Το Ransomware έχει γίνει μια από τις πιο ύπουλες απειλές τα τελευταία δύο χρόνια, με τους hackers να αυξάνουν τις δραστηριότητές τους στο σημείο που η μέση ζήτηση λύτρων αυξήθηκε περισσότερο από 10 φορές σε ένα έτος.
Υπάρχουν πάνω από δώδεκα operators στο παιχνίδι των ransomware-as-a-service (RaaS), με τον καθένα να διαθέτει πλήθος συνεργατών που επικεντρώνονται σε εταιρικούς στόχους σε όλο τον κόσμο.
Δεδομένου ότι η περίφημη ομάδα GandCrab ανακοίνωσε ότι σταματάει στα μέσα του 2019, το τοπίο στα ransomware άλλαξε δραστικά. Το μοντέλο των RaaS που εισήγαγαν είναι πλέον ο κανόνας, ανοίγοντας το δρόμο για επαγγελματίες επιτιθέμενους με μια σαφή στρατηγική για να κερδίσουν χρήματα.
Τεράστια άλματα στη ζήτηση λύτρων
Η ετήσια εξέλιξη της απειλής του ransomware είναι ορατή από την άποψη της ζήτησης λύτρων, καθώς και από τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) που χρησιμοποιούνται από τους εισβολείς που εκτελούν big-game επιχειρήσεις ransomware.
Σε μια έκθεση σήμερα, η εταιρεία cybersecurity Group-IB ανέλυσε πώς αυτή η απειλή άλλαξε σε μόλις ένα έτος από το 2018. Υιοθέτησαν ένα ευρύ φάσμα αρχικών φορέων πρόσβασης, αύξησαν τις απαιτήσεις λύτρων και άρχισαν να κλέβουν αρχεία από τα θύματα πριν από την κρυπτογράφηση για να επιβάλλουν με τον τρόπο τους την πληρωμή.
Σύμφωνα με την έκθεση, οι επιθέσεις ransomware το 2019 αυξήθηκαν κατά 40% και η εστίαση σε μεγαλύτερους στόχους οδήγησε την τιμή των λύτρων από 6.000 $ σε 84.000 $, με τις οικογένειες των Ryuk και REvil (Sodin, Sodinokibi) να είναι από τις πιο άπληστες.
Ωστόσο, το 2020, η τιμή αυξήθηκε ακόμη περισσότερο. Τα δεδομένα από την Coveware, μια εταιρεία που χειρίζεται περιστατικά ransomware, δείχνουν ότι ο μέσος όρος αυξήθηκε ακόμη περισσότερο το πρώτο τρίμηνο του έτους, στα 111.605 $. Τα Ryuk και REvil συνεχίζουν να είναι υπεύθυνα για αυτήν την αύξηση της τιμής των λύτρων.
Τακτική, τεχνικές και διαδικασίες
Μεταξύ των πιο συνηθισμένων τεχνικών εισβολής που εντοπίστηκαν είναι το compromise μέσω exploit kits (EKs), εξωτερικές απομακρυσμένες υπηρεσίες (κυρίως RDP) και spear phishing ήταν στην κορυφή της λίστας.
Στη διάσκεψη ασφαλείας της RSA τον Φεβρουάριο, το FBI δήλωσε επίσης ότι το RDP είναι η πιο κοινή μέθοδος που χρησιμοποιούν οι φορείς ransomware για πρόσβαση στο δίκτυο των θυμάτων.
Οι πιο προηγμένοι φορείς ransomware βασίστηκαν σε μεθόδους που τους έδωσαν πρόσβαση σε πιο πολύτιμους στόχους: συμβιβασμός αλυσίδας εφοδιασμού, εκμετάλλευση μη ευθυγραμμισμένων τρωτών σημείων σε εφαρμογές ή συμβιβασμός παρόχων διαχειριζόμενων υπηρεσιών (MSP).
Από εκεί, οι επιτιθέμενοι χρησιμοποίησαν τα εργαλεία τους και προχώρησαν στα επόμενα στάδια, καθιερώνοντας persistence, κλιμακώνοντας προνόμια (αν χρειαστεί), αποφεύγοντας τις άμυνες, αποκτώντας credentials χαρτογράφησης του δικτύου, μετακίνηση σε πολύτιμους κεντρικούς υπολογιστές, κλοπή αρχείων και στη συνέχεια κρυπτογράφηση.
Κλοπή> κρυπτογράφηση> διαρροή
Ενώ οι τεχνικές εισβολής δεν έχουν αλλάξει πολύ από το 2019, η λίστα των ransomware operators έχει αυξηθεί απότομα και ορισμένοι από αυτούς άλλαξαν σε νέα ονόματα:
- Το JSWorm έγινε Nemty τον Αύγουστο του 2019
- To Mailto έγινε Netwalker τον Φεβρουάριο του 2020
- Το Cryakl είναι πλέον CryLock
- To PwndLcker μετονομάστηκε σε ProLock τον Μάρτιο του 2020
Μερικοί επιπλέον εκτός των παραπάνω άρχισαν να διαρρέουν αρχεία που έχουν κλαπεί από τα θύματα, εκτός και αν έχουν πάρει τα λύτρα που έχουν ζητήσει. Αυτή η τάση ξεκίνησε από το Maze τον Νοέμβριο του 2019, όταν δημοσίευσαν δεδομένα από την Allied Universal.
Προς το παρόν, 12 ransomware operators έχουν ιστότοπους διαρροής όπου δημοσιεύουν δεδομένα που έχουν κλαπεί από θύματα, ενώ άλλοι χρησιμοποιούν hacker forum για να μοιράζονται συνδέσμους λήψης.
Μερικά από τα λύτρα που απαιτούνται από τους επιτιθέμενους είναι πραγματικά εντυπωσιακά. Το REvil, για παράδειγμα, ζήτησε 21 εκατομμύρια δολάρια από ένα θύμα ή θα δημοσιεύσει δεδομένα σχετικά με τους πελάτες της εταιρείας, τα περισσότερα από τα οποία είναι μεγάλα ονόματα στον κλάδο της ψυχαγωγίας.
Το Ako ransomware, που κλέβει επίσης δεδομένα θυμάτων, βρήκε έναν τρόπο να αυξήσει τα κέρδη του ζητώντας δύο λύτρα: ένα για την αποκρυπτογράφηση των αρχείων και ένα άλλο για τη μη δημοσίευση των κλεμμένων αρχείων.
Οι απαιτήσεις των λύτρων ύψους 1 εκατομμυρίου δολαρίων και άνω δεν είναι πλέον ασυνήθιστες, καθώς οι παράγοντες απειλής προσαρμόζουν τις τιμές τους σύμφωνα με τα έσοδα του οργανισμού που έχουν παραβιαστεί και τον αριθμό των κλειδωμένων υπολογιστών.
Το περασμένο έτος ήταν εξαιρετικά κερδοφόρο για τους ransomware επιτιθέμενους, αλλά με τις τιμές που έχουμε δει πρόσφατα, το 2020 είναι πιθανό να το ξεπεράσει καθώς οι hackers συνεχίζουν να στοχεύουν μεγάλες εταιρείες σε βασικούς κλάδους.
