Παρά την υψηλή επίγνωση και τις σημαντικές επενδύσεις σε μέτρα ασφαλείας, το ransomware παραμένει μία από τις μεγαλύτερες προκλήσεις ασφάλειας που αντιμετωπίζουν οι οργανισμοί παγκοσμίως.
Σύμφωνα με την πιο πρόσφατη Έκθεση Ασφάλειας Διαδικτύου της WatchGuard, οι ανιχνεύσεις κινδύνου endpoint ransomware αυξήθηκαν κατά 627% το τέταρτο τρίμηνο του περασμένου έτους, υπογραμμίζοντας την ανάγκη για τις ομάδες ασφάλειας να ενισχύσουν το επίπεδο προστασίας τους.
Η συνεχής επαγρύπνηση είναι ζωτικό μέρος για την επίτευξη αποτελεσματικής προστασίας. Μέρος αυτής της επαγρύπνησης πρέπει να είναι η συνεχής παρακολούθηση των συνεχώς μεταβαλλόμενων τακτικών και μεθόδων που χρησιμοποιούνται για την εκτέλεση επιθέσεων ransomware.
Υπάρχουν αυτήν τη στιγμή τρεις βασικές τάσεις στο ransomware που οι ομάδες ασφαλείας πρέπει να κατανοήσουν και να λάβουν υπόψη κατά την εφαρμογή προστατευτικών μέτρων. Αυτές είναι:
- Η εμφάνιση του “ψευδο-ransomware”
Από τότε που η Ρωσία εισέβαλε στην Ουκρανία, παρατηρείται σημαντική αύξηση των κυβερνοεπιθέσεων και στις δύο χώρες. Σε πολλές περιπτώσεις, οι επιθέσεις έχουν περιλάβει μια τεχνική που ονομάζεται “ψευδό ransomware”.
Ένα ψευδο-ransomware αποτελεί μια συμβατική επίθεση ransomware, ωστόσο οι δράστες επιδιώκουν να προκαλέσουν διαταραχές και απώλειες αντί να ζητήσουν πληρωμή για τα κλειδιά αποκρυπτογράφησης.
Τέτοιες επιθέσεις αποκαλούνται ‘wipers’, καθώς ο στόχος τους είναι να διαγράψουν ή να καταστρέψουν δεδομένα σε μια υποδομή IT ενός θύματος. Σε ορισμένες περιπτώσεις παρέχεται μια σημείωση ransomware, αλλά δεν δίνονται λεπτομέρειες για το πώς μπορούν να καταβληθούν τα ransom. Σε άλλες περιπτώσεις, τα αρχεία κρυπτογραφήθηκαν με έναν τρόπο που δεν επέτρεπε την αποκρυπτογράφηση.
Παραδείγματα περιλαμβάνουν το WhisperGate, το PartyTicket (γνωστό και ως HermeticRansom), το Azov, το Somnia και το RU Ransom. Όλοι αυτοί ήταν νέοι wipers που ανακαλύφθηκαν στην Ουκρανία και μεταμφιέστηκαν ως ransomware. Εν τω μεταξύ, το CryWiper είναι ένα παράδειγμα ψευδο-ransomware που βρίσκεται σε ρωσικά κυβερνητικά δίκτυα.
- Η άνοδος του κώδικα Rust
Μια ακόμα ενδιαφέρουσα τάση είναι η αυξανόμενη τάση των συμμοριών των ransomware να χρησιμοποιούν την γλώσσα προγραμματισμού Rust για την ανάπτυξη ransomware. Η Rust είναι μια γλώσσα πολλαπλών παραδειγμάτων, γενικής χρήσης, που τονίζει την απόδοση και την ταυτόχρονη εκτέλεση.
Η πρώτη γνωστή ομάδα που χρησιμοποίησε το Rust ήταν η ομάδα Alphv (επίσης γνωστή ως BlackCat ή Noberus), πριν ακολουθήσουν άλλες ομάδες το παράδειγμά τους. Η RansomExx δημιούργησε μια νέα παραλλαγή σε Rust και την ανανέωσε ως RansomExx2.
Παράλληλα, και άλλες ομάδες όπως η Agenda, η Luna, η Nokoyawa και η Hive έχουν χρησιμοποιήσει παραλλαγές της γλώσσας προγραμματισμού Rust. Αυτή η αναδυόμενη τάση επηρεάζει κυρίως τους αναλυτές απειλών και τους researchers, αλλά επηρεάζει και τα τερματικά, καθώς οι μηχανές anti-virus ενδέχεται να μην ανιχνεύουν τις νεότερες γλώσσες προγραμματισμού με την ίδια αποτελεσματικότητα.
- Η αυξανόμενη δημοφιλία των επιθέσεων double-extortion
Οι επιθέσεις double-extortion περιλαμβάνουν έναν κυβερνοεγκληματία να κρυπτογραφεί τα αρχεία ενός στόχου ενώ ταυτόχρονα κλέβει ένα αντίγραφο. Θέτει λοιπόν την απειλή ότι, αν δεν καλυφθεί το ποσό των λύτρων, αυτά τα αρχεία θα δημοσιοποιηθούν.
Δυστυχώς, περιστατικά double-extortion συμβαίνουν με αυξημένο ρυθμό. Ορισμένες ομάδες απειλούν τα θύματα με επιθέσεις denial-of-service (DDoS) ή έχουν έρθει σε επαφή με τους πελάτες για να εξαναγκάσουν την πληρωμή.
Οι επιθέσεις ransomware συνεχίζουν να αυξάνονται τόσο σε πολυπλοκότητα όσο και σε αριθμό. Για αυτόν τον λόγο, είναι ζωτικής σημασίας οι ομάδες ασφαλείας να παραμείνουν επιφυλακτικές και να ακολουθήσουν τα απαραίτητα βήματα για να εξασφαλίσουν ότι ο organization τους διαθέτει τα καλύτερα δυνατά προστατευτικά μέτρα.
Πηγή πληροφοριών: itwire.com
