Ransomware: Ce este și cum să vă protejați

Ransomware is a type of malicious software or malware that virtually holds your data hostage, locking up your computer and threatening to keep it locked until you pay the attacker’s ransom. The International Business Machines Corporation (IBM) reports that in 2021, ransomware attacks accounted for 21% of all cyberattacks and resulted in a staggering USD 20 billion loss.

Ce este Ransomware?

În trecut, atacurile ransomware vizau doar blocarea datelor sau a dispozitivului unei persoane până când aceasta plătea bani pentru a-l debloca. 

Cu toate acestea, în prezent, infractorii cibernetici duc lucrurile la un cu totul alt nivel. Indicele X-Force Threat Intelligence 2022 a arătat că aproape toate atacurile ransomware au adoptat acum strategia "extorcării duble", care nu numai că blochează datele, dar așteaptă și plata unei răscumpărări pentru a preveni furtul. În plus, acești infractori cibernetici rău intenționați introduc o amenințare suplimentară în repertoriul lor - campaniile de extorcare triplă care implică atacuri de tip DDoS (Distributed Denial of Service) - și acestea devin din ce în ce mai frecvente.

Ransomware și Malware

Pentru a înțelege mai bine ransomware-ul, trebuie să analizăm mai întâi ce este malware-ul (software rău intenționat) și implicațiile sale.

Malware - un termen care generează mai multe întrebări decât răspunsuri. Este un software rău intenționat sau este pur și simplu utilizat în scopuri nefaste? La fel ca în cazul multor aspecte ale securității cibernetice, nu există un răspuns unic la această întrebare; în schimb, este un domeniu complicat și complex în care trebuie să luăm în considerare mai mulți factori. Software-ul poate fi rău intenționat în sine; cu toate acestea, omul care operează acest software este responsabil în ultimă instanță pentru a determina dacă și cât de rău intenționat va fi.

Amenințările informatice sunt numeroase, de la viruși distructivi la troieni vicleni. Dar există o tulpină unică și mai periculoasă decât acestea - ransomware. Descoperiți misterul din spatele acestui software rău intenționat și aflați cum să vă protejați de el!

Cum funcționează ransomware-ul?

Ransomware-ul este conceput pentru a bloca accesul și tot conținutul din computerul sau rețeaua țintă până când atacatorul primește plata. Atacurile chiar mai sofisticate pot iniția criptarea la nivel de disc cu o asemenea intensitate încât, fără plata răscumpărării, ar fi imposibilă decriptarea oricăror fișiere. Între 2013 și 2020, Internet Crime Complaint Center al FBI a observat o creștere dramatică de 243% a cazurilor raportate de ransomware.

Spre deosebire de alte forme de criminalitate informatică, ransomware-ul necesită ca victimele sale să colaboreze cu infractorul pentru a avea succes.

După cum se menționează pe site-ul lor, FBI avertizează împotriva plății unei răscumpărări în cazul în care o persoană sau o companie este atacată cu ransomware. Prin plata răscumpărării, nu există nicio garanție că o organizație sau o victimă își va recăpăta accesul la date, ceea ce o face o soluție riscantă și nesigură. Din păcate, în unele cazuri în care victimele au plătit răscumpărarea cerută de atacatori, acestea nu primesc niciodată o cheie legitimă de decriptare pentru a-și debloca datele. Chiar dacă primesc una, este posibil ca nu toate fișierele să poată fi recuperate. Prin plata răscumpărării, nu numai că îi stimulați pe infractori să continue să execute atacuri ransomware asupra organizațiilor și persoanelor fizice deopotrivă, dar îi faceți și mai atractivi pentru alți potențiali infractori cibernetici.

Variații populare ale ransomware-ului

Cu numeroase varietăți de ransomware existente, nu este de mirare că unele au mai mult succes decât altele. De fapt, există câțiva selectați care s-au ridicat deasupra celorlalți în ceea ce privește eficiența și popularitatea - făcându-i să iasă în evidență față de omologii lor.

1. Ryuk

Ryuk este un tip de ransomware care vizează un anumit tip de utilizator. De obicei, acesta este livrat prin intermediul unui e-mail sau al informațiilor de conectare ale cuiva pentru a intra într-un sistem. Odată ce sistemul este infectat, Ryuk criptează anumite fișiere și apoi solicită bani pentru a le da înapoi.

Ryuk este cunoscut pentru faptul că este unul dintre cele mai costisitoare tipuri de ransomware, cu cereri medii de răscumpărare care depășesc $1 milioane. Din acest motiv, infractorii cibernetici legați de Ryuk vizează în mod regulat întreprinderile care au acces la resurse financiare ample pentru a face față acestor plăți exorbitante.

2.REvil (Sodinokibi)

REvil (cunoscut și sub numele de Sodinokibi) este o tulpină malițioasă de ransomware care afectează predominant firmele de mari dimensiuni.

Infamul ransomware REvil, operat de grupul vorbitor de limbă rusă din 2019, este una dintre cele mai cunoscute amenințări informatice de pe internet în prezent. De exemplu, aceștia au fost considerați responsabili pentru breșe semnificative precum "Kaseya" și "JBS", ceea ce îi face o amenințare serioasă pentru întreprinderi din numeroase sectoare.

În ultimii ani, REvil s-a confruntat cu Ryuk pentru titlul de cel mai costisitor ransomware. Au apărut rapoarte conform cărora acest software malițios a solicitat plăți de răscumpărare de până la $800.000.

Inițial, REvil era doar o altă variantă tradițională de ransomware, însă de atunci a progresat. În prezent, utilizează tehnica Double Extortion - nu doar criptarea fișierelor, ci și furtul datelor de la întreprinderi. Aceasta înseamnă că, pe lângă solicitarea unei răscumpărări pentru decriptarea datelor, atacatorii amenință că vor expune public informațiile furate dacă nu se efectuează o plată suplimentară.

3. Labirint

Ransomware-ul Maze și-a câștigat notorietatea datorită abordării sale inovatoare a extorcării. Acesta nu numai că criptează fișierele, ci și fură date sensibile din computerul victimei și amenință că le va face publice sau le va vinde dacă nu se plătește răscumpărarea. Această strategie amenințătoare pune țintele într-o situație și mai dificilă - fie plătesc, fie se confruntă cu costuri mult mai mari din cauza unei încălcări costisitoare a securității datelor.

Deși grupul ransomware Maze s-a desființat, acest lucru nu înseamnă că amenințările ransomware sunt acum depășite. Mai multe foste filiale ale Maze au trecut la utilizarea în schimb a ransomware-ului Egregor și se speculează pe scară largă că aceste trei variante - Sekhmet fiind a treia - au un inițiator identic.

4. DearCry

In March 2021, Microsoft released critical updates for four vulnerabilities within their Exchange servers, yet before everyone could apply the fixes to protect themselves from potential harm; DearCry stepped in with a new ransomware variant specifically designed to exploit these weaknesses.

Ransomware-ul DearCry poate bloca multe fișiere, lăsând utilizatorii cu o notă de răscumpărare pe computerele lor, care îi instruiește să contacteze operatorii săi pentru a afla cum să restabilească accesul.

5. Lapsus$

Banda sud-americană de ransomware, Lapsus$, a fost legată de atacuri cibernetice asupra unor ținte importante din întreaga lume. Cu ajutorul intimidării și al potențialului de expunere a datelor sensibile, banda cibernetică și-a făcut un nume extorcându-și victimele până când cererile lor nu sunt îndeplinite. Ei s-au lăudat că au penetrat Nvidia, Samsung și Ubisoft, printre alte organizații globale. Acest grup utilizează codul sursă furat pentru a face ca fișierele malițioase să pară software legitim.

6. Lockbit

LockBit este un software care a fost creat pentru a împiedica oamenii să poată accesa date. Acesta există din septembrie 2019. Recent, a devenit un Ransomware-as-a-Service (RaaS). Acest lucru înseamnă că oamenii pot plăti pentru a-l utiliza pentru a împiedica alte persoane să le acceseze datele.

Ransomware consecințe costisitoare

Persoanele care se confruntă cu ransomware sunt adesea reticente în a recunoaște suma răscumpărării pe care au plătit-o. După cum se subliniază în raportul Definitive Guide to Ransomware 2022, cererile de răscumpărare au crescut drastic; ceea ce înainte includea doar plăți cu o singură cifră s-a extins în prezent la cifre de șapte și opt cifre. În cazurile cele mai extreme, este posibil ca întreprinderile să fie nevoite să plătească o răscumpărare considerabilă, de 40-80 de milioane USD, pentru ca datele lor să fie returnate. Totuși, aceste plăți nu sunt singurul cost asociat atacurilor ransomware; alte costuri directe și indirecte pot agrava povara financiară a unei organizații. După cum se arată în studiul IBM Cost of Data Breach 2021, costul standard al atacurilor ransomware, fără a include plata răscumpărării, s-a ridicat în medie la suma uluitoare de 4,62 milioane USD.

Cazul DCH Hospitals

DCH este un centru medical regional din Tuscaloosa, Alabama, care funcționează din 1923.

Pe 1 octombrie 2019, spitalele DCH au fost atacate de un ransomware. Tot ce era electronic era căzut. Nu au putut primi niciun pacient nou și au fost nevoiți să folosească numai hârtie pentru orice.

Un reprezentant al DCH a dezvăluit că sistemul a fost compromis atunci când cineva a deschis și a interacționat cu un atașament de e-mail corupt. Din fericire, nicio informație despre pacienți nu a fost periclitată.

Sistemul spitalicesc DCH se mândrește cu trei spitale importante - DCH Regional Medical Center, Northport Medical Center și Fayette Medical Center - care deservesc o mare parte din Alabama de Vest. Aceste trei unități medicale oferă peste 850 de paturi și primesc mai mult de 32 000 de pacienți anual.

On Saturday, October 5th, in order to swiftly regain access to their systems, DCH Hospitals opted to pay the ransom and obtain a decryption key from the attackers. However, they have decided not to disclose how much they paid. As healthcare systems are critical and sensitive, they make easy targets for ransomware attacks. Often, these organizations find paying the ransom more beneficial than confronting potential data loss or disruptions. The confidential information stored in their systems is too valuable to lose. The malicious ransomware utilized to breach the security of DCH Hospital was unknowingly facilitated by an employee who opened a phishing email containing a contaminated attachment. This enabled the malware to gain access and subsequently infect their computer network.

5 pași pentru a nu deveni o victimă a ransomware-ului

1. Formați-vă angajații cu privire la amenințările la adresa securității cibernetice.

Pentru a ne proteja de atacurile cibernetice și pentru a putea identifica apariția acestora la locul de muncă, trebuie să ne recunoaștem responsabilitatea individuală pentru securitatea cibernetică. Fiecare angajat ar trebui să primească formare specializată privind identificarea și prevenirea amenințărilor din spațiul cibernetic. Dar, în cele din urmă, depinde de fiecare individ să folosească informațiile pe care le-a primit pentru a evalua cu exactitate riscurile potențiale din cadrul vieