Рансъмуерът все още присъства и се разраства сред заплахите до такава степен, че някои организации вече включват разходите за рансъмуер атака в годишните си бюджети.
Данните от нашия доклад за интернет сигурността – Q4 2022 разкриват, че откриванията на рансъмуер в крайни точки са нараснали с тревожните 627% през 2022 г. в сравнение с предходната година. Въпреки че рансъмуерът не прави разлика по тип индустрия, докладът ясно показва, че производственият сектор е бил най-засегнат през 2022 г. Атаките върху тези устройства са се увеличили с 87% през 2022 г. в сравнение с 2021 г., а 72% от тях са били насочени към производствения сектор, според неотдавнашно проучване на заплахите и тенденциите в областта на операционните технологии (OT).
Кога е създаден рансъмуерът и как се е развил?
Характерът на ransomware се е променил, тъй като киберпрестъпниците са успели да усъвършенстват тактиките си за изнудване. Например само за една година – от 2021 г. до 2022 г. – средното време за осъществяване на атака с рансъмуер е намаляло от два месеца на по-малко от четири дни. Но кога за първи път е създаден този вид кибератака и как се е превърнал в заплахата, която познаваме днес?
1989 г.: Първата ransomware атака се случва след конференцията на Световната здравна организация за СПИН, когато злонамерен извършителите разпраща по пощата 20 000 дискети, съдържащи ransomware, който държи данните като заложници и изисква плащане на 189 USD под предлог, че е изследване за ХИВ.
2004 – 2006: През 2004 г. фишинг кампания със злонамерени връзки заразява жертвите чрез атака, известна като GPCode Archievius, която криптира файлове в системи Windows и изисква 20 USD за ключа за декриптиране. До 2006 г. авторите на ransomware са насочили усилията си към Archievius, макар и неуспешно, тъй като не са използвали различни пароли за отключване на системите и целите на атаката са открили тази грешка.
2010 – 2015: През 2010 г. се появяват отмъстителни програми за шкафчета, свързани с ранните дни на криптовалутите. През 2011 г. WinLock заразява потребителите, които посещават злонамерени уебсайтове, и блокира достъпа до техните устройства. През 2012 г. се появи първият ransomware-as-a-service (RaaS) със зловредния софтуер Reveton – атака, която се маскираше като съобщения, изпратени от правоприлагащите органи, и заплашваше потребителите със затворнически присъди, ако не платят откуп в биткойни. През 2013 г. се появи CryptoLocker – вариант на криптовирус, който донесе на авторите си повече от 27 млн. долара под формата на плащания за откуп през първите два месеца. Със SimpleLocker през 2014 г. откупният софтуер направи скок от персоналните компютри към други устройства, като беше първият откупен софтуер, който криптираше файлове на устройства с Android. А през 2015 г. LockerPin, който също беше насочен към мобилни устройства, блокираше потребителите от техните устройства и променяше ПИН кода им.
2016: Зловредният софтуер Petya беше първият вариант, който не криптираше отделни файлове, тъй като хакерите успяваха по-бързо да заключат целия твърд диск на своите жертви.
2017: През тази година рансъмуерът стана глобален благодарение на рансъмуера WannaCry, който засегна стотици хиляди машини в над 150 държави и в различни индустрии. През тази година се появи и вариантът NotPetya, който включваше нови функции за изтриване, които можеха да изтрият и унищожат файловете на потребителите.
2018-2022 г.: През последните пет години рансъмуерът еволюира в най-вредната си фаза досега. Сред факторите, които повлияха на тази трансформация, са използването на двойно изнудване, при което нападателите не само криптират, но и крадат данните на жертвите си, и ловът на едър дивеч, т.е. преследването на големи компании като цели. Важно е да се отбележи, че нарастването на лова на големи играчи по никакъв начин не изключва атаките с откуп срещу по-малки компании, които са били наблюдавани в миналото.
2022-2023 г.: 2022 г. е рекордна за WatchGuard по отношение на откритията на ransomware, като броят на откритията се е увеличил с 627% в сравнение с 2021 г. От нашия анализ стигаме до заключението, че Lockbit несъмнено е групата за рансъмуер, която изглежда е най-успешна в пробива на корпоративни данни, чрез своите филиали. Постоянно се появяват нови варианти на зловредния софтуер на Lockbit.
Тенденциите в областта на рансъмуера са доминирани от възхода на рансъмуера като услуга (RaaS), който се дължи на все по-голямата наличност на платформи RaaS, които вече предлагат функции и услуги като персонализиране на зловредния софтуер, поддръжка или система за плащане на рансъмуер. Освен това експлойтите от нулев ден се превърнаха в един от предпочитаните вектори за навлизане на атакуващите с ransomware. Технологии като изкуствения интелект и машинното обучение също навлязоха в тази индустрия и се използват от киберпрестъпниците, за да направят ransomware по-сложен и труден за откриване. Нападателите използват автоматизацията, за да намалят риска от човешка грешка, особено във фазата на проникване, тъй като тя обикновено изисква значителни инвестиции на време и усилия. Друга тенденция, която набира сила, е персонализирането на тези атаки, при което участниците проучват задълбочено профила на своите жертви и изграждат непробиваема стратегия за внедряване на зловреден софтуер. Взети заедно, тези тенденции оказват голямо влияние върху индустрията за трилиони долари, която киберсигурността представлява днес.
Борба с ransomware със сигурност на крайните точки
За да се преборят с тези тенденции, организациите трябва да разполагат с усъвършенствани механизми за контрол на сигурността, за да предотвратят проактивно инцидент и да разработят солидни планове за непрекъснатост на дейността и възстановяване. Внедряването на унифицирано решение за сигурност на крайни точки, което съчетава EPP и EDR възможности, предлага предимства при справянето с напреднали заплахи като ransomware, като осигурява непрекъснато наблюдение на крайни точки, което може да открива и класифицира цялата дейност, като по този начин разкрива и блокира аномално поведение на потребители, машини и процеси.
Решението EPDR на WatchGuard отговаря на тези критерии, като същевременно автоматизира предотвратяването, откриването, ограничаването и реагирането на