy nie tylko blokują dostęp i żądają okupu — podwójne, potrójne, a nawet poczwórne wymuszenie stało się normą. Grupy RaaS ujawniają zastrzeżone dane ofiar i żądają kolejnego okupu, aby to zatrzymać. Jeśli ofiary odmówią zapłaty, rozpoczynają ataki DDoS i zaczynają nękać partnerów biznesowych i klientów lub inne narzędzia ze swojego hakerskiego arsenału, a niewiele przedsiębiorstw jest w stanie odeprzeć ataki z tak wielu frontów. 

Dzięki zrozumieniu, w jaki sposób określona rodzina oprogramowania ransomware może nadużywać niezwykle popularnego narzędzia, takiego jak WMI, firmy mogą skonfigurować i wdrożyć zasady użytkowania, które zmniejszają ryzyko nadużyć.

Dlatego warto połączyć działania mające na celu obronę przed kodami sygnatur rodziny ransomware, z działaniami w zakresie bezpieczeństwa, które koncentrują się na punktach wyjściowych. To tam podmioty stowarzyszone zazwyczaj koncentrują swoją uwagę poprzez prowadzenie kampanii spamowych, przeprowadzając ataki siłowe i wykorzystując niezałatane luki w zabezpieczeniach. 

Cyberprzestępcy ewoluują, podobnie jak Twoja obrona

Podobnie jak w przypadku wszystkich zabezpieczeń, obliczanie zwrotu z inwestycji w powstrzymywanie oprogramowania ransomware polega na uzasadnieniu tej inwestycji na podstawie scenariuszy „co by było, gdyby”.

Następstwa ataków ransomware kosztują zazwyczaj znacznie więcej niż sam okup, ponieważ: 

• Istnieją koszty przestojów, gdy nie wykonuje się żadnych prac i nie obsługuje się klientów. 
• Istnieją koszty naprawcze w celu przywrócenia, przebudowy i wzmocnienia systemów. 
• Dochodzą do tego zwiększone koszty ubezpieczenia. 
• Wreszcie, istnieje zagrożenie dla reputacji firmy, które może utrzymywać się długo po tym, jak znikną wszystkie oznaki ataku.

Jeśli chcesz uniknąć następstw ataków z wykorzystaniem wirusów typu ransomware, to warto poszukać skutecznego oprogramowania antywirusowego ze specjalnymi modułami anti-ransomware. W naszej ofercie znajdą Państwo antywirusy firmy Bitdefender, które charakteryzują się bardzo dobrymi wynikami w testach przeprowadzonych przez niezależne instytuty badawcze AV-Test i AV Comparatives. Jeśli chciałbyś poznać więcej zalet oprogramowania Bitdefender lub uzyskać niezobowiązującą ofertę, to zapraszamy do kontaktu.