Το
ransomware
είναι μεταξύ των βασικότερων ψηφιακών απειλών που ενδέχεται να αντιμετωπίσουν οι
επιχειρήσεις
μέσα στο 2021. Οι επιτιθέμενοι είναι πιο έτοιμοι και πιο τολμηροί παρά ποτέ, με οργανισμούς που πέφτουν συνεχώς
θύματα
ransomware
να βρίσκονται διαρκώς στα πρωτοσέλιδα.
Όμως, τοποθετώντας τους εαυτούς στο παρασκήνιο, τέτοιες
ομάδες
κρύβουν την πραγματική πολυπλοκότητα του οικοσυστήματος
ransomware
. Για να βοηθήσουν τους οργανισμούς να κατανοήσουν πώς λειτουργεί το
οικοσύστημα
των προγραμμάτων
ransomware
και πώς να τα καταπολεμήσουν, η τελευταία έκθεση των ερευνητών της
Kaspersky
«έσκαψε» σε φόρουμ στο darknet και εισχωρεί εις βάθος στις συμμορίες REvil, Babuk και όχι μόνο, καταρρίπτοντας μερικούς από τους μύθους για το
ransomware
. Και όταν κανείς σκαλίζει αυτόν τον υπόκοσμο, πρέπει να περιμένει ότι έχει πολλά
πρόσωπα
.
Όπως κάθε
βιομηχανία
, το
οικοσύστημα
των προγραμμάτων
ransomware
αποτελείται από πολλούς παίκτες που αναλαμβάνουν διάφορους ρόλους. Σε αντίθεση με την πεποίθηση ότι οι συμμορίες
ransomware
είναι όντως συμμορίες – ότι δηλαδή είναι πολύ δεμένες
ομάδες
, με κοινά βιώματα,
ομάδες
τύπου «ο Νονός» – η πραγματικότητα μοιάζει περισσότερο με τον κόσμο του «The Gentlemen» του Guy Ritchie, με σημαντικό αριθμό διαφορετικών φορέων – προγραμματιστών, botmasters, πωλητών πρόσβασης, χειριστών
ransomware
– να εμπλέκονται στις περισσότερες
επιθέσεις
, παρέχοντας
υπηρεσίες
ο ένας στον άλλο μέσω αγορών στο dark web.
Αυτοί οι φορείς συναντιούνται σε εξειδικευμένα φόρουμ στο darknet, όπου μπορεί κανείς να βρει τακτικά ενημερωμένες
διαφημίσεις
που προσφέρουν
υπηρεσίες
και συνεργασίες. Διακεκριμένοι μεγάλοι παίκτες που λειτουργούν μόνοι τους δεν επισκέπτονται συχνά τέτοιες τοποθεσίες, ωστόσο, γνωστές
ομάδες
, όπως η REvil, που έχουν στοχεύσει όλο και περισσότερο οργανισμούς τα τελευταία χρόνια, δημοσιοποιούν τις προσφορές και τα νέα τους σε τακτική βάση χρησιμοποιώντας προγράμματα συνεργατών. Αυτός ο
τύπος
συμμετοχής προϋποθέτει
συνεργασία
μεταξύ του χειριστή της ομάδας
ransomware
και της θυγατρικής με τον χειριστή του
ransomware
λαμβάνοντας μερίδιο κέρδους που κυμαίνεται από 20-40%, ενώ το υπόλοιπο 60-80% παραμένει στη θυγατρική.
Η REvil ανακοινώνει μια νέα ικανότητα να οργανώνει κλήσεις προς τα Μέσα και τους συνεργάτες του στόχου για να ασκήσει πρόσθετη πίεση στην πληρωμή των λύτρων.
Παραδείγματα προσφορών που περιλαμβάνουν όρους πληρωμής στα προγράμματα συνεργατών
Η επιλογή τέτοιων συνεργατών είναι μια τελειοποιημένη διαδικασία με βασικούς κανόνες που καθορίζονται από τους φορείς εκμετάλλευσης του
ransomware
από την αρχή – συμπεριλαμβανομένων των γεωγραφικών περιορισμών και ακόμη και των πολιτικών απόψεων. Ταυτόχρονα, τα
θύματα
ransomware
επιλέγονται ευκαιριακά.
