Liczba nowych wariantów ransomware rośnie lawinowo. Jak się bronić?
Krajobraz cyberzagrożeń w ostatnim czasie rozwija się niezwykle dynamicznie, szczególnie w przypadku ataków ransomware. Według raportu Threat Landscape, stworzonego przez analityków z FortiGuard Labs firmy Fortinet, w ciągu pierwszej połowy 2022 roku nastąpił wzrost o prawie 100% liczby wariantów tego rodzaju oprogramowania. Specjaliści ds. cyberbezpieczeństwa muszą być na bieżąco z nowymi rodzajami zagrożeń, aby mieć pewność, że wdrażają najlepsze rozwiązania ochronne przed ransomware. Derek Manky z FortiGuard Labs przedstawia najważniejsze wnioski z raportu Threat Landscape i wskazuje, na co zespoły odpowiedzialne za cyberbezpieczeństwo powinny zwrócić szczególną uwagę w nadchodzących tygodniach i w 2023 roku.
Jakie są kluczowe wnioski z raportu o zagrożeniach?
Derek Manky: Istnieje wiele interesujących danych, ale niektóre z nich są dla mnie najważniejsze, gdy rozmawiam ze specjalistami ds. cyberbezpieczeństwa. Na przykład analiza luk w urządzeniach końcowych pod względem ich liczby oraz możliwości wykrycia ujawnia ścieżki, którymi cyberprzestępcy mogą próbować uzyskać dostęp do danych. Chociaż nigdy nie możemy w pełni przewidzieć, w co przestępcy uderzą w następnej kolejności, daje nam to dobre pojęcie o tym, gdzie zaczynają węszyć. Jest to niezwykle pomocne dla osób odpowiedzialnych za zabezpieczanie infrastruktury IT i pozwala im wykryć cyberataki na wczesnym etapie.
Otrzymuję również wiele pytań o przyszłość ataków ransomware. Nasz raport pokazuje, że zagrożenie to wciąż się zmienia, a oszuści wprowadzają coraz więcej wariantów w modelu usługowym Ransomware-as-a-Service (RaaS). W pierwszej połowie 2022 roku FortiGuard Labs zaobserwowało łącznie 10 666 wariantów ransomware, w porównaniu z zaledwie 5400 w poprzednim półroczu. RaaS, ze swoją popularnością w dark webie, nadal jest główną siłą napędową przemysłu cyberprzestępców i zmusza firmy do nieustannego wdrażania nowych rozwiązań ochronnych.
Warto również podkreślić, że wśród ośmiu najpopularniejszych taktyk skoncentrowanych na urządzeniach końcowych, unikanie obrony było zdecydowanie najczęściej stosowane przez twórców szkodliwego oprogramowania. Próbują omijać systemy obronne poprzez ich maskowanie.
Dlaczego złośliwe oprogramowanie typu wiper staje się coraz bardziej powszechne?
Derek Manky: Wojna w Ukrainie przyczyniła się do znacznego wzrostu liczby rodzajów złośliwego oprogramowania bezpowrotnie kasującego dane, którego celem jest przede wszystkim infrastruktura krytyczna. Tylko w ciągu pierwszych sześciu miesięcy 2022 r. zidentyfikowaliśmy co najmniej siedem nowych wariantów wiperów, które zostały wykorzystane w różnych kampaniach przeciwko organizacjom rządowym, wojskowym i prywatnym. Liczba ta jest znacząca, ponieważ jest zbliżona do łącznej liczby rodzajów wiperów, które zostały publicznie wykryte od 2012 roku. Dodatkowo, pochodziły one nie z jednej lokalizacji, ale zostały wykryte w 24 krajach, oprócz Ukrainy, i to nie tylko w Europie. Trend pojawiania się nowych wariantów złośliwego oprogramowania typu wiper ujawnia niepokojącą ewolucję w kierunku bardziej destrukcyjnych i wyrafinowanych technik ataku, które niszczą dane poprzez ich skasowanie. Nie są one ograniczone do jednego celu lub regionu i będą wykorzystywane w różnych przypadkach, kampaniach i celach.
Jakie rozwiązania w zakresie ochrony i zapobiegania ransomware powinny wdrożyć przedsiębiorstwa?
Derek Manky: Gdy osoby odpowiedzialne za cyberbezpieczeństwo zyskują głębsze zrozumienie celów i taktyk stosowanych przez przestępców, mogą lepiej dostosować obronę do szybkiego reagowania na zmieniające się techniki ataków. Ponadto, wiedza o rodzaju zagrożeń ma kluczowe znaczenie dla ustalenia priorytetów strategii obrony. Dodatkowo powinno się poświęcać czas na edukowanie pracowników w zakresie cyberbezpieczeństwa, ponieważ muszą oni być na bieżąco z nowymi zagrożeniami oraz sposobami reagowania na nie.
Dzisiaj warto korzystać z osiągnięć sztucznej inteligencji i uczenia maszynowego w celu zapobiegania cyberatakom. Widzialność sieci w czasie rzeczywistym, ochrona i remediacja, w połączeniu z dostępem do sieci w modelu Zero Trust oraz zaawansowanym wykrywaniem zagrożeń w urządzeniach końcowych i reagowaniem na nie mają znaczenie krytyczne dla zachowania bezpieczeństwa. Zaawansowane narzędzia ochronne mogą pomóc w łagodzeniu skutków ataków już na ich wczesnym etapie.
Zintegrowane platformy cyberbezpieczeństwa, bazujące na sztucznej inteligencji i mechanizmach uczenia maszynowego, z zaawansowanymi funkcjami wykrywania i reagowania na zagrożenia, zasilane informacjami o atakach, są ważne dla zapewnienia ochrony na brzegu wszystkich sieci hybrydowych.
Co jeszcze trzeba wziąć pod uwagę, myśląc o ochronie i zapobieganiu atakom ransomware?
Derek Manky: Cyberprzestępcy nieustannie udoskonalają arsenał swoich metod ataku, aby unikać wykrycia i powiększać zasięg swoich przestępczych sieci partnerskich, by maksymalizować możliwości narzędzi takich jak Ransomware-as-a-Service. Ponadto, stosują coraz bardziej wyrafinowane i agresywne metody działań, takie jak oprogramowanie wiper. Osoby odpowiedzialne za zabezpieczanie infrastruktury IT powinny przede wszystkim zidentyfikować potencjalne ścieżki ataku i uniemożliwić przestępcom dotarcie do danych. Oszuści chcą maksymalizować efekty włamań, dlatego ich wyrafinowanie, tempo i skala stają się coraz większe – to są realne problemy, z którymi muszą mierzyć się dzisiaj specjaliści ds. cyberbezpieczeństwa.
