Barracuda: analiza ransomware 2020

Cyberprzestępcy atakują organizacje rządowe, ochrony zdrowia i edukacyjne za pomocą oprogramowania ransomware. Choć spodziewano się wzrostu liczby ataków ze względu na nadchodzące wybory prezydenckie w USA, do siania spustoszenia w instytucjach i zakładach pracy cyberprzestępcy wykorzystują też pandemię COVID-19 i znaczną popularność pracy zdalnej. Wprawdzie oprogramowanie ransomware istnieje już od ponad dwóch dekad, w ostatnich latach zagrożenie cyberatakami tego typu gwałtownie wzrosło.

W ciągu ostatnich 12 miesięcy analitycy z firmy Barracuda zidentyfikowali i przeanalizowali 71 incydentów ransomware. W ubiegłym roku analiza ataków ransomware na władze lokalne pokazała, że stały się one jednymi z głównych celów cyberprzestępców. Tak jest i teraz: większość analizowanych w tym roku ataków ransomware dotyczyła struktur lokalnych, w tym organów samorządowych, szkół, bibliotek, sądów i innych podmiotów. Tegoroczna analiza obejmuje również dane dotyczące instytucji związanych z opieką zdrowotną i logistyką – czyli z dwiema branżami kluczowymi dla naszej sytuacji zdrowotnej i ekonomicznej.

Trampolina do chmury: badanie Barracuda

Przyjrzyjmy się bliżej najnowszym atakom ransomware i rozwiązaniom wspierającym wykrywanie i blokowanie ich oraz odzyskiwanie danych po ich utracie.

Najważniejsze zagrożenia

Ransomware – Cyberprzestępcy używają złośliwego oprogramowania, które wysyłają  w postaci załącznika lub odnośnika w wiadomości e-mail, do zainfekowania sieci i blokowania dostępu do poczty elektronicznej, danych i innych ważnych plików do czasu zapłacenia okupu. Te ewoluujące i wyrafinowane ataki są bardzo szkodliwe i kosztowne dla ofiar. Mogą sparaliżować codzienne funkcjonowanie, wywołać chaos i spowodować straty finansowe na skutek przestojów w pracy, okupu, kosztów odzyskania danych oraz nieprzewidzianych wydatków.

Ponieważ na skutek pandemii miliony pracowników zostało zmuszonych do przejścia na pracę zdalną, cyberprzestępcy zintensyfikowali swoje działania. Słabe zabezpieczenia sieci domowych ułatwiły im włamywanie, przenikanie i atakowanie sieci firmowych.

Szczegóły

Oprócz samorządów, które są wyraźnym obszarem zainteresowania cyberprzestępców, widocznymi celami są też instytucje z sektora edukacji i opieki zdrowotnej. Regularne ataki na opiekę zdrowotną nie są zaskoczeniem, ponieważ szeroko informowano już o zagrożeniach i atakach związanych z pandemią.

  • Ataki nakierowane na sektor edukacji, w tym instytucje szkolnictwa wyższego, obejmują głównie kradzież danych osobowych, dokumentacji oraz wyników badań medycznych.  Dwa najgłośniejsze przypadki takich ataków to Florida Orthopedics Institute i UFSC School of Medicine. Pierwsza z nich stała się podmiotem pozwu zbiorowego, a druga zapłaciła 1,1 miliona dolarów okupu.
  • Rośnie również liczba ataków ransomware związanych z sektorem logistyki – od lipca ubiegłego roku zbadano sześć takich przykładów. Ataki przeciwko firmom świadczącym usługi logistyczne mogą znacznie utrudnić przewóz towarów, w tym sprzętu medycznego, środków ochrony osobistej i produktów codziennego użytku. Firma logistyczna Toll Group w ciągu trzech miesięcy padła ofiarą dwóch ataków, co może wskazywać, że atakujący zmieniają strategie i zwracają większą uwagę na cele, które zostały już przez nich zidentyfikowane jako podatne na ataki.

Rosnące okupy

Problemem jest nie tylko wzrost liczby ataków, ale również wysokości okupów. Wiele firm decyduje się zapłacić okup, a żądania cyberprzestępców często przekraczają milion dolarów. Wśród badanych przypadków okup zapłaciło 14 proc. podmiotów, a średnia wysokość okupu wyniosła 1.652.666 dolarów. Skrajnym przypadkiem była firma Garmin, która zapłaciła 10 mln dolarów okupu.

