Powstanie oprogramowania ransomware z podwójnym wymuszeniem
Opublikowany: 2022-01-11
Od lat przedsiębiorstwa borykają się z zagrożeniem atakami ransomware. Opłacalne hacki wywołują spustoszenie w codziennych funkcjach organizacji, wyłączając urządzenia i kradnąc prywatne i określone informacje. W odpowiedzi rozwija się wiedza technologiczna i systemy prewencyjne, podobnie jak sposoby wykorzystywane przez przestępców. W ciągu ostatnich dwunastu miesięcy zaobserwowano znaczny wzrost wyboru tych ataków, jako oportunistycznych napastników, którzy przyłączają się do osłabionych środowisk stabilności działania hybrydowego. 30-7 procent brytyjskich firm z wysp zgłosiło w tym roku incydent naruszenia faktów do Biura Komisarza ds. Danych (ICO).
Ulepszenie podejścia do bezpieczeństwa cybernetycznego i rozpoznania zmusiło atakujących do rozwinięcia swoich procedur, wkraczając na nowe terytoria przedsiębiorstw, które utrudniają uregulowanie swoich kroków. Zmieniają się również motywacje cyberprzestępców, począwszy od trzymania firm, poprzez okupy za pieniądze, aż do powodowania możliwie jak najbardziej znaczących zakłóceń z powodu czynników politycznych, takich jak zamykanie na masową skalę codziennych, istotnych usług eksperckich.
Wcześniej w tym roku kalendarzowym zaobserwowaliśmy zastój w produktach i usługach dla Colonial Pipeline w Stanach Zjednoczonych z powodu ataku ransomware, który zmusił firmę niepubliczną do wyrzucenia przypuszczalnych 5 milionów dolarów w Bitcoin w celu odzyskania regulacji i utrzymania rozwiązań. Dokładnie w tym samym miesiącu rząd irlandzki Wellbeing Services Govt znalazł się pod presją, aby dostarczyć okup w wysokości 20 milionów dolarów, aby pomóc uratować informacje o pacjentach prawdopodobnie publicznie. Nawet po zaplanowaniu porozumienia, 520 informacji mimo wszystko trafiło do ciemnego internetu, jeszcze bardziej podkreślając nieprzewidywalność przestępców.
Ewolucja ataków ransomware nastąpiła znacząco w ciągu ostatnich kilku lat. Teraz, jako substytut szyfrowania informacji i przetrzymywania właściciela dla okupu, oprogramowanie ransomware z podwójnym wymuszeniem polega na tym, że atakujący najpierw eksfiltruje informacje i renderuje standardowe kopie zapasowe faktów i projekty przywracania danych, które są nieaktualne w zakupie, aby zmusić przedsiębiorców do ręki. Przestępcy zidentyfikowali inną drogę wymuszeń, a firmy chcą być przygotowane na pokonanie tego nowego zagrożenia.
Co to jest oprogramowanie ransomware z podwójnym wyłudzeniem i jak realne jest ryzyko?
Oprogramowanie ransomware służące do podwójnego wymuszenia umożliwia przestępcom nie tylko żądanie od klientów okupu za skradzione dane, ale także wykorzystanie ich jako fałszywej obietnicy, aby nie zostały one publicznie udostępnione. Jeśli okup nie zostanie zapłacony w wymaganym terminie, przestępcy opublikują go, aby wszyscy mogli go zobaczyć, wraz z prawdopodobnymi konkurentami.
Grożą społeczności i/lub klientom kampanii marketingowej „wymień się i wstydź”, jeśli nigdy nie zapłacisz, a zgodnie z badaniami Emisoft, grono cyberprzestępców stosujących taktykę „imienia i wstydu” powiększa się. Badanie wykazało, że na 100 101 uzyskanych raportów o atakach ransomware na poszczególne firmy i organy sektora społeczności, 11,6% tych osób pochodziło od zespołów, które kradną i publikują dane w formie ataków typu „imię i wstyd”.
Obserwuje się również rozwój Crimeware jako usługi przez podmioty państw narodowych, które coraz częściej wprowadzają do napięć geopolitycznych. Państwa krajowe kupują sprzęt i usługi eksperckie z ciemnej sieci, podczas gdy instrumenty opracowane przez państwa narodowe również zyskują drogę do czarnego przemysłu.
