Niemal połowa incydentów naruszenia bezpieczeństwa badanych w 2021 r. przez firmę Kaspersky była powiązana z ransomware
O reagowaniu na incydent mówimy, gdy ma miejsce zdarzenie związane z naruszeniem bezpieczeństwa i firmy wzywają zespół specjalistów w celu ograniczenia szkód lub zapobiegnięcia rozprzestrzenianiu się ataku. W firmie Kaspersky reagowanie na incydenty jest zarezerwowane dla średnich i dużych firm i zajmuje się nim specjalny dział – Global Response Emergency Team (GERT). Od stycznia do listopada 2021 r. niemal co drugi incydent obsługiwany przez zespół GERT był powiązany z oprogramowaniem ransomware (prawie 50% wszystkich zgłoszeń) – co stanowi wzrost o niemal 12% w porównaniu z 2020 r.
Jeśli chodzi o cyberbezpieczeństwo, oprogramowanie ransomware stało się w tym roku niekwestionowanym “bohaterem” nagłówków medialnych. Operatorzy ransomware udoskonalili swój arsenał, koncentrując się na mniejszej liczbie ataków na duże organizacje. Powstał nawet cały podziemny ekosystem wspierający działania cybergangów.
W pierwszych jedenastu miesiącach bieżącego roku odsetek incydentów związanych z ransomware, którymi zajmował się zespół GERT firmy Kaspersky, stanowił 46,7% wszystkich obsługiwanych zdarzeń (dla porównania: w 2020 i 2019 r. stanowił odpowiednio 37,9% i 34%). Najczęstsze cele tego rodzaju ataków stanowił sektor rządowy i przemysłowy. Łącznie ataki na te dwa sektory odpowiadały w 2021 r. za niemal połowę wszystkich zgłoszeń związanych z oprogramowaniem ransomware. Inne popularne cele obejmowały instytucje IT oraz finansowe.
Jednak gdy operatorzy ransomware zaczęli żądać wyższych okupów oraz atakować znane cele, spotkali się z rosnącą presją ze strony polityków oraz organów ścigania – co zmusiło ich do zwiększenia skuteczności ataków. W efekcie eksperci z firmy Kaspersky zaobserwowali dwa istotne trendy, które zyskają na popularności w nadchodzącym roku. Po pierwsze, gangi ransomware będą prawdopodobnie częściej tworzyły linuksowe kompilacje ransomware w celu zmaksymalizowania powierzchni ataków. Miało to już miejsce w przypadku takich ugrupowań jak RansomExx czy DarkSide. Ponadto operatorzy ransomware zaczną koncentrować się w większym stopniu na “szantażu finansowym“. Ma on miejsce wtedy, gdy operatorzy ransomware grożą ujawnieniem informacji na temat firm, które są w trakcie krytycznych procesów finansowych (np. dokonywanie fuzji lub przejęcia, planowanie wejścia na giełdę), w celu zaniżenia wartości ich udziałów. Firmy, które znajdują się w tak wrażliwej sytuacji finansowej, są bardziej skłonne zapłacić okup.
W 2020 roku zaczęliśmy mówić o tzw. ransomware 2.0. Rozwój sytuacji w 2021 r. wskazuje na to, że ta nowa era ransomware nabiera rozpędu. Operatorzy ransomware nie ograniczają się do szyfrowania danych – zamiast tego kradną je dużym organizacjom o krytycznym znaczeniu i grożą ujawnieniem danych, jeśli nie dostaną okupu. Co więcej, ransomware 2.0 nie zniknie w przyszłym roku – powiedział Władimir Kuskow, szef działu badań związanych z cyberzagrożeniami w firmie Kaspersky.
Jednocześnie, po tym jak ataki ransomware trafiły do nagłówków mediów, organy ścigania ciężko pracują nad rozbijaniem tego rodzaju cyberugrupowań – co mogliśmy obserwować w tym roku w przypadku ugrupowań DarkSide oraz Revil. Cykl życia takich ugrupowań ulega skróceniu, co oznacza, że będą one zmuszone udoskonalić swoje taktyki w 2022 r. w celu utrzymania dochodowości swoich działań, zwłaszcza gdy pewne rządy zdelegalizują płacenie okupów – o czym już się dyskutuje – dodał Fiedor Sinicyn, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.
Dalsze informacje dotyczące ataków ransomware w 2021 r. i prognoz na nadchodzący rok są dostępne na stronie https://r.kaspersky.pl/Tc6p2.
Porady bezpieczeństwa
Eksperci z firmy Kaspersky zalecają następujące działania pozwalające zabezpieczyć firmę przed oprogramowaniem ransomware:
- Nie ujawniaj usług pulpitu zdalnego (takich jak RDP) w sieciach publicznych, chyba że jest to absolutnie konieczne, i zawsze stosuj do nich mocne hasła.
- Niezwłocznie instaluj dostępne poprawki dla komercyjnych rozwiązań VPN, które zapewniają dostęp zdalnym pracownikom i stanowią bramy w Twojej sieci.
- Zawsze aktualizuj oprogramowanie na wszystkich urządzeniach, aby uniemożliwić cyberprzestępcom wykorzystanie luk w zabezpieczeniach.
- Skoncentruj swoją strategię obrony na wykrywaniu dalszego rozprzestrzeniania ataków w sieci oraz wyprowadzania danych do internetu. Zwróć szczególną uwagę na ruch wychodzący w celu wykrycia połączeń cyberprzestępców.
- Regularnie twórz kopię zapasową danych. Upewnij się, że w razie potrzeby możesz szybko uzyskać do niej dostęp.
- Stosuj najnowsze dane analizy zagrożeń w celu zapoznania się z taktykami, technikami i procedurami wykorzystywanymi przez cyberprzestępców.
- Stosuj rozwiązania takie jak Kaspersky Endpoint Detection and Response, które pomagają zidentyfikować i powstrzymać atak na wczesnych etapach, zanim cyberprzestępcy osiągną swoje cele.
- W celu ochrony środowiska korporacyjnego edukuj swoich pracowników. Pomocne w tym będą specjalistyczne szkolenia, takie jak np. Kaspersky Automated Security Awareness Platform.
- Stosuj niezawodne rozwiązanie bezpieczeństwa punktów końcowych, takie jak np. Kaspersky Endpoint Security for Business, które jest wyposażone w zapobieganie exploitom, wykrywanie podejrzanego zachowania oraz silnik korygujący, potrafiący cofnąć szkodliwe działania oprogramowania ransomware.