Ransomware е кошмарът на всяка фирма, държавна институция или обикновен потребител - в единия момент всичко работи безпроблемно, а в следващия файловете са криптирани, системата е блокирана и се виждат само две неща: съобщение и таймер. Това са поискан откуп в криптовалута и оставащото време преди скъпоценната информация да бъде унищожена и/или пусната онлайн.
Най-тежка беше ситуацията с киберрекета през 2021 г. - рязко и неочаквано минали на дистанционен режим на работа, много компании и ведомства се оказаха тотално неподготвени за атаките срещу системите им. Сега киберсигурността даже и в хибридна среда е на друго равнище, но и престъпниците не стоят на едно място.
Новите ransomware зловредни програми, открити през 2023 г., са едва 43 "фамилии" при 95 година по-рано, но това не трябва да ни успокоява, защото показва "зрели умения на авторите им и стабилни и печеливши стратегии за атака". Цитатът е на Кристиан Бийк, старши директор по анализа на заплахите в компанията за киберсигурност Rapid7.
"В началото ransomware имаше основна цел да криптира цялата система, докато сега този тип заплахи се прицелват в критични за бизнеса системи като мрежови дялове и виртуални машини. Голямата промяна, която виждаме, е, че данните първо се извличат, а след това масивите се криптират и се иска откуп", коментира пред The Register експертът.
По думите му между януари 2023 г. и февруари 2024 г. официално са докладвани 5600 ransomware инцидента - но вероятно реалната бройка е значително по-висока, защото в много случаи атаките не се докладват.
Доклад: Щетите от кибератаки може да надхвърлят 30 милиарда долара до 2023 г.
Това смятат от Acronis
Сред най-успешните банди са LockBit (водена от издирвания руснак Дмитри Хорошев), BlackCat (ударена от ФБР - инфраструктурата ѝ беше конфискувана, но все още няма арестувани) и още ред други известни имена от дигиталния ъндърграунд.
Как влизат?
Според анализа на Rapid7 най-често заразата влиза по два начина - компрометиране на публично приложение, свързано с вътрешни ресурси и достигане до валиден служителски профил.
Експертите посочват, че е от ключово значение внедряването на многофакторна идентификация за достъп, като пропуските в тази област водят до 41% от атаките. Социалното инженерство (напр. фишинг мейли) е довело до 12% от пробивите, а 30% са свързани със софтуерни слабости.
Последната категория всъщност и показва колко финансово мощни са станали бандите - Rapid7 редовно откриват в хакерски форуми обяви, свързани с открити слабости в популярни технологии като например VPN приложения, като информацията се продава за по над 100 000 долара.
"Киберпрестъпленията носят печалба и, както във всяка финансова екосистема, търсенето за нови zero-day експлойти мотивира разработките им. Ransomware група, която печели 8-цифрени суми от координирани глобални атаки, може да си позволи да си поръча или купи информация за много необявени слабости", коментира Бийк.
Най-често се атакуват мрежови и защитни системи, като тенденцията е хакерите да започват атаките си от т.нар edge устройства, които са в периферията на корпоративната мрежа - например IoT сензори и камери.