Amenințările ransomware în 2021

12 octombrie 2021

În ultimii ani, ransomwareul targetat a fost una dintre principalele amenințări cibernetice. Însă, conform Symantec Threat Hunter (Broadcom Software), în ultimul an, atacatorii ransomware au devenit mai agresivi, fiind mai îndrăzneți și extrem de periculoși.

Amenințările ransomware în 2021

Atacul asupra Colonial Pipeline (SUA, mai 2021) a provocat îngrijorări în aprovizionarea cu combustibil. În aceeași lună, un atac asupra serviciului național de sănătate al Irlandei, Health Service Executive, a anulat mii de programări, iar recuperarea datelor se încheie abia acum.

Ransomware-ul a scăzut, în general, lucru explicat de declinul atacurilor de prin corespondență în masă. O îngrijorare mare este că numărul de organizații afectate de atacuri ransomware-țintă a crescut cu 83% în ultimele 18 luni, de la 81 în ianuarie 2020, la 148 în iunie 2021.

Numărul real de atacuri ransomware-target este mult mai mare. Atacurile confirmate cu familiile cunoscute de ransomware sunt probabil doar un eșantion reprezentativ al totalului de atacuri cu astfel de amenințări. Multe atacuri ransomware-target sunt oprite în faza inițială, fiind posibil să nu fie identificate ca ransomware. În plus, majoritatea atacatorilor își recompilează ransomware-ul pentru fiecare atac nou. Aceasta înseamnă că varianta ransomware-ului utilizat într-un atac poate fi blocată prin detectări generice sau generate de învățarea automată, mai degrabă decât printr-o detectare legată de familia de ransomware.

Fig 1. Numărul de organizații afectate de ransomware (ian. 2020-iunie 2021)

Pe lângă creștere, peisajul amenințărilor ransomware a devenit mai complex și mai sofisticat, amenințările pentru organizații fiind mai puternică.

Deși ransomware-as-a-service (RaaS) nu este un concept nou, piața RaaS a evoluat semnificativ în ultimul an. Tipic, atacatorii oferă acces la ransomwareul în sine, găzduire pentru datele „sparte” și gestionarea negocierilor de răscumpărare. În unele cazuri, s-a raportat că dezvoltatorii de ransomware au oferte complete pentru „clienți”.

Însă, unii afiliați par să devină mai puțin dependenți de autorii de ransomware. Dacă dezvoltatorul respectiv dispare, mulți afiliați folosesc propriile instrumente, tactici și proceduri (TTP) distincte. Unii par să colaboreze simultan cu mai mulți autori de ransomware. Echipa Symantec Threat Hunter a identificat grupuri care folosesc două tulpini diferite de ransomware într-un timp foarte scurt și, în unele cazuri, în timpul aceluiași atac.

În ultimele 12 luni, infecțiile secundare, de obicei prin botnet, au devenit cele mai răspândite mijloace de acces pentru atacatorii ransomware. Troienii care au fost cândva folosiți pentru fraudă financiară, ca Trickbot, au devenit canale de distribuție pentru alte programe malware, în special ransomware.

Uneori, atacatorii ransomware controlează deja botneturile, ca grupul Miner (aka Wizard Spider), care deține Trickbot. Trickbot a fost precursor al atacurilor lui Ryuk, atribuit și lui Miner. Similar, Hispid (alias Evil Corp) și-a folosit propriul botnet Dridex, inițial construit pentru atacuri financiare.

Alți atacatori au încercat să copieze acest model, căutând colaborări cu operatori de botnet consacrați. Cea mai notabilă este utilizarea IcedID de către cel puțin un operator afiliat al ransomware-ului Conti.

Abundența atacatorilor ransomware-target, combinată cu evoluția RaaS, arată că ransomware-target reprezintă o amenințare gravă pentru organizații. Deși atacatorii au atras tot mai mult atenția autorităților, răscumpărările încasate de ei arată că victimele încă se tem.

Cauți o aplicație software?

Completați formularul și veți fi contactat de unul din consultanții noștri!

Aplicații software recomandate

Soluția Landing Zone este un mediu securizat si configurat pentru intreprinderi Multi-Account si Multi-VPC, bazat pe cele mai bune practici ale AWS. In plus, Landing Zone -ul  este o platformă de self-service care devine un agent de accelerare a...

Descoperă aplicația arrow_forward

Analiza în timp real pentru protecţie avansată – 8 direcţii de analiză a riscului şi calculul scorului de risc prin analiza de predicţie Forcepoint ACE. Acces facil la date printr-un tablou de bord avansat, cu rapoarte...

Descoperă aplicația arrow_forward

• Asigură datele sensibile faţă de atacuri externe sau ameninţări interne – Pentru a fi pregatit în faţa atacurilor interne sau externe, este vitală monitorizarea comunicaţiilor electronice. •...

Descoperă aplicația arrow_forward

Forcepoint recunoaşte angajaţii tăi ca prima linie de apărare în faţa atacurilor cibernetice curente, protejând datele de pe sistemele fixe, din rețea, dispozitive mobile, cloud sau baze de date. •...

Descoperă aplicația arrow_forward

Serviciul de audit de securitate IT&C consta in implementarea in retea a unui firewall, scanarea traficului timp de aproximativ 7 zile si apoi redactarea si prezentarea unui raport de audit.

Descoperă aplicația arrow_forward

Heimdal PRO este o suită de protecție împotriva atacurilor cibernetice pe care produsele antivirus nu le pot bloca.       

Descoperă aplicația arrow_forward

Articole IT&C similare
Softlead

Care sunt beneficiile aduse companiilor prin implementarea unei soluții software ERP?

Conform unui studiu publicat de TEC (Technology Evaluation Conters), aproximativ 50% dintre companii fie au în plan achiziționarea unei soluții software ERP, fie au început deja acest proces.

Citește articolul arrow_forward
Softlead

Software Weekly News – 7 Ianuarie

La sfârșitul fiecărei săptămâni, Softlead adună într-un material dedicat cele mai importante noutăți din Industria software/IT, atât de pe plan local, cât și la nivel internațional.  

Citește articolul arrow_forward