Насочени ransomware атаки: лесният избор за киберпрестъпниците
Миналата година беше година на cryptojacking. През първото тримесечие на 2018 г. се наблюдава увеличение с 4000% на този вид атаки, докато за същия период откриванията на ransomware спаднаха с 2%. Въпреки това, изглежда, че ransomware-a се завръща през 2019 г. Този път обаче с повече таргетирани цели, а не с масови кампании.
Последните жертви са два града във Флорида, САЩ. На 29 май служител в полицейското управление на Rivera Beach отвори имейл, който задейства част от ransomware по цялата мрежа на града. Този зловреден код криптира файловете на кметството и прекъсна услугите в града; Всички, с изключение на услугите на 911, които все пак са били ограничени от атаката.
Месец по-късно решението на градската управа предизвика противоречия, когато обяви, че възнамерява да плати 65-те биткойн (над 600 000 евро) откуп, за да възстанови своите файлове. Само седмица след този инцидент, друг град във Флорида плати 42 биткоина (420 000 евро) откуп за възстановяване на файловете си след атака с помощта на част от рансъмуера, наречен „Triple Threat”, който е криптирал файловете на 10 юни. Кметството уволни своя ИТ директор във връзка с тази атака. За по-малко от седмица киберпрестъпността е спечелила над един милион евро.
Целенасочени атаки с ransomware
Тези два инцидента са само част от най-новата серия атаки, насочени специално към местните власти в Съединените щати. Тази година Джаксън Каунти, Балтимор, Картърсвил и Лин също бяха засегнати. А миналата седмица трети град във Флорида стана жертва на атака на ransomware.
В усилията си да се развиват, киберпрестъпниците все повече се обръщат към целенасочени атаки вместо към безразборни кампании. Движещата сила зад тази промяна, както винаги, са парите: успешна атака, извършена срещу конкретна компания, може да бъде много по-доходна от обща кампания.
Според изчисления, известаната атака с WannCry, която засегна около 200 000 компютъра по целия свят, спечели на нападателите само 120 000 €. Ако сравним това с € 600.000, спечелени в атаката на River Beach, лесно е да разберем защо целенасоченият рансъмуер набира популярност.
Norsk Hydro страда от последиците от целенасочена атака
През март миналата година, производителят на алуминий Norsk Hydro беше ударен от целенасочена атака. Според Би Би Си, нападателите прекарали седмици в IT системата на компанията, търсейки слаби места и уязвимости, преди да пуснат част от рансъмуер, който засегна 22 000 компютъра в 40 страни. Цялата компания – над 35 000 служители – трябваше да прибегне до ръчна работа.
Въпреки това реакцията на компанията е описана като „златен стандарт“ от властите; тя е отказала да плати откуп и е била отворена и прозрачна през цялото време, когато това се е случило. Независимо от това, въпреки всичко правилно, мащабът на такава целенасочена атака означава, че досега компанията е похарчила над 45 милиона британски лири (50 милиона евро), за възстановяване от нападението.
Защо целенасоченият рансъмуер е толкова опасен?
Киберпрестъпниците, които извършват този вид атака, не избират произволни компании; жертвите им се избират според уязвимостите, които съществуват в организацията. Това означава, че ако една компания е засегната от целенасочена атака на рансъмуер, има голяма вероятност тя да успее. Както обяснява CSO, нападателите са склонни да търсят компании с несигурна RDP връзка, за да започнат атаката.
Тази връзка се използва за повишаване на привилегиите и евентуално за получаване на администраторски контрол. По този начин може да се деактивират решенията за сигурност и след това да заразят системата с ransomware.
Ролята на нападателя също се променя. По време на масова ransomware кампания, нападателят изпраща зловредния код и изчаква резултатите. При целенасочените атаки обаче нападателят присъства през цялото време, активно работи за заразяване на системата. Тези атаки са добър пример за хакване на живо, където нападателят успява да намери традиционните решения за киберсигурност, за да инсталира ransomware на системата на въпросната компания.
Значението на постоянния мониторинг
За да се справим с начина, по който атакуващите действат, е важно решенията за киберсигурност да използват проактивни стратегии. Panda Adaptive Defense проактивно следи всички процеси във вашата система в реално време. Открива всякакви аномалии във всички дейности, които се извършват във вашата мрежа, като по този начин спира всяка заплаха дори преди тя да е започнала.
Друго нещо, което трябва да се има предвид е фактът, че нападателите не търсят предизвикателство. Това означава, че те не се интересуват от добре защитени компании, тъй като атакуването им ще включва инвестиране на повече пари и повече ресурси. За да спрете нападателите да получат достъп до вашата система, трябва да затворите всички слаби места. Това включва преценка дали е необходима връзка с RDP (протокол, чиято репутация е под съмнение през последните няколко седмици) или е най-добре да се отървете от него. Също така е важно да се „закърпят“ всички уязвимости.
Целенасоченият рансъмуер може да засегне организации от всякакъв вид и размер. Идеалната цел обаче е слабо защитена компания. Затова киберсигурността за фирмите е ключов инструмент.
Източник: Panda Media Center
За Panda Security
Превърнала се в един от водещите световни разработчици на решения за ИТ сигурност, Panda Security има представителства в 80 страни и милиони потребители в повече от 195 държави. Предлага продукти, адаптирани на 23 езика. Обновявайки решенията си компанията постоянно внедрява нови модели и технологии и повишава ефективността си в борбата с интернет заплахите. Благодарение на модула за сигурност Tru Prevent и технологията Collective Intelligence всяко решение предпазва максимално ценната ИТ информация, както от познати заплахи, така и от все още некласифицирани опасности. Panda Security се старае да улесни своите клиенти в съответствие с фирмения си девиз: „Една стъпка преди” всеки нов зловреден код (вирус, шпионски код, спам и др.).
Panda Security си сътрудничи със Special Olympics, WWF и Invest for Children, което е част от корпоративната политика на фирмата за социално отговорно поведение.
За допълнителна информация:
Компютел ООД – Официален представител на Panda Security за България
София: 02/ 813 28 11
Пловдив: 032/ 62 16 08