Καθώς οι άνθρωποι που μολύνουν οργανισμούς και αυτοί που λειτουργούν πραγματικά το
ransomware
είναι διαφορετικές
ομάδες
που σχηματίζονται μόνο από την επιθυμία για κέρδος, οι
οργανισμοί
που έχουν μολυνθεί είναι συχνά εύκολοι στόχοι – ουσιαστικά, είναι αυτοί στους οποίους οι επιτιθέμενοι μπόρεσαν να αποκτήσουν ευκολότερα πρόσβαση. Θα μπορούσαν να είναι και οι δύο φορείς που εργάζονται στα προγράμματα θυγατρικών και οι ανεξάρτητοι φορείς που αργότερα πωλούν πρόσβαση – σε μορφή δημοπρασίας ή ως
ενημέρωση
κώδικα, ξεκινώντας από 50 USD. Αυτοί οι επιτιθέμενοι, είναι συχνά ιδιοκτήτες botnet που εργάζονται σε μαζικές και ευρείες
εκστρατείες
και πωλούν μαζικά πρόσβαση στα μηχανήματα των θυμάτων, και έχουν πρόσβαση σε πωλητές που αναζητούν
ευπάθειες
που αποκαλύπτονται δημόσια σε λογισμικό στο
Διαδίκτυο
, όπως
συσκευές
VPN ή πύλες email, τις οποίες μπορούν να χρησιμοποιήσουν για να διεισδύσουν σε οργανισμούς.
Ένα παράδειγμα προσφοράς για πώληση πρόσβασης στο RDP ενός οργανισμού
Τα φόρουμ
ransomware
φιλοξενούν και άλλους τύπους προσφορών. Ορισμένοι πάροχοι
ransomware
πωλούν δείγματα κακόβουλου λογισμικού και
ransomware
builders με κόστος από 300 έως 4.000 USD, άλλοι προσφέρουν
Ransomware
-as-a-Service – την πώληση
ransomware
με συνεχή υποστήριξη από τους προγραμματιστές του, η οποία μπορεί να κυμαίνεται από 120 USD ανά μήνα έως 1.900 USD ανά ετήσιο πακέτο.
«Τα τελευταία δύο χρόνια, έχουμε δει ότι οι
εγκληματίες
στον κυβερνοχώρο έχουν γίνει πιο τολμηροί στη
χρήση
ransomware
. Οι
οργανισμοί
στους οποίους στοχεύουν τέτοιες
επιθέσεις
δεν περιορίζονται σε
εταιρείες
και κυβερνητικούς οργανισμούς – οι φορείς εκμετάλλευσης
ransomware
είναι έτοιμοι να πλήξουν ουσιαστικά οποιαδήποτε επιχείρηση ανεξάρτητα από το μέγεθος. Είναι σαφές ότι η
βιομηχανία
ransomware
καθεαυτή είναι περίπλοκη και περιλαμβάνει πολλούς διαφορετικούς παράγοντες με διάφορους ρόλους. Για να τους πολεμήσουμε, πρέπει να εκπαιδεύσουμε τους εαυτούς στο πώς λειτουργούν και να τους πολεμήσουμε ως ένας. Η Anti-
Ransomware
Ημέρα είναι μια καλή ευκαιρία για να τονίσουμε αυτήν την ανάγκη και να υπενθυμίσουμε στο κοινό πόσο σημαντικό είναι να υιοθετήσουν αποτελεσματικές
πρακτικές
ασφάλειας. Το Παγκόσμιο Πρόγραμμα Κατά του Ψηφιακού Εγκλήματος της INTERPOL, μαζί με τους συνεργάτες μας, είναι αποφασισμένο να μειώσει τον παγκόσμιο αντίκτυπο του
ransomware
και να προστατεύσει τις κοινότητες από βλάβες που προκαλούνται από αυτήν την αυξανόμενη
απειλή
», σχολιάζει ο Craig Jones, Διευθυντής Κυβερνοεγκλήματος, INTERPOL.
