Το ransomware είναι ένα είδος κακόβουλου λογισμικού που απειλεί να δημοσιοποιήσει τα προσωπικά δεδομένα του θύματος ή να διακόψει την πρόσβασή του θύματος σε αυτά, μέχρι να δοθούν λύτρα από το θύμα. Αν και τα απλά ransomware προγράμματα μπορεί να κλειδώσουν ένα σύστημα με τέτοιον τρόπο που δεν είναι δύσκολο να ξεκλειδωθεί από ένα άτομο έμπειρο στον τομέα, τα πιο εξελιγμένα προγράμματα του είδους χρησιμοποιούν τεχνικές που συνδυάζουν την κρυπτογραφία με την κακόβουλη σχεδίαση λογισμικού, ώστε να πετύχουν την κρυπτογράφηση των αρχείων του θύματος, καθιστώντας τα μη προσβάσιμα και ζητώντας λύτρα για την αποκρυπτογράφησή τους. Οι παρακάτω τέσσερις τύποι ransomware αποτελούν σχεδόν τα τρία τέταρτα των αναφερόμενων περιστατικών :

Το Ransomware προκαλεί προβλήματα ανεξάρτητα τι τύπου είναι. Ορισμένοι τύποι είναι αισθητά πιο επιθετικοί από τους υπόλοιπους. Με τέσσερις απο αυτούς τους τύπους του κακόβουλου λογισμικού να αντιπροσωπεύουν το 70% όλων των επιθέσεων.

Σύμφωνα με ανάλυση της εταιρείας κυβερνοασφάλειας Intel 471, η πιο διαδεδομένη απειλή ransomware προς το τέλος του 2021 ήταν το LockBit 2.0 , το οποίο αντιπροσώπευε το 29,7% όλων των αναφερόμενων περιστατικών. Πρόσφατα θύματα του LockBit περιλαμβάνουν την Accenture και το γαλλικό Υπουργείο Δικαιοσύνης .

Σχεδόν ένα στα πέντε αναφερθέντα περιστατικά αφορούσε το Conti ransomware , διάσημο για πολλά περιστατικά τον περασμένο χρόνο, συμπεριλαμβανομένης μιας επίθεσης κατά του Ιρλανδικού Συστήματος Υγείας .  Το PYSA και το Hive αντιπροσωπεύουν μία στις 10 αναφερόμενες επιθέσεις ransomware το καθένα.

Ερευνητές κυβερνοασφάλειας στην Intel 471 εξέτασαν 722 επιθέσεις ransomware που πραγματοποιήθηκαν μεταξύ Οκτωβρίου και Δεκεμβρίου 2021 και εντόπισαν τους τομείς που επηρεάστηκαν περισσότερο.

Στην κορυφή της λίστας ήταν τα ιδιώτες και βιομηχανίες, τα οποία αντιπροσώπευαν σχεδόν το ένα τέταρτο των οργανισμών που επηρεάστηκαν από επιθέσεις ransomware , σημειώνοντας σημαντική αύξηση σε σύγκριση με το προηγούμενο τρίμηνο.

Μία από τις πιο σημαντικές επιθέσεις παρουσιάστηκε το 2020 όταν η Garmin κατασκευαστής φορητών συσκευών, ιχνηλάτισης γυμναστικής και έξυπνων ρολογιών επηρεάστηκε από επίθεση ransomware, αποκλείοντας τους χρήστες από τις υπηρεσίες. Αναφέρθηκε ότι η Garmin πλήρωσε λύτρα πολλών εκατομμυρίων δολαρίων για ένα κλειδί αποκρυπτογράφησης για να βοηθήσει στην αποκατάσταση των υπηρεσιών.

Η βιομηχανία είναι ο δεύτερος κλάδος που επηρεάστηκε περισσότερο, αντιπροσωπεύοντας το 15,9% των επιθέσεων ransomware. Οι επαγγελματικές υπηρεσίες και οι συμβουλευτικές υπηρεσίες ήταν ο τρίτος πιο στοχευμένος τομέας από ransomware, αντιπροσωπεύοντας το 15,4% των περιστατικών και ακολουθούν τα ακίνητα με 11,4%.

Οι βιοεπιστήμες και η υγειονομική περίθαλψη ήταν ο πέμπτος πιο στοχευμένος τομέας, μετά την αύξηση των επιθέσεων εναντίον του. Αυτό περιλαμβάνει επιθέσεις ransomware εναντίον νοσοκομείων . Τα νοσοκομεία αποτελούν έναν δελεαστικό στόχο, επειδή η φύση της υγειονομικής περίθαλψης ειναι κρίσιμης σημασίας και επομένως ορισμένα νοσοκομεία πληρώνουν λύτρα.

