Το ransomware είναι μεταξύ των βασικότερων ψηφιακών απειλών που ενδέχεται να αντιμετωπίσουν οι επιχειρήσεις μέσα στο 2021. Οι επιτιθέμενοι είναι πιο έτοιμοι και πιο τολμηροί παρά ποτέ, με οργανισμούς που πέφτουν συνεχώς θύματα ransomware να βρίσκονται διαρκώς στα πρωτοσέλιδα. Όμως, τοποθετώντας τους εαυτούς στο παρασκήνιο, τέτοιες ομάδες κρύβουν την πραγματική πολυπλοκότητα του οικοσυστήματος ransomware. Για να βοηθήσουν τους οργανισμούς να κατανοήσουν πώς λειτουργεί το οικοσύστημα των προγραμμάτων ransomware και πώς να τα καταπολεμήσουν, η τελευταία έκθεση των ερευνητών της Kaspersky «έσκαψε» σε φόρουμ στο darknet και εισχωρεί εις βάθος στις συμμορίες REvil, Babuk και όχι μόνο, καταρρίπτοντας μερικούς από τους μύθους για το ransomware. Και όταν κανείς σκαλίζει αυτόν τον υπόκοσμο, πρέπει να περιμένει ότι έχει πολλά πρόσωπα.
Όπως κάθε βιομηχανία, το οικοσύστημα των προγραμμάτων ransomware αποτελείται από πολλούς παίκτες που αναλαμβάνουν διάφορους ρόλους. Σε αντίθεση με την πεποίθηση ότι οι συμμορίες ransomware είναι όντως συμμορίες – ότι δηλαδή είναι πολύ δεμένες ομάδες, με κοινά βιώματα, ομάδες τύπου «ο Νονός» – η πραγματικότητα μοιάζει περισσότερο με τον κόσμο του «The Gentlemen» του Guy Ritchie, με σημαντικό αριθμό διαφορετικών φορέων – προγραμματιστών, botmasters, πωλητών πρόσβασης, χειριστών ransomware – να εμπλέκονται στις περισσότερες επιθέσεις, παρέχοντας υπηρεσίες ο ένας στον άλλο μέσω αγορών στο dark web.
Αυτοί οι φορείς συναντιούνται σε εξειδικευμένα φόρουμ στο darknet, όπου μπορεί κανείς να βρει τακτικά ενημερωμένες διαφημίσεις που προσφέρουν υπηρεσίες και συνεργασίες. Διακεκριμένοι μεγάλοι παίκτες που λειτουργούν μόνοι τους δεν επισκέπτονται συχνά τέτοιες τοποθεσίες, ωστόσο, γνωστές ομάδες, όπως η REvil, που έχουν στοχεύσει όλο και περισσότερο οργανισμούς τα τελευταία χρόνια, δημοσιοποιούν τις προσφορές και τα νέα τους σε τακτική βάση χρησιμοποιώντας προγράμματα συνεργατών. Αυτός ο τύπος συμμετοχής προϋποθέτει συνεργασία μεταξύ του χειριστή της ομάδας ransomware και της θυγατρικής με τον χειριστή του ransomware λαμβάνοντας μερίδιο κέρδους που κυμαίνεται από 20-40%, ενώ το υπόλοιπο 60-80% παραμένει στη θυγατρική.
Η επιλογή τέτοιων συνεργατών είναι μια τελειοποιημένη διαδικασία με βασικούς κανόνες που καθορίζονται από τους φορείς εκμετάλλευσης του ransomware από την αρχή – συμπεριλαμβανομένων των γεωγραφικών περιορισμών και ακόμη και των πολιτικών απόψεων. Ταυτόχρονα, τα θύματα ransomware επιλέγονται ευκαιριακά.