«Το
οικοσύστημα
ransomware
είναι πολύπλοκο κι έχει εξαιρετικό ενδιαφέρον. Είναι μια ρευστή
αγορά
με πολλούς παίκτες, μερικούς αρκετά ευκαιριακούς, μερικούς πολύ επαγγελματίες και προχωρημένους. Δεν επιλέγουν συγκεκριμένους στόχους, μπορεί να ακολουθούν οποιονδήποτε οργανισμό – μια μεγάλη ή μικρότερη επιχείρηση, αρκεί να έχουν πρόσβαση σε αυτές. Επιπλέον, η επιχείρησή τους ανθεί, δεν πρόκειται να εξαφανιστεί σύντομα»,
σχολιάζει ο Dmitry Galov, ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της
Kaspersky
. «Τα καλά νέα είναι ότι ακόμη και απλά μέτρα
ασφαλείας
μπορούν να απομακρύνουν τους επιτιθέμενους από οργανισμούς, επομένως οι τυπικές
πρακτικές
όπως οι τακτικές
ενημερώσεις
λογισμικού και τα μεμονωμένα αντίγραφα
ασφαλείας
βοηθούν και υπάρχουν πολλά περισσότερα που μπορούν να κάνουν οι
οργανισμοί
για να διασφαλίσουν τη
λειτουργία
τους».
«Αποτελεσματικές ενέργειες κατά του οικοσυστήματος
ransomware
μπορούν να αποφασιστούν μόνο όταν γίνουν κατανοητές οι βάσεις του. Με αυτήν την αναφορά, ελπίζουμε να ρίξουμε φως στον τρόπο οργάνωσης των επιθέσεων
ransomware
, έτσι ώστε η κοινότητα να μπορεί να δημιουργήσει επαρκή αντίμετρα»,
προσθέτει ο Ivan Kwiatkowski, ανώτερος ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της
Kaspersky
.
Μάθετε περισσότερα για το
οικοσύστημα
ransomware
στην πλήρη έκθεση στο Securelist.
Στις 12 Μαΐου, την
Ημέρα κατά του
Ransomware
, η
Kaspersky
ενθαρρύνει τους οργανισμούς να ακολουθήσουν αυτές τις βέλτιστες
πρακτικές
προστασίας:
-
Να ενημερώνετε πάντα το λογισμικό σε όλες τις
συσκευές
που χρησιμοποιείτε, για να αποτρέψετε τους εισβολείς να διεισδύσουν στο δίκτυό σας εκμεταλλευόμενοι
ευπάθειες
. -
Εστιάστε την αμυντική σας στρατηγική στην ανίχνευση «πλευρικών κινήσεων» και εκδιήθησης δεδομένων στο
διαδίκτυο
. Δώστε ιδιαίτερη προσοχή στην εξερχόμενη
κίνηση
για τον εντοπισμό των συνδέσεων των εγκληματιών στον κυβερνοχώρο. Ρυθμίστε αντίγραφα
ασφαλείας
εκτός σύνδεσης
που δεν μπορούν να παραβιάσουν οι εισβολείς. Βεβαιωθείτε ότι έχετε γρήγορη πρόσβαση σε αυτά σε περίπτωση έκτακτης ανάγκης όταν χρειάζεται.
-
Ενεργοποιήστε την
προστασία
ransomware
για όλα τα τερματικά σημεία. Υπάρχει το δωρεάν
εργαλείο
Kaspersky
Anti-
Ransomware
Tool for Business που προστατεύει τους
υπολογιστές
και τους διακομιστές από
ransomware
και άλλους τύπους κακόβουλου λογισμικού, αποτρέπει την
εκμετάλλευση
και είναι συμβατό με ήδη εγκατεστημένες λύσεις
ασφαλείας
.
-
Εγκαταστήστε λύσεις anti-APT και EDR, επιτρέποντας
δυνατότητες
για προηγμένη
ανακάλυψη
και ανίχνευση απειλών, διερεύνηση και έγκαιρη αποκατάσταση περιστατικών. Παρέχετε στην ομάδα SOC σας πρόσβαση στην πιο πρόσφατη
ενημέρωση
για απειλές και αναβαθμίστε τακτικά την επαγγελματική
εκπαίδευση
. Όλα τα παραπάνω είναι διαθέσιμα στο
Kaspersky
Expert Security framework.
Related Posts
Πατήστ
ε
εδώ
και ακολουθήστε το
TechWar.gr στο Google News
για να μάθετε πρώτοι όλες τις
ειδήσεις τεχνολογίας.
Η Kaspersky ρίχνει φως στο οικοσύστημα των προγραμμάτων ransomware | O Efialtis
[…] Αν θέλετε να λαμβάνετε καθημερινά τα νέα μας άρθρα, πατήστε εδώ: Εγγραφή στο Newsletter Πηγή […]