Το ransomware εξακολουθεί να είναι ένα σημαντικό ζήτημα κυβερνοασφάλειας και οι επιθέσεις συνεχίζουν να είναι “επιτυχείς” για τους κακοποιούς χάκερ, επειδή πολλά θύματα επιλέγουν να πληρώσουν λύτρα, παρά το γεγονός ότι έχουν προειδοποιηθεί να μην το κάνουν, πρώτον επειδή αυτή η προσέγγιση ενθαρρύνει περισσότερες επιθέσεις και δεύτερον γιατί δεν υπάρχει καμία απολύτως εγγύηση οτι πληρώνοντας τα λύτρα θα πάρουν τα δεδομένα τους πίσω.

Ωστόσο, υπάρχουν ενέργειες που μπορούν να κάνουν οι επιχειρήσεις για να αποφύγουν να πέσουν θύματα επίθεσης ransomware. Αυτό περιλαμβάνει την εφαρμογή ενημερώσεων κώδικα ασφαλείας το συντομότερο δυνατό μετά την κυκλοφορία , έτσι ώστε οι χάκερ να μην μπορούν να εκμεταλλευτούν γνωστά τρωτά σημεία. Συνιστάται επίσης η εφαρμογή ελέγχου ταυτότητας πολλαπλών παραγόντων σε όλο το δίκτυο , ώστε να είναι δύσκολο να εισβάλουν σε λογαριασμούς.

Οι οργανισμοί θα πρέπει επίσης να ενημερώνουν τακτικά και να δοκιμάζουν τα αντίγραφα ασφαλείας εκτός σύνδεσης , ώστε σε περίπτωση επιτυχούς επίθεσης ransomware να υπάρχει δυνατόητα επαναφοράς του δικτύου και των δεδομένων.

LockBit

Το LockBit ransomware είναι κακόβουλο λογισμικό που έχει σχεδιαστεί για να εμποδίζει την πρόσβαση των χρηστών σε συστήματα υπολογιστών με αντάλλαγμα μια πληρωμή λύτρων. Το LockBit θα ελέγξει αυτόματα για πολύτιμους στόχους, θα εξαπλώσει τη μόλυνση και θα κρυπτογραφήσει όλα τα προσβάσιμα συστήματα υπολογιστών σε ένα δίκτυο. Αυτό το ransomware χρησιμοποιείται για εξαιρετικά στοχευμένες επιθέσεις κατά επιχειρήσεων και άλλων οργανισμών.

Conti

Το Conti ransomware είναι ένας εξαιρετικά επιζήμιο κακόβουλου λογισμικού λόγω της ταχύτητας με την οποία κρυπτογραφεί τα δεδομένα και εξαπλώνεται σε άλλα συστήματα.

Η δράση για το έγκλημα στον κυβερνοχώρο θεωρείται ότι διευθύνεται από μια ομάδα με έδρα τη Ρωσία, η οποία έχει το ψευδώνυμο Wizard Spider.

PYSA

Το PYSA είναι μια μορφή ransomware που χρησιμοποιείται όλο και περισσότερο σε μεγάλες και κρίσημες επιθέσεις σημαντικών στόχων, στις οποίες οι επιτιθέμενοι επιλέγουν τους στόχους τους με βάση την προβλεπόμενη ικανότητά τους να πληρώσουν. Το PYSA είναι ένα αρκτικόλεξο του «Protect Your System Amigo», το οποίο περιλαμβάνεται στο σημείωμα λύτρων που αφήνεται για το θύμα. Σύμφωνα με αναλυτές κυβερνοασφάλειας, το Pysa είναι μια παραλλαγή της οικογένειας ransomware Mespinoza και είναι ενεργή τουλάχιστον από τον Οκτώβριο του 2019.

Το κακόβουλο λογισμικό διεισδύει ευαίσθητες πληροφορίες πριν από την κρυπτογράφηση και χρησιμοποιεί τα κλεμμένα δεδομένα για να αναγκάσει το θύμα να πληρώσει λύτρα σε αντάλλαγμα για τα αρχεία.