  • Okup płacą również władze lokalne. Aż 15 procent badanych gmin zapłaciło od 45 do 250 tys. dolarów. We wszystkich tych przypadkach chodziło o miejscowości poniżej 50 000 mieszkańców, w których uznano, że koszty i nakład pracy związany z ręcznym odzyskiwaniem danych byłyby zbyt wysokie. To znacząca zmiana w porównaniu do ubiegłego roku, kiedy okupu nie zapłacił praktycznie żaden samorząd.
  • Jedną z gmin, które zapłaciły w tym roku okup, była Lafayette w Kolorado. „Po dokładnej analizie sytuacji i różnych wariantów kosztowych oraz biorąc pod uwagę perspektywę długotrwałej i dotkliwej dla mieszkańców przerwy w dostawie usług komunalnych uznaliśmy, że pozyskanie narzędzia do odszyfrowania danych będzie korzystniejsze ze względu na koszty i czas potrzebny na odbudowę danych i systemów” – powiedział burmistrz Lafayette Jamie Harkins. w oświadczeniu wideo.
  • Oprócz kradzieży danych i szyfrowania plików w celu wymuszenia okupu cyberprzestępcy żądają opłat za niepublikowanie informacji, które mogłoby narazić ofiary na publiczne upokorzenie, problemy prawne i kary finansowe. Wielu cyberprzestępców łączy ataki ransomware z kradzieżą danych, aby zwiększyć presję na ofiary. Wśród badanych ataków aż 41 proc. łączyło równoczesny atak ransomware i kradzież danych. Jeśli okup nie zostanie zapłacony, dane ofiar są publikowane lub sprzedawane na aukcjach w tzw. „ciemnej sieci”.

Cyberprzestępcy stale zwiększają swoje zasięgi i aby dotrzeć do jak największej liczby ofiar. Dane firmy Barracuda z czerwca pokazują, że za pomocą znanego botnetu i przy użyciu oprogramowania ransomware Avaddon dokonano ponad 80 000 ataków.

Ochrona przed atakami ransomware

Szybko zmieniające się zagrożenia związane z pocztą e-mail wymagają zaawansowanych technik zabezpieczeń działających na pocztę przychodzącą i wychodzącą, które często wykraczają poza tradycyjne narzędzia takie jak zamykanie luk bezpieczeństwa.

Filtry spamu / systemy wykrywania phishingu

Chociaż wiele złośliwych wiadomości e-mail wydaje się przekonująco prawdziwych, filtry spamu, systemy wykrywania phishingu i powiązane z nimi oprogramowanie zabezpieczające mogą wykorzystywać subtelne wskazówki do blokowania potencjalnie niebezpiecznych wiadomości i załączników jeszcze zanim dotrą one do skrzynek pocztowych odbiorców.

Zaawansowany firewall

Jeśli użytkownik otworzy złośliwy załącznik lub kliknie w link, zaawansowany firewall zdolny do analizy złośliwego oprogramowania, daje szansę zatrzymania ataku poprzez zablokowanie pobierania pliku.

Wykrywanie złośliwego oprogramowania

W przypadku wiadomości e-mail z dołączonymi złośliwymi dokumentami, zarówno analiza statyczna, jak i dynamiczna mogą wykryć, że dokument próbuje pobrać i uruchomić plik wykonywalny, czego żaden dokument nie powinien robić. Adres URL pliku wykonywalnego można często rozpoznany dzięki metodom heurystycznym lub systemom analizy zagrożeń. Wykrycie śladów zaciemniania kodu również mogą sugerować, że dokument jest podejrzany.

Czarne listy

Ponieważ pula dostępnych adresów IP jest coraz bardziej ograniczona, spamerzy coraz częściej wykorzystują własną infrastrukturę. Często te same adresy IP są używane wystarczająco długo, aby oprogramowanie je wykryło i dodało do czarnych list podejrzanych adresów. Nawet w przypadku zhakowanych witryn i botnetów wykrycie dostatecznie dużej ilości spamu umożliwia czasowe powstrzymanie ataków na podstawie adresów IP.

Szkolenie użytkowników

Do szkoleń z zakresu świadomości bezpieczeństwa warto włączyć symulację phishingu, aby użytkownicy nauczyli się identyfikować i unikać ataków. Dzięki temu zamiast być słabym punktem bezpieczeństwa staną się oni pierwszą linią obrony.

Tworzenie kopii zapasowej

W razie ataku typu ransomware rozwiązanie do tworzenia kopii zapasowych w chmurze może zminimalizować czas przestoju, zapobiec utracie danych i pozwolić szybko przywrócić działanie systemów – niezależnie od tego, czy pliki znajdują się na urządzeniach fizycznych, w środowiskach wirtualnych czy w chmurze publicznej. Aby zabezpieczyć kopie zapasowe przed wpływem ataku rekomenduje się przestrzeganie zasady 3-2-1: posiadanie trzech kopii danych na dwóch różnych nośnikach, w tym co najmniej jedna poza siedzibą firmy.