Za każdym razem, gdy pojawia się temat cyberzagrożeń dla firm, jednym z pierwszych przykładów jest ransomware. Cyberprzestępcy wypracowali dobrze działające mechanizmy, a ich poczynania jeszcze nigdy nie były tak śmiałe, o czym świadczą nieustanne doniesienia medialne o atakach na organizacje z wykorzystaniem oprogramowania wymuszającego okup. Aby pomóc organizacjom zrozumieć, jak działa ten ekosystem oraz jak można z nim walczyć, na potrzeby najnowszego raportu badacze z firmy Kaspersky zagłębili się w fora darknetu,
przyjrzeli się dokładnie cybergangom Revil i Babuk oraz rozwiali kilka mitów dotyczących ransomware.
Jak każda branża, ekosystem ransomware składa się z wielu graczy, którzy pełnią w nim różne role. Chociaż panuje przekonanie, że gangi ransomware są zwartym tworem niczym mafia rodem z „Ojca Chrzestnego”, rzeczywistość bardziej przypomina świat z filmu „Dżentelmeni” Guya Ritchiego. W większości ataków bierze udział spora liczba różnych uczestników – deweloperów, specjalistów od botów, sprzedawców „dostępu”, operatorów ransomware – świadczących sobie wzajemnie usługi za pośrednictwem darkwebowego rynku.
Gracze ci spotykają się na specjalistycznych forach darknetu, gdzie można znaleźć regularnie aktualizowane ogłoszenia oferujące usługi oraz partnerstwa. Stron tych nie odwiedzają działające niezależnie „grube ryby”, jednak znane ugrupowania, takie jak Revil, które w minionych kwartałach przeprowadzały coraz więcej ataków na organizacje, regularnie publikują swoje oferty oraz informacje poprzez programy partnerskie. Ten rodzaj relacji opiera się na współpracy pomiędzy operatorem ugrupowania ransomware oraz podmiotem stowarzyszonym, przy czym operator ransomware otrzymuje udział w zyskach na poziomie
20-40%, podczas gdy pozostałe 60-80% zgarnia podmiot stowarzyszony.
Wybór takich partnerów stanowi rygorystyczny proces, w którym ogólne zasady zostają określone przez operatorów ransomware już na samym początku – łącznie z ograniczeniami geograficznymi, a nawet poglądami politycznymi. Jednocześnie, ofiary ransomware wybierane są w sposób oportunistyczny.
Ponieważ osoby infekujące organizacje oraz te, które obsługują ransomware, to w rzeczywistości różne grupy, połączone jedynie chęcią zysku, najczęściej infekowane są organizacje stanowiące „łatwą zdobycz” – zasadniczo te, do których atakujący mają łatwiejszy dostęp. Mogą to być zarówno gracze działający w ramach podmiotów stowarzyszonych, jak i niezależni operatorzy, którzy sprzedają następnie „dostęp”. Tacy atakujący są najczęściej właścicielami sieci zainfekowanych urządzeń (tzw. botnetów), które pozwalają na przeprowadzanie masowych oraz szeroko zakrojonych kampanii. Prowadzą oni także hurtową sprzedaż dostępu do maszyn ofiar, ujawnionych publicznie luk w zabezpieczeniach, urządzeń VPN, serwerów e-mail itd.
Na forach dotyczących ransomware znaleźć można również inne rodzaje ofert. Niektórzy operatorzy ransomware sprzedają próbki szkodliwego oprogramowania oraz kreatory ransomware za kwotę rzędu 300 – 4 000 dolarów, podczas gdy inni oferują usługi przeprowadzania ataków, np. sprzedaż ransomware wraz z nieprzerwanym wsparciem jego twórców, co może kosztować, w zależności od pakietu miesięcznego lub rocznego, od 120 do 1 900 dolarów.
– W ciągu minionych dwóch lat cyberprzestępcy stali się śmielsi w wykorzystywaniu oprogramowania ransomware. Organizacje, które stanowią cel takich ataków, nie ograniczają się do korporacji czy jednostek rządowych – operatorzy ransomware są gotowi uderzyć w praktycznie każdą firmę niezależnie od rozmiaru. Branża ransomware jako taka jest złożona i obejmuje wielu graczy pełniących w niej różne role. Aby ich pokonać, musimy poznać, w jaki sposób działają, i walczyć z nimi jako jedna drużyna. Dzień walki z oprogramowaniem ransomware to doskonała okazja, aby podkreślić tę potrzebę oraz przypomnieć, jak ważne jest stosowanie skutecznych praktyk bezpieczeństwa. Poprzez globalny program cyberbezpieczeństwa Interpolu dążymy wraz z naszymi partnerami do ograniczenia globalnych skutków oprogramowania ransomware oraz zabezpieczenia społeczności przed szkodami wyrządzanymi przez to coraz większe zagrożenie – powiedział Craig Jones, dyrektor ds. cyberprzestępczości, Interpol.
Ekosystem ransomware cechuje się złożonością oraz występowaniem wielu różnych interesów. Jest to płynny rynek z wieloma uczestnikami: niektórzy z nich kierują się szybkim i łatwym zyskiem, inni są wysoce profesjonalni i zaawansowani. Celem może być dowolna organizacja – tak korporacja, jak i mała firma – jeśli tylko atakujący mogą uzyskać do niej dostęp. Co więcej, przestępczy biznes kwitnie i nic nie wskazuje na to, że w najbliższym czasie się to zmieni – mówi Dmitrij Gałow, badacz ds. cyberbezpieczeństwa z Globalnego Zespołu ds. Badań i Analiz (GReAT) w firmie Kaspersky. Dobra wiadomość jest taka, że nawet proste środki bezpieczeństwa mogą odwieść od zaatakowania organizacji, która je stosuje.
Porady bezpieczeństwa
Z okazji obchodzonego 12 maja dnia walki z oprogramowaniem ransomware eksperci z firmy Kaspersky zachęcają organizacje, aby stosowały dobre praktyki pomagające zabezpieczyć się przed tym zagrożeniem:
- Aktualizuj oprogramowanie na wszystkich urządzeniach, z których korzystasz, aby uniemożliwić cyberprzestępcom wniknięcie do Twojej sieci za pośrednictwem luk w zabezpieczeniach.
- Skoncentruj swoją strategię obrony na wykrywaniu ruchów atakujących w sieci firmowej oraz wyprowadzaniu danych do internetu. Zwróć szczególną uwagę na ruch wychodzący. Zadbaj o sprawne i skuteczne wykonywanie kopii zapasowych oraz o to, byś w razie potrzeby mógł uzyskać do nich szybki dostęp.
- Zadbaj, by wszystkie punkty końcowe były wyposażone w skuteczną ochronę przed ransomware. Firma Kaspersky ma w swojej ofercie wyspecjalizowane, bezpłatne rozwiązanie Kaspersky Anti-Ransomware Tool for Business, które chroni komputery i serwery przed atakami tego rodzaju, a także zapobiega szkodliwym narzędziom wykorzystującym luki w zabezpieczeniach (tzw. exploitom). Rozwiązanie może funkcjonować równolegle z innymi produktami bezpieczeństwa, które są już zainstalowane w firmowej sieci.
- Zainstaluj rozwiązania EDR oraz chroniące przed atakami APT, które umożliwiają wykrywanie oraz badanie zaawansowanych zagrożeń, jak również niezwłoczne działania naprawcze po incydencie. Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń oraz regularnie podnoś jego umiejętności poprzez profesjonalne szkolenia.