Acasă Diverse Cercetătorii Kaspersky Lab identifică autori ransomware care se concentrează pe atacuri împotriva...

Cercetătorii Kaspersky Lab identifică autori ransomware care se concentrează pe atacuri împotriva companiilor

6
NOTĂ: Unele articole și pagini pot conține linkuri de afiliere. Susțineți acest blog cumpărând software prin aceste linkuri. Mulțumesc!
NOTE: Some articles and pages may contain affiliate links. Support this blog by purchasing software through these links. Thank you!

Cercetătorii Kaspersky Lab au descoperit o tendință îngrijorătoare: din ce în ce mai mulți infractori cibernetici își îndreaptă atenția de la atacuri împotriva utilizatorilor individuali, către atacuri ransomware cu țintă precisă împotriva companiilor.

Au fost identificate cel puțin opt grupuri de infractori implicați în dezvoltarea și distribuirea de programe ransomware care criptează. Atacurile au lovit în primul rând organizații financiare globale. Experții Kaspersky Lab au întâlnit cazuri în care cererile de plată ajungeau la peste jumătate de milion de dolari.

Printre cele opt grupuri identificate se numără autorii PetrWrap, care au atacat organizații financiare globale, grupul Mamba și șase grupuri neidentificate care au țintit tot utilizatori corporate. Trebuie remarcat că aceste șase grupuri au fost anterior implicate în atacuri care vizau în special utilizatori individuali și au folosit program afiliate. Acum, ele și-au concentral eforturile pe rețele corporate. Conform cercetătorilor Kaspersky Lab, cauza acestei tendințe este clară: infractorii consideră că atacurile ransomware cu țintă precisă împotriva companiilor sunt potențial mai profitabile decât atacurile în masă împotriva utilizatorilor individuali. Un atac ransomware împotriva unei companii poate să oprească procesele de business pentru mai multe ore sau chiar zile, determinându-i pe deținătorii companiilor afectate să plătească răscumpărarea.

În general, tacticile, tehnicile și procedurile folosite de aceste grupuri sunt foarte similare. Ele infectează cu malware organizația pe care o vizează, prin servere vulnerabile sau prin e-mailuri de phishing. Apoi, rămân în rețeaua victimelor și identifică resursele corporate valoroase, pe care să le cripteze, ulterior cerând o răscumpărare în schimbul decriptării. În afară de similitudini, unele grupuri au și câteva caracteristici specifice.

De exemplu, grupul Mamba folosește propriul său malware de criptare, bazat pe programul open source DiskCryptor. De îndată ce atacatorii controlează rețeaua, ei instalează programul de criptare în ea, folosind o utilitară pentru Windows remote control. Această abordare face ca acțiunile lor să pară mai puțin suspecte pentru ofițerii de securitate ai organizațiilor vizate. Cercetătorii Kaspersky Lab au întâlnit cazuri în care valoarea răscumpărării ajungea până la 1 bitcoin (aproximativ 1000 de dolari, la sfârșitul lunii martie 2017) pentru decriptarea unui punct de lucru.

Kaspersky Lab identifică autori ransomware care se concentrează pe atacuri împotriva companiilor

Un alt exemplu de instrumente unice folosite în atacurile ransomware cu țintă precisă vine de la PetrWrap. Acest grup vizează, în general, companii mari, care au un număr mare de noduri de rețea. Infractorii selectează atent țintele pentru fiecare atac, care poate să dureze destul de mult: PetrWrap a fost prezent în rețea în jur de 6 luni.  

Kaspersky Lab identifică autori ransomware care se concentrează pe atacuri împotriva companiilor

”Trebuie să fim conștienți că amenințarea atacurilor ransomware cu țintă precisă asupra companiilor este în creștere, aducând pierderi financiare serioase”, spune Anton Ivanov, Senior Security Researcher, Anti-Ransom la Kaspersky Lab. Tendința este alarmantă, pentru că autorii ransomware sunt în căutarea unor victime noi și mai profitabile. Sunt mai multe potențiale ținte ale programelor ransomware, atacurile putând avea consecințe și mai grave.”

Pentru a proteja organizațiile de aceste atacuri, experții în securitate de la Kaspersky Lab recomandă următoarele:

  • Faceți backup cu regularitate informațiilor, pentru a putea redobândi fișierele originale, după o eventuală pierdere de informații.
  • Folosiți o soluție de securitate cu tehnologii de detecție bazate pe comportament. Aceste tehnologii pot să detecteze malware-ul, inclusiv ransomware, prin urmăririrea modului de operare pe sistemul atacat și făcând posibilă detectarea unor mostre noi și încă necunoscute de ransomware.  
  • Vizitați site-ul “No More Ransom”, o inițiativă colectivă, care are scopul de a ajuta victimele ransomware să își recupereze informațiile criptate fără să plătească nimic infractorilor.
  • Faceți un audit al programelor instalate, nu doar pentru endpoint-uri, dar și pentru toate nodurile și serverele din rețea și mențineți-le actualizate.
  • Efectuați o  evaluare de securitate a rețelei de control (audit de securitate, teste de intruziune, analize de decalaj) pentru a identifica și elimina lacunele de securitate. Evaluați partenerii externi și politicile de securitate terțe în cazul în care au acces direct la rețeaua de control.
  • Solicitați informații din surse externe: informațiile de la companii recunoscute ajută organizațiile să previzioneze atacurile viitoare.  
  • Pregătiți-vă angajații, acordând o atenție deosebită personalului operațional și tehnologic și conștientizării de către aceștia a recentelor amenințări și atacuri.
  • Asigurați protecție în interiorul și în afara perimetrului organizației. O strategie de securitate  adecvată trebuie să dedice resurse importante detecției și răspunsului, pentru a bloca un atac înainte de a ajunge la resurse importante.

Pentru mai multe detalii despre atacurile cu țintă precisă ransomware, citiți articolul disponibil pe Securelist.com.