Amenințările ransomware în 2021

În ultimii ani, ransomware-ul targetat a fost una dintre principalele amenințări cibernetice. Însă, conform Symantec Threat Hunter (Broadcom Software), în ultimul an, atacatorii ransomware au devenit mai agresivi, fiind mai îndrăzneți și extrem de periculoși.

Atacul asupra Colonial Pipeline (SUA, mai 2021) a provocat îngrijorări în aprovizionarea cu combustibil. În aceeași lună, un atac asupra serviciului național de sănătate al Irlandei, Health Service Executive, a anulat mii de programări, iar recuperarea datelor se încheie abia acum.

Ransomware-ul a scăzut, în general, lucru explicat de declinul atacurilor de prin corespondență în masă. O îngrijorare mare este că numărul de organizații afectate de atacuri ransomware-țintă a crescut cu 83% în ultimele 18 luni, de la 81 în ianuarie 2020, la 148 în iunie 2021.

Numărul real de atacuri ransomware-target este mult mai mare. Atacurile confirmate cu familiile cunoscute de ransomware sunt probabil doar un eșantion reprezentativ al totalului de atacuri cu astfel de amenințări. Multe atacuri ransomware-target sunt oprite în faza inițială, fiind posibil să nu fie identificate ca ransomware. În plus, majoritatea atacatorilor își recompilează ransomware-ul pentru fiecare atac nou. Aceasta înseamnă că varianta ransomware-ului utilizat într-un atac poate fi blocată prin detectări generice sau generate de învățarea automată, mai degrabă decât printr-o detectare legată de familia de ransomware.

Fig 1. Numărul de organizații afectate de ransomware (ian. 2020-iunie 2021)
Fig 1. Numărul de organizații afectate de ransomware (ian. 2020-iunie 2021)

Pe lângă creștere, peisajul amenințărilor ransomware a devenit mai complex și mai sofisticat, amenințările pentru organizații fiind mai puternică.

Deși ransomware-as-a-service (RaaS) nu este un concept nou, piața RaaS a evoluat semnificativ în ultimul an. Tipic, atacatorii oferă acces la ransomwareul în sine, găzduire pentru datele „sparte” și gestionarea negocierilor de răscumpărare. În unele cazuri, s-a raportat că dezvoltatorii de ransomware au oferte complete pentru „clienți”.

Însă, unii afiliați par să devină mai puțin dependenți de autorii de ransomware. Dacă dezvoltatorul respectiv dispare, mulți afiliați folosesc propriile instrumente, tactici și proceduri (TTP) distincte. Unii par să colaboreze simultan cu mai mulți autori de ransomware. Echipa Symantec Threat Hunter a identificat grupuri care folosesc două tulpini diferite de ransomware într-un timp foarte scurt și, în unele cazuri, în timpul aceluiași atac.

În ultimele 12 luni, infecțiile secundare, de obicei prin botnet, au devenit cele mai răspândite mijloace de acces pentru atacatorii ransomware. Troienii care au fost cândva folosiți pentru fraudă financiară, ca Trickbot, au devenit canale de distribuție pentru alte programe malware, în special ransomware.

Uneori, atacatorii ransomware controlează deja botneturile, ca grupul Miner (aka Wizard Spider), care deține Trickbot. Trickbot a fost precursor al atacurilor lui Ryuk, atribuit și lui Miner. Similar, Hispid (alias Evil Corp) și-a folosit propriul botnet Dridex, inițial construit pentru atacuri financiare.

Alți atacatori au încercat să copieze acest model, căutând colaborări cu operatori de botnet consacrați. Cea mai notabilă este utilizarea IcedID de către cel puțin un operator afiliat al ransomware-ului Conti.

Abundența atacatorilor ransomware-target, combinată cu evoluția RaaS, arată că ransomware-target reprezintă o amenințare gravă pentru organizații. Deși atacatorii au atras tot mai mult atenția autorităților, răscumpărările încasate de ei arată că victimele încă se tem.

Soluțiile Symantec sunt distribuite în zona Balcanilor de către SolvIT Networks.