Ewolucja cyberzagrożeń w III kwartale 2019 roku
Badacze z firmy Kaspersky zidentyfikowali nowy, coraz popularniejszy rodzaj ataku ransomware. Ponieważ celem szkodnika są sieciowe urządzenia magazynujące dane (NAS), stanowi on bezpośrednie zagrożenie dla kopii zapasowych, które zwykle są przechowywane na takich urządzeniach. Technologia NAS uważana jest w większości za bezpieczną, dlatego użytkownicy często nie są przygotowani na możliwość infekcji, narażając tym samym swoje dane na większe ryzyko.
Oprogramowanie szyfrujące dane w celu uzyskania okupu stosuje zaawansowane metody szyfrowania, tak aby pliki nie mogły zostać odszyfrowane bez unikatowego klucza, którym dysponują cyberprzestępcy. W wyniku infekcji korzystanie z urządzenia staje się niemożliwe, a jego właściciel otrzymuje żądanie zapłaty okupu w celu odzyskania dostępu do plików.
O ile infekcja oprogramowaniem ransomware następuje zwykle po uruchomieniu załącznika z e-maila lub poprzez wykorzystanie zestawów szkodliwych narzędzi umieszczonych na stronach internetowych, w nowym rodzaju ataków na urządzenia NAS cyberprzestępcy wykorzystują inny sposób. Atakujący skanują zakresy adresów IP w poszukiwaniu urządzeń NAS dostępnych za pośrednictwem sieci WWW. Mimo że w ten sposób mogą oni uzyskać dostęp wyłącznie do interfejsów chronionych przy pomocy uwierzytelnienia, oprogramowanie wielu urządzeń posiada niezałatane luki w zabezpieczeniach. To pozwala cyberprzestępcom zainstalować trojana, który następnie infekuje urządzenia połączone z NAS-em i szyfruje dane.
Tylko 2019 roku wykryliśmy kilka nowych rodzin narzędzi ransomware, których celem są wyłącznie urządzenia NAS. Trend ten prawdopodobnie nie zaniknie, ponieważ wspomniany wektor ataków okazuje się niezwykle dochodowy dla cyberprzestępców. Wynika to z tego, że użytkownicy, którzy postrzegają technologię NAS jako całkowicie bezpieczną, są zupełnie nieprzygotowani na tego rodzaju ataki. Urządzenia magazynujące dołączone do sieci zwykle są nabywane jako kompletne i bezpieczne produkty, jednak okazuje się, że jest to jedynie iluzja. Konsumenci, a zwłaszcza użytkownicy biznesowi, powinni zatem zachować ostrożność podczas ochrony swoich danych – powiedział Fiedor Sinicyn, badacz bezpieczeństwa w firmie Kaspersky.
W III kwartale 2019 r. produkty firmy Kaspersky wykryły i odparły ataki ransomware na niemal 230 tysięcy użytkowników. Liczba nowych modyfikacji oprogramowania ransomware zwiększyła się z 5 195 w III kwartale 2018 r. do 13 138 w III kwartale 2019 r., co stanowi wzrost o 153%. Trend ten wskazuje na zainteresowanie tego rodzaju szkodliwym oprogramowaniem wśród cyberprzestępców, którzy dostrzegli, że w dalszym ciągu mogą je wykorzystać do wzbogacenia się.
Jednocześnie na pierwszym miejscu wśród najpopularniejszych trojanów utrzymała się niesławna rodzina WannaCry – ponad jedna piąta zaatakowanych użytkowników miała do czynienia ze szkodnikiem należącym do tej rodziny. Trzy najczęstsze werdykty odpowiadające za niemal połowę wykrytych ataków z wykorzystaniem narzędzi szyfrujących to Trojan-Ransom.Win32.Wanna (20,96% atakowanych użytkowników), Trojan-Ransom.Win32.Phny (20,01%) oraz Trojan-Ransom.Win32.GandCrypt (8,58%).
Pozostałe ustalenia przedstawione w raporcie
- Rozwiązania firmy Kaspersky wykryły i odparły niemal 900 milionów cyberataków przeprowadzonych z zasobów online zlokalizowanych w około 200 krajach i terytoriach na świecie (4% wzrost w porównaniu z III kwartałem 2018 r.).
- Próby infekcji przy użyciu szkodliwego oprogramowania służącego do kradzieży pieniędzy za pośrednictwem dostępu online do kont bankowych zostały odnotowane na niemal 200 tysiącach komputerów użytkowników (35% spadek porównaniu z III kwartałem 2018 r.).
- Moduły ochrony plików wbudowane w produkty Kaspersky wykryły łącznie ponad 230 milionów unikatowych i potencjalnie niechcianych obiektów (4% spadek porównaniu z III kwartałem 2018 r.).
Produkty bezpieczeństwa mobilnego firmy Kaspersky wykryły ponad 870 tysięcy szkodliwych pakietów instalacyjnych (33% spadek porównaniu z III kwartałem 2018 r.).
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają użytkownikom domowym i firmom następujące działania pozwalające zmniejszyć ryzyko infekcji oprogramowaniem szyfrującym dane:
- Dopilnuj, aby Twój system operacyjny był zawsze aktualizowany w celu wyeliminowania najnowszych luk w zabezpieczeniach, i stosuj skuteczne rozwiązanie zabezpieczające z aktualnymi bazami danych.
- Sięgnij po rozwiązanie bezpieczeństwa wyposażone w wyspecjalizowane technologie do ochrony danych przed oprogramowaniem ransomware, np. Kaspersky Total Security lub Kaspersky Endpoint Security for Business. Pakiety bezpieczeństwa klasy korporacyjnej przeznaczone do ochrony punktów końcowych posiadają również funkcje zarządzania łatami oraz zapobiegania exploitom, które będą pomocne w walce z takimi zagrożeniami.
- Zadbaj o najświeższe kopie zapasowe swoich plików na wypadek utraty oryginałów (np. z powodu ataku szkodliwego oprogramowania lub awarii urządzenia) i przechowuj je nie tylko na urządzeniu fizycznym, ale również w chmurze (po uprzednim zaszyfrowaniu danych).
- Pamiętaj, że oprogramowanie ransomware ma charakter przestępczy, dlatego nie należy płacić okupu. Jeśli padniesz jego ofiarą, zgłoś to lokalnym organom ścigania. W pierwszej kolejności poszukaj w internecie narzędzia deszyfrującego – niektóre są dostępne bezpłatnie na stronie https://noransom.kaspersky.com/pl.
- Firmy mogą uzupełnić stosowane dotychczas rozwiązanie bezpieczeństwa o darmowe narzędzie Kaspersky Anti-Ransomware Tool.
- W celu wzmocnienia ochrony urządzeń magazynujących dołączonych do sieci w środowiskach korporacyjnych zastosuj wyspecjalizowane rozwiązanie bezpieczeństwa, takie jak Kaspersky Security for Storage. Umożliwi ono ciągłe skanowanie w poszukiwaniu szkodliwego oprogramowania.
Więcej informacji na temat ewolucji cyberzagrożeń w trzecim kwartale 2019 r. znajduje się na stronie https://r.kaspersky.pl/MxJ67.