Еволуцијата на Ransomware нападите

Во февруари, ФЗОМ (Фонд за здравствено осигурување на Македонија) стана жртва на напад на ransomware софтвер што резултираше со енкрипиција на сите податоци и широко распространета јавна загриженост неколку недели. Неодамнешните статистички податоци објавени од Statista.com на оваа тема покажуваат дека имало приближно 236 милиони напади со ransomware ширум светот во првата половина од 2022 година, а се проценува дека секојдневно се случуваат околу 4.000 нови напади. Дополнително, половина од сите бизниси пријавиле загуби од нападите со ransomware софтвери во 2021 година, што го истакнува разорното влијание на овие напади врз организациите.

Што е Ransomware?

Ransomware е вид на малициозен софтвер кој го блокира пристапот до датотеките или компјутерскиот систем на жртвата додека не се плати откуп. Напаѓачите бараат плаќање, обично во криптовалути, во замена за клуч за дешифрирање. Овие напади стануваат сè почести и софистицирани, предизвикувајќи значителна штета на поединци и организации.

Со текот на годините, ransomware софтверот еволуираше и стана една од најзначајните закани за сајбер безбедноста со кои се соочуваат поединци и организации. Во оваа статија, ќе направиме ретроспективен поглед на едни од најголемите ransomware напади на светско ниво и како некогашната примитивна закана еволуирала во многу софистицирана и деструктивна закана во модерното време.

Во продолжение пет најголеми ransomware напади:

CNA Financial

CNA Financial, една од најголемите осигурителни компании во САД, доживеа голем ransomware напад во месец март, 2021-ва година. Напаѓачите добија неовластен пристап до компјутерите на компанијата и украдоа огромен број чувствителни информации, вклучително и податоци за клиентите. Потоа поставија ransomware софтвер кој ги спречи вработените во CNA да се најават на мрежата, оставајќи ја компанијата во тешка позиција. Напаѓачите бараа голем откуп, а по околу две недели преговори, CNA им плати на хакерите 40 милиони долари за да го вратат пристапот до своите системи. Нападот врз CNA Financial е остар потсетник за опасностите што ги претставуваат сајбер-криминалците и разорното влијание што тие можат да го имаат врз организациите. Ја нагласува важноста од спроведување на силни сајбер-безбедни мерки за заштита од такви напади и потребата бизнисите да имаат ефективни планови за одговор на инциденти за да се минимизира штетата во случај на прекршување.

JBS

JBS, глобална компанија за преработка на храна, на 30ти мај 2021 година беше погодена од ransomware напад, кој што предизвика прекинување на операциите во САД, Канада и Австралија. Нападот резултираше со губење на работни места за дури 7.000 австралијци. Додека се веруваше дека групата одговорна за нападот е руска група, ова никогаш не беше официјално потврдено. Хакерите барале откуп од 11 милиони долари, кој што брзо бил платен со биткоини. По нападот на JBS, пријавени биле уште најмалку 40 слични напади врз капацитетите за производство на храна.

Garmin

Garmin, глобална технолошка и комуникациска компанија, доживеа голем ransomware напад на почетокот на 2020 година. Ransomware програмата WastedLocker енкриптираше податоци низ системите на компанијата, а напаѓачите бараа исплата од 10 милиони долари за клучот за декрипција. И покрај санкциите на САД против наводниот сторител, руската Evil Corp, Garmin успеа да го плати откупот преку трета компанија за дигитална безбедност која дејствуваше како посредник.

Travelex

Travelex, менувачница со седиште во Лондон, претрпе голем сајбер напад на новогодишната ноќ 2019-ва година, што доведе до неуспех на мрежата и деловни прекини неколку месеци. Напаѓачите првично бараа откуп од 6 милиони долари, но по преговорите кои траеа неколку недели, побарувачката беше намалена на 2,3 милиони долари.

Владата на Коста Рика

Руската група Conti изврши тежок ransomware напад врз владата на Коста Рика во април 2022-ва година, при што украде стотици гигабајти чувствителни податоци, вклучително и финансиски информации од Министерството за финансии. И покрај тоа што бараше откуп од 10 милиони долари, земјата одби да плати, што доведе до значителни влијанија во следните месеци.