Καθώς οι άνθρωποι που μολύνουν οργανισμούς και αυτοί που λειτουργούν πραγματικά το ransomware είναι διαφορετικές ομάδες που σχηματίζονται μόνο από την επιθυμία για κέρδος, οι οργανισμοί που έχουν μολυνθεί είναι συχνά εύκολοι στόχοι – ουσιαστικά, είναι αυτοί στους οποίους οι επιτιθέμενοι μπόρεσαν να αποκτήσουν ευκολότερα πρόσβαση. Θα μπορούσαν να είναι και οι δύο φορείς που εργάζονται στα προγράμματα θυγατρικών και οι ανεξάρτητοι φορείς που αργότερα πωλούν πρόσβαση – σε μορφή δημοπρασίας ή ως ενημέρωση κώδικα, ξεκινώντας από 50 USD. Αυτοί οι επιτιθέμενοι, είναι συχνά ιδιοκτήτες botnet που εργάζονται σε μαζικές και ευρείες εκστρατείες και πωλούν μαζικά πρόσβαση στα μηχανήματα των θυμάτων, και έχουν πρόσβαση σε πωλητές που αναζητούν ευπάθειες που αποκαλύπτονται δημόσια σε λογισμικό στο Διαδίκτυο, όπως συσκευές VPN ή πύλες email, τις οποίες μπορούν να χρησιμοποιήσουν για να διεισδύσουν σε οργανισμούς.
Τα φόρουμ ransomware φιλοξενούν και άλλους τύπους προσφορών. Ορισμένοι πάροχοι ransomware πωλούν δείγματα κακόβουλου λογισμικού και ransomware builders με κόστος από 300 έως 4.000 USD, άλλοι προσφέρουν Ransomware-as-a-Service – την πώληση ransomware με συνεχή υποστήριξη από τους προγραμματιστές του, η οποία μπορεί να κυμαίνεται από 120 USD ανά μήνα έως 1.900 USD ανά ετήσιο πακέτο.
«Τα τελευταία δύο χρόνια, έχουμε δει ότι οι εγκληματίες στον κυβερνοχώρο έχουν γίνει πιο τολμηροί στη χρήση ransomware. Οι οργανισμοί στους οποίους στοχεύουν τέτοιες επιθέσεις δεν περιορίζονται σε εταιρείες και κυβερνητικούς οργανισμούς – οι φορείς εκμετάλλευσης ransomware είναι έτοιμοι να πλήξουν ουσιαστικά οποιαδήποτε επιχείρηση ανεξάρτητα από το μέγεθος. Είναι σαφές ότι η βιομηχανία ransomware καθεαυτή είναι περίπλοκη και περιλαμβάνει πολλούς διαφορετικούς παράγοντες με διάφορους ρόλους. Για να τους πολεμήσουμε, πρέπει να εκπαιδεύσουμε τους εαυτούς στο πώς λειτουργούν και να τους πολεμήσουμε ως ένας. Η Anti–Ransomware Ημέρα είναι μια καλή ευκαιρία για να τονίσουμε αυτήν την ανάγκη και να υπενθυμίσουμε στο κοινό πόσο σημαντικό είναι να υιοθετήσουν αποτελεσματικές πρακτικές ασφάλειας. Το Παγκόσμιο Πρόγραμμα Κατά του Ψηφιακού Εγκλήματος της INTERPOL, μαζί με τους συνεργάτες μας, είναι αποφασισμένο να μειώσει τον παγκόσμιο αντίκτυπο του ransomware και να προστατεύσει τις κοινότητες από βλάβες που προκαλούνται από αυτήν την αυξανόμενη απειλή», σχολιάζει ο Craig Jones, Διευθυντής Κυβερνοεγκλήματος, INTERPOL.