HIVE

Η Hive είναι μια άλλη ομάδα εκβιαστών, που βγάζει τα χρήματά της από μια επίθεση με δύο άξονες: με την απόκτηση των ευαίσθητων δεδομένων πριν κλειδώσει τα συστήματα των θυμάτων. Αυτό τους επιτρέπει να πιέσουν το θύμα να πληρώσει μεγαλύτερα ποσά από μια συμβατική επίθεση ransomware, καθώς αντιμετωπίζει επίσης την απειλή μιας μαζικής διαρροής ευαίσθητων δεδομένων. Τα προγράμματα της Hive έχουν αποδειχθεί επιτυχημένα μέχρι στιγμής, καθώς πολλές διαρροές δημοσιεύονται επί του παρόντος στο ιστολόγιο των θυμάτων τους. Μέχρι τη στιγμή της σύνταξης, υπάρχουν 30 εταιρείες που κατονομάζονται επί του παρόντος στον ιστότοπο HiveLeaks

Πώς λειτουργεί το ransomware;

Υπάρχουν πολλές τεχνικές που χρησιμοποιούνται από τους δημιουργούς ransomware:

  • Το ransomware Diskcoder κρυπτογραφεί όλο το δίσκο και εμποδίζει την πρόσβαση στο λειτουργικό σύστημα.
  • Το Screen locker αποκλείει την πρόσβαση στην οθόνη της συσκευής.
  • Το Crypto-ransomware κρυπτογραφεί τα δεδομένα που είναι αποθηκευμένα στο δίσκο του θύματος.
  • Το PIN locker επιτίθεται σε συσκευές Android αλλάζοντας τους κωδικούς πρόσβασης κλειδώνοντας το χρήστη απ’ έξω.

Όλα τα παραπάνω είδη ransomware απαιτούν λύτρα, συχνά ζητώντας η πληρωμή να γίνει σε bitcoin ή κάποιο άλλο ψηφιακό νόμισμα, καθιστώντας έτσι αδύνατο τον εντοπισμό της συναλλαγής. Σε αντάλλαγμα, οι επιτιθέμενοι υπόσχονται να αποκρυπτογραφήσουν τα δεδομένα ή να αποκαταστήσουν την πρόσβαση στη μολυσμένη συσκευή.

Πρέπει να τονίσουμε ότι δεν υπάρχει καμία εγγύηση ότι οι κυβερνοεγκληματίες θα τηρήσουν τη δική τους πλευρά της συμφωνίας (μάλιστα, μερικές φορές δεν είναι καν σε θέση να το πράξουν, είτε εκ προθέσεως είτε εξαιτίας κακού προγραμματισμού). Ως εκ τούτου, συνιστάται να μην καταβάλετε το απαιτούμενο ποσό των λύτρων.


Πώς να μείνετε προστατευμένοι;

Βασικοί κανόνες που πρέπει να ακολουθήσετε για να αποφύγετε την απώλεια δεδομένων:

  • Δημιουργείτε αντίγραφα ασφαλείας των δεδομένων σας σε τακτική βάση και διατηρείτε τουλάχιστον off-line ένα πλήρες backup
    Διατηρείτε όλο το λογισμικό σας – συμπεριλαμβανομένων των λειτουργικών συστημάτων – patched και ενημερωμένο
  • Ωστόσο, για να βοηθήσετε τους χρήστες / οργανισμούς να αναγνωρίσουν, να αποτρέψουν και να καταργήσουν το ransomware, μία αξιόπιστη και πολυεπίπεδη λύση προστασίας είναι η πιο αποτελεσματική επιλογή.
Προηγμένοι κανόνες κυρίως για τις επιχειρήσεις:
  • Μειώστε την πιθανότητα επίθεσης κάνοντας απενεργοποίηση ή απεγκατάσταση οποιωνδήποτε περιττών υπηρεσιών και λογισμικού.
  • Σαρώστε τα δίκτυα για επικίνδυνους λογαριασμούς που χρησιμοποιούν αδύναμους κωδικούς πρόσβασης.
  • Περιορίστε ή απαγορεύστε τη χρήση του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (Remote Desktop Protocol – RDP) εκτός δικτύου ή ενεργοποιήστε το Network Level Authentication.
  • Χρησιμοποιήστε ένα Εικονικό Ιδιωτικό Δίκτυο (Virtual Private Network – VPN).
  • Ελέγξτε τις ρυθμίσεις του τείχους προστασίας.
  • Προστατέψτε τα αντίγραφα ασφαλείας με έλεγχο ταυτότητας δύο ή πολλαπλών παραγόντων
  • Εκπαιδεύστε τακτικά το προσωπικό σας να αναγνωρίζει και να αντιμετωπίζει τις επιθέσεις ηλεκτρονικού “ψαρέματος” (phishing).

Πηγή Zdnet.com