Тежината на нападот предизвика прогласување на национална вонредна состојба на 8-ми мај 2022-ва година, што ја покажува сериозноста и степенот на штетата предизвикана од нападот.

Раните денови на Ransomware

Најраните напади на ransomware може да се забележат во периодот од крајот на 1980-тите и почетокот 1990-ти. Во тие денови, Ransomware софтверот не беше толку распространет како денес, а нападите беа главно груби и лесни за откривање. Напаѓачите ќе го заклучеа екранот на корисникот и ќе прикажеа порака со која се бара плаќање во замена за пристап до системот. Овие рани напади беа релативно лесни за борба, а повеќето корисници можеа да го отстранат малициозниот софтвер и да ги вратат своите системи без да платат откуп. 

Фокус на енкрипција на датотеки

Како што еволуираше технологијата, еволуираа и нападите со ransomware софтвери. Во средината на 2000-тите, напаѓачите почнаа да користат енкрипција на датотеки, кои ги енкриптираат датотеките на жртвата и бараат плаќање во замена за клучот за декриптирање. Енкрипцијата користена во овие напади беше многу пософистицирана од претходните напади за заклучување на екранот, што го прави практично невозможно враќањето на енкриптираните датотеки без клучот за енкрипција. Оваа промена ги направи нападите со ransomware софтвери многу попрофитабилни за напаѓачите, бидејќи жртвите немаа друг избор освен да платат откуп доколку сакаат да ги вратат своите податоци. 

Појавата на разни варијанти на Ransomware

Како што безбедносните истражувачи почнаа да развиваат алатки за откривање и отстранување на ransomware софтвери, напаѓачите реагираа со развивање на нови варијанти на малициозен софтвер. Некои од овие варијанти користеа пософистицирани техники за енкрипција, додека други користеа различни методи за заобиколување на безбедносните мерки. Еден пример е „полицискиот откуп“, кој прикажува порака во која се тврди дека е од органите на прогонот и ја обвинува жртвата за нелегална активност. Оваа варијанта е дизајнирана да ги исплаши жртвите да платат откуп. 

Смената кон таргетирање на бизнис секторот

Во последниве години, нападите со откупни софтвери се префрлија од таргетирање поединци кон таргетирање бизниси. Организациите имаат повеќе вредни податоци и честопати се подготвени да платат поголеми откупнини за да ги вратат. Напаѓачите, исто така, станаа пософистицирани во нивните методи за добивање пристап до корпоративните мрежи, често со користење на е-пошта за да ги измамат вработените да кликнат на малициозни врски или да преземаат малициозен софтвер. Оваа промена ги направи нападите со откупни софтвери многу попрофитабилни за напаѓачите, а исто така им отежна на организациите да се заштитат себеси. 

Појавата на Ransomware како услуга (RaaS)

Најновата еволуција во ransomware е појавата на „ransomware as a service“ (RaaS). Ова е местото каде што напаѓачите го изнајмуваат својот ransomware софтвер на други сајбер криминалци, кои потоа започнуваат напади во нивно име. Ова им олесни на криминалците со мала техничка експертиза да започнат напади со откупни софтвери, што доведе до значително зголемување на бројот на напади. RaaS, исто така, го отежна следењето на нападите со откупни софтвери назад до нивниот извор, бидејќи повеќе групи може да бидат вклучени во нападот. 

Како заклучок, ransomware софтверот еволуираше од груба форма на малициозен софтвер во софистицирана и разорна закана што ги таргетира бизнисите и краде чувствителни податоци. Ransomware како услуга им олесни на криминалците да започнат напади, што доведе до значително зголемување на бројот на напади. За да останат заштитени, организациите и поединците треба да спроведат силни безбедносни мерки и да ги обучат своите вработени да бидат свесни за ризиците од откупниот софтвер. Бидејќи заканата продолжува да се развива, од суштинско значење е да се остане информиран и да се преземат проактивни мерки за заштита од овие напади. 

Текстот е создаден во соработка со IT.mk.

Автор: Љубомир Давитков