Jak więc korporacje mogą przezwyciężyć to rosnące ryzyko?
Podwój niebezpieczeństwo, podwój potrzebne przygotowanie odbudowy
Aby atakujący mógł czerpać zyski z wyłudzania okupu, powinien zacząć od upewnienia się, że odzyskanie przydatnych danych jest niemożliwe, w każdym innym przypadku wykorzystuje szansę, że decydenci nie rozwidą się. Tak więc wyłączają lub niszczą kopie zapasowe, budując je na niezwykle trudnych do odzyskania przydatnych szczegółach. Następnie przekształcają swoje ramiona w dostępne szczegóły produkcyjne.
Ustanawiając skoncentrowaną strategię zarządzania możliwościami skompromitowanych informacji, firmy są gotowe zwiększyć swoje szanse i sprawić, że odzyskanie cyberprzestępczych danych stanie się znacznie bardziej możliwe w porównaniu z zastosowaniem standardowego podejścia do przywracania danych. Potrzeby w zakresie oprogramowania ransomware nie były w żaden sposób większe, a przygotowanie grupy wymaga ponownego przemyślenia istniejących planów przywracania danych.
Aby poradzić sobie z tymi powtarzającymi się trudnościami, korporacje będą musiały opracować strategię dotyczącą pięciu najważniejszych metod odzyskiwania uszkodzonych informacji:
- Rozpoznaj ― Ustalenie i uzasadnienie VDA (Vital Info Belongings) organizacji. Są to informacje, które wymagają dodatkowego stopnia bezpieczeństwa. To organizacje powinny mieć szczegóły.
- Bezpieczne — możliwości zwiększenia prawdopodobieństwa przywrócenia ostatnich, dokładnie czystych szczegółów, na przykład niezawodnego duplikatu, który jest chroniony przed cyberatakiem.
- Wykryj ― Ustalenie słabych punktów kontroli, które mogą zmaksymalizować ryzyko pozyskania przez organizację jej VDA.
- Reaguj — Plany, procedury, strategie, których należy przestrzegać w następstwie zyskownej partii kompromitującej szczegóły.
- Stań się lepszy ―Próby, oceny i procedury przygotowujące zespoły na taką ewentualność.
Tworzenie efektywnego planu
Wszystkie firmy są narażone na ataki oprogramowania ransomware. Szybko zmieniający się krajobraz zagrożeń spowodował, że obecne narzędzia wykrywania stały się problemem. Nie są już skutecznym środkiem do zwalczania wszystkich ataków i zapobiegania ogromnemu upadkowi faktów. Odkładając na bok zewnętrzne podmioty zajmujące się zagrożeniami, wszystkie korporacje konkurują również z możliwością zagrożeń wewnętrznych, z ewentualnym niezadowolonym personelem, który uzyskuje uprzywilejowanie dostępu do wnętrza społeczności oraz informacji i faktów. Nauka w zakresie cyberbezpieczeństwa pojawia się w ostatnich latach w zawrotnym tempie, ale błąd ludzki nadal pozostaje ogromnym zagrożeniem dla firm, zwłaszcza osób działających w środowiskach hybrydowych.
Ostatecznie to od każdej firmy zależy, czy pojawi się w szerszym kontekście i, głównie w oparciu o ich jedyne w swoim rodzaju czynniki widzenia, ustawi system odzyskiwania informacji na miejscu. Nie można nie doceniać znaczenia klasycznego ataku ransomware, ale pułapki związane z nową taktyką są niezaprzeczalnie o wiele ważniejsze dla małych firm. Zrujnowana reputacja marki i nadszarpnięta wiara kupujących mogą być zazwyczaj nie do naprawienia. Przed umożliwieniem oportunistycznym przestępcom wyboru prowadzenia firmy, liderzy małych firm muszą szybko przeprowadzić całą organizację zgodnie z protokołem i dokładnie współpracować z administracją rządową, w której dane muszą być priorytetem przez całą misję przywracania. Na tym etapie organizacje mogą zacząć odczuwać, że ich dane, mienie i infrastruktura pozostaną nienaruszone, nawet w obliczu przeciwności losu.
Chris Huggett, starszy wiceprezes ds. regionu EMEA, dostawcy dostępności Sungard