Internet & Gry - Reklama

Niemal połowa incydentów naruszenia bezpieczeństwa badanych w 2021 r. przez firmę Kaspersky była powiązana z ransomware

Grzegorz Stapiński

O reagowaniu na incydent mówimy, gdy ma miejsce zdarzenie związane z naruszeniem bezpieczeństwa i firmy wzywają zespół specjalistów w celu ograniczenia szkód lub zapobiegnięcia rozprzestrzenianiu się ataku. W firmie Kaspersky reagowanie na incydenty jest zarezerwowane dla średnich i dużych firm i zajmuje się nim specjalny dział – Global Response Emergency Team (GERT). Od stycznia do listopada 2021 r. niemal co drugi incydent obsługiwany przez zespół GERT był powiązany z oprogramowaniem ransomware (prawie 50% wszystkich zgłoszeń) – co stanowi wzrost o niemal 12% w porównaniu z 2020 r.

 

Jeśli chodzi o cyberbezpieczeństwo, oprogramowanie ransomware stało się w tym roku niekwestionowanym “bohaterem” nagłówków medialnych. Operatorzy ransomware udoskonalili swój arsenał, koncentrując się na mniejszej liczbie ataków na duże organizacje. Powstał nawet cały podziemny ekosystem wspierający działania cybergangów.

W pierwszych jedenastu miesiącach bieżącego roku odsetek incydentów związanych z ransomware, którymi zajmował się zespół GERT firmy Kaspersky, stanowił 46,7% wszystkich obsługiwanych zdarzeń (dla porównania: w 2020 i 2019 r. stanowił odpowiednio 37,9% i 34%). Najczęstsze cele tego rodzaju ataków stanowił sektor rządowy i przemysłowy. Łącznie ataki na te dwa sektory odpowiadały w 2021 r. za niemal połowę wszystkich zgłoszeń związanych z oprogramowaniem ransomware. Inne popularne cele obejmowały instytucje IT oraz finansowe.

Jednak gdy operatorzy ransomware zaczęli żądać wyższych okupów oraz atakować znane cele, spotkali się z rosnącą presją ze strony polityków oraz organów ścigania – co zmusiło ich do zwiększenia skuteczności ataków. W efekcie eksperci z firmy Kaspersky zaobserwowali dwa istotne trendy, które zyskają na popularności w nadchodzącym roku. Po pierwsze, gangi ransomware będą prawdopodobnie częściej tworzyły linuksowe kompilacje ransomware w celu zmaksymalizowania powierzchni ataków. Miało to już miejsce w przypadku takich ugrupowań jak RansomExx czy DarkSide. Ponadto operatorzy ransomware zaczną koncentrować się w większym stopniu na “szantażu finansowym“. Ma on miejsce wtedy, gdy operatorzy ransomware grożą ujawnieniem informacji na temat firm, które są w trakcie krytycznych procesów finansowych (np. dokonywanie fuzji lub przejęcia, planowanie wejścia na giełdę), w celu zaniżenia wartości ich udziałów. Firmy, które znajdują się w tak wrażliwej sytuacji finansowej, są bardziej skłonne zapłacić okup.

W 2020 roku zaczęliśmy mówić o tzw. ransomware 2.0. Rozwój sytuacji w 2021 r. wskazuje na to, że ta nowa era ransomware nabiera rozpędu. Operatorzy ransomware nie ograniczają się do szyfrowania danych – zamiast tego kradną je dużym organizacjom o krytycznym znaczeniu i grożą ujawnieniem danych, jeśli nie dostaną okupu. Co więcej, ransomware 2.0 nie zniknie w przyszłym roku – powiedział Władimir Kuskow, szef działu badań związanych z cyberzagrożeniami w firmie Kaspersky.

Jednocześnie, po tym jak ataki ransomware trafiły do nagłówków mediów, organy ścigania ciężko pracują nad rozbijaniem tego rodzaju cyberugrupowań – co mogliśmy obserwować w tym roku w przypadku ugrupowań DarkSide oraz Revil. Cykl życia takich ugrupowań ulega skróceniu, co oznacza, że będą one zmuszone udoskonalić swoje taktyki w 2022 r. w celu utrzymania dochodowości swoich działań, zwłaszcza gdy pewne rządy zdelegalizują płacenie okupów – o czym już się dyskutuje – dodał Fiedor Sinicyn, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.

Dalsze informacje dotyczące ataków ransomware w 2021 r. i prognoz na nadchodzący rok są dostępne na stronie https://r.kaspersky.pl/Tc6p2.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zabezpieczyć firmę przed oprogramowaniem ransomware:

  • Nie ujawniaj usług pulpitu zdalnego (takich jak RDP) w sieciach publicznych, chyba że jest to absolutnie konieczne, i zawsze stosuj do nich mocne hasła.
  • Niezwłocznie instaluj dostępne poprawki dla komercyjnych rozwiązań VPN, które zapewniają dostęp zdalnym pracownikom i stanowią bramy w Twojej sieci.
  • Zawsze aktualizuj oprogramowanie na wszystkich urządzeniach, aby uniemożliwić cyberprzestępcom wykorzystanie luk w zabezpieczeniach.
  • Skoncentruj swoją strategię obrony na wykrywaniu dalszego rozprzestrzeniania ataków w sieci oraz wyprowadzania danych do internetu. Zwróć szczególną uwagę na ruch wychodzący w celu wykrycia połączeń cyberprzestępców.
  • Regularnie twórz kopię zapasową danych. Upewnij się, że w razie potrzeby możesz szybko uzyskać do niej dostęp.
  • Stosuj najnowsze dane analizy zagrożeń w celu zapoznania się z taktykami, technikami i procedurami wykorzystywanymi przez cyberprzestępców.
  • Stosuj rozwiązania takie jak Kaspersky Endpoint Detection and Response, które pomagają zidentyfikować i powstrzymać atak na wczesnych etapach, zanim cyberprzestępcy osiągną swoje cele.
  • W celu ochrony środowiska korporacyjnego edukuj swoich pracowników. Pomocne w tym będą specjalistyczne szkolenia, takie jak np. Kaspersky Automated Security Awareness Platform.
  • Stosuj niezawodne rozwiązanie bezpieczeństwa punktów końcowych, takie jak np. Kaspersky Endpoint Security for Business, które jest wyposażone w zapobieganie exploitom, wykrywanie podejrzanego zachowania oraz silnik korygujący, potrafiący cofnąć szkodliwe działania oprogramowania ransomware.

Zobacz również

Firma Kaspersky przyłącza się do globalnego apelu na rzecz powstrzymania cyberataków na instytucje medyczne

Grzegorz Stapiński

Operacja GhostEmperor: zaawansowane cyberataki na chińskojęzyczne cele przy użyciu nieznanego rootkita

Grzegorz Stapiński

Incydenty naruszenia bezpieczeństwa bankowości online mogą kosztować banki niemal 2 mln dolarów

Grzegorz Stapiński

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *