Badacze z firmy Kaspersky Lab wykryli narastający i alarmujący trend: coraz więcej cyberprzestępców rezygnuje z ataków na użytkowników prywatnych na rzecz działań ukierunkowanych na firmy, w których wykorzystywane są programy żądające okupu (tzw. ransomware). Zidentyfikowano co najmniej osiem grup cyberprzestępczych, które brały udział w rozwijaniu i dystrybucji takich zagrożeń.
Ataki były głównie wymierzone w organizacje finansowe zlokalizowane na całym świecie. Eksperci z Kaspersky Lab wykryli przypadki, w których żądane kwoty sięgały nawet pół miliona dolarów.
Wśród ośmiu zidentyfikowanych grup znaleźli się autorzy zagrożenia PetrWrap, atakującego organizacje finansowe na całym świecie, grupa Mamba, a także sześć grup nieposiadających nazwy, które również atakowały użytkowników korporacyjnych. Warto zauważyć, że wspomniane wcześniej sześć grup było zaangażowanych w ataki skierowane głównie w użytkowników prywatnych i wykorzystywało model programów partnerskich. Teraz przestępcy ci skupili swoją uwagę na sieciach firmowych. Według badaczy z Kaspersky Lab przyczyna takiej zmiany jest dosyć oczywista — przestępcy uważają, że ukierunkowane ataki wykorzystujące ransomware skierowane przeciwko firmom są potencjalnie bardziej dochodowe niż ataki masowe na użytkowników prywatnych. Pomyślny atak z wykorzystaniem programu ransomware na firmę może z łatwością utrudnić lub zatrzymać jej działanie na kilka godzin, a nawet dni, dzięki czemu jej właściciel z większym prawdopodobieństwem spełni żądanie zapłaty okupu.
Ogólnie grupy te wykorzystywały dosyć podobne taktyki, techniki i procedury. Najpierw infekowano wybraną organizację szkodliwym programem za pośrednictwem niezałatanych serwerów lub ukierunkowanych wiadomości phishingowych. Następnie programy te przebywały przez jakiś czas w sieci ofiary, próbując zidentyfikować wartościowe zasoby firmy, za które po zaszyfrowaniu można było żądać okupu. Jednak oprócz podobieństw niektóre grupy miały własne unikatowe cechy.
Na przykład grupa Mamba stosowała własny szkodliwy program szyfrujący, który wykorzystywał oprogramowanie z otwartym kodem źródłowym DiskCryptor. Po przedostaniu się do sieci atakujący instalowali w niej program szyfrujący przy użyciu legalnego narzędzia systemu Windows służącego do kontroli zdalnej. Dzięki temu działania nie wzbudzały podejrzeń u specjalistów odpowiedzialnych za bezpieczeństwo w atakowanej organizacji. Badacze z Kaspersky Lab wykryli przypadki, w których kwota żądana za odszyfrowanie jednego punktu końcowego wyniosła nawet jednego bitcoina (około 1 000 dolarów, dane z końca marca 2017 r.).
Kolejnym unikatowym przykładem narzędzi wykorzystywanych w atakach ukierunkowanych z użyciem ransomware jest przypadek grupy PetrWrap. Przeważnie atakowała ona duże firmy, w których znajduje się wiele węzłów sieciowych. Dla każdego ataku przestępcy dokładnie wybierali swoje cele: zagrożenie PetrWrap mogło rezydować w sieci nawet do 6 miesięcy.
Należy mieć świadomość, że zagrożenie atakami ukierunkowanymi wykorzystującymi programy żądające okupu na firmy wzrasta, skutkując wymiernymi stratami finansowymi. Trend ten jest alarmujący, ponieważ twórcy takich programów rozpoczęli właśnie swoją krucjatę przeciwko nowym i bardziej dochodowym ofiarom. Na wolności istnieje wiele więcej potencjalnych celów programów ransomware, a takie ataki przynoszą jeszcze bardziej katastrofalne skutki — powiedział Anton Iwanow, starszy badacz ds. bezpieczeństwa IT, dział zwalczania oprogramowania ransomware, Kaspersky Lab.
Aby chronić organizacje przed takimi atakami, eksperci ds. bezpieczeństwa z Kaspersky Lab zalecają zastosowanie się do poniższych wskazówek:
- Poprawnie i na bieżąco wykonuj kopię zapasową danych, aby można było jej użyć do przywrócenia oryginalnych plików w przypadku utraty dostępu do nich.
- Używaj programu zabezpieczającego oraz technologii wykrywania opartych na analizie zachowania. Mechanizmy te potrafią wychwycić szkodliwy program, w tym także ransomware, poprzez obserwowanie jego działania w atakowanym systemie, jak również umożliwiają wykrywanie nowych, nieznanych próbek ransomware i innych zagrożeń.
- Odwiedź stronę No More Ransom — wspólną inicjatywę, której celem jest pomoc ofiarom ataków ransomware w odzyskaniu ich zaszyfrowanych danych bez konieczności płacenia okupu cyberprzestępcom.
- Przeglądaj listę zainstalowanych programów, nie tylko na punktach końcowych, ale także na wszystkich węzłach i serwerach w sieci oraz dbaj o to, aby oprogramowanie i systemy zawsze były aktualne.
- Przeprowadź ocenę bezpieczeństwa sieci (tzn. audyt bezpieczeństwa, testy penetracyjne, analizę luk) w celu zidentyfikowania i usunięcia wszelkich błędów w zabezpieczeniach. Sprawdź polityki bezpieczeństwa producentów zewnętrznych i firm trzecich — dowiedz się, czy posiadają oni bezpośredni dostęp do Twojej sieci.
- Zdecyduj się na przeprowadzenie analizy przez zewnętrznego dostawcę: renomowana firma pomoże przewidzieć przyszłe ataki na firmę.
- Szkol swoich pracowników, ze szczególnym uwzględnieniem personelu operacyjnego i kadry inżynieryjnej, zwiększając ich świadomość w kwestii najnowszych zagrożeń i ataków.
- Zadbaj o ochronę wewnątrz i na zewnątrz firmy. Odpowiednia strategia bezpieczeństwa obejmuje zaangażowanie wielu zasobów w celu wykrywania ataków oraz reagowania na nie, co umożliwi zablokowanie ataku, zanim dotrze on do obiektów o znaczeniu krytycznym.
/ Kaspersky Lab