«Το οικοσύστημα ransomware είναι πολύπλοκο κι έχει εξαιρετικό ενδιαφέρον. Είναι μια ρευστή αγορά με πολλούς παίκτες, μερικούς αρκετά ευκαιριακούς, μερικούς πολύ επαγγελματίες και προχωρημένους. Δεν επιλέγουν συγκεκριμένους στόχους, μπορεί να ακολουθούν οποιονδήποτε οργανισμό – μια μεγάλη ή μικρότερη επιχείρηση, αρκεί να έχουν πρόσβαση σε αυτές. Επιπλέον, η επιχείρησή τους ανθεί, δεν πρόκειται να εξαφανιστεί σύντομα», σχολιάζει ο Dmitry Galov, ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky. «Τα καλά νέα είναι ότι ακόμη και απλά μέτρα ασφαλείας μπορούν να απομακρύνουν τους επιτιθέμενους από οργανισμούς, επομένως οι τυπικές πρακτικές όπως οι τακτικές ενημερώσεις λογισμικού και τα μεμονωμένα αντίγραφα ασφαλείας βοηθούν και υπάρχουν πολλά περισσότερα που μπορούν να κάνουν οι οργανισμοί για να διασφαλίσουν τη λειτουργία τους».
«Αποτελεσματικές ενέργειες κατά του οικοσυστήματος ransomware μπορούν να αποφασιστούν μόνο όταν γίνουν κατανοητές οι βάσεις του. Με αυτήν την αναφορά, ελπίζουμε να ρίξουμε φως στον τρόπο οργάνωσης των επιθέσεων ransomware, έτσι ώστε η κοινότητα να μπορεί να δημιουργήσει επαρκή αντίμετρα», προσθέτει ο Ivan Kwiatkowski, ανώτερος ερευνητής ασφάλειας στην Παγκόσμια Ομάδα Έρευνας και Ανάλυσης της Kaspersky.
Μάθετε περισσότερα για το οικοσύστημα ransomware στην πλήρη έκθεση στο Securelist. Στις 12 Μαΐου, την Ημέρα κατά του Ransomware, η Kaspersky ενθαρρύνει τους οργανισμούς να ακολουθήσουν αυτές τις βέλτιστες πρακτικές προστασίας:
- Να ενημερώνετε πάντα το λογισμικό σε όλες τις συσκευές που χρησιμοποιείτε, για να αποτρέψετε τους εισβολείς να διεισδύσουν στο δίκτυό σας εκμεταλλευόμενοι ευπάθειες.
- Εστιάστε την αμυντική σας στρατηγική στην ανίχνευση «πλευρικών κινήσεων» και εκδιήθησης δεδομένων στο διαδίκτυο. Δώστε ιδιαίτερη προσοχή στην εξερχόμενη κίνηση για τον εντοπισμό των συνδέσεων των εγκληματιών στον κυβερνοχώρο. Ρυθμίστε αντίγραφα ασφαλείας εκτός σύνδεσης που δεν μπορούν να παραβιάσουν οι εισβολείς. Βεβαιωθείτε ότι έχετε γρήγορη πρόσβαση σε αυτά σε περίπτωση έκτακτης ανάγκης όταν χρειάζεται.
- Ενεργοποιήστε την προστασία ransomware για όλα τα τερματικά σημεία. Υπάρχει το δωρεάν εργαλείο Kaspersky Anti-Ransomware Tool for Business που προστατεύει τους υπολογιστές και τους διακομιστές από ransomware και άλλους τύπους κακόβουλου λογισμικού, αποτρέπει την εκμετάλλευση και είναι συμβατό με ήδη εγκατεστημένες λύσεις ασφαλείας.
- Εγκαταστήστε λύσεις anti-APT και EDR, επιτρέποντας δυνατότητες για προηγμένη ανακάλυψη και ανίχνευση απειλών, διερεύνηση και έγκαιρη αποκατάσταση περιστατικών. Παρέχετε στην ομάδα SOC σας πρόσβαση στην πιο πρόσφατη ενημέρωση για απειλές και αναβαθμίστε τακτικά την επαγγελματική εκπαίδευση. Όλα τα παραπάνω είναι διαθέσιμα στο Kaspersky Expert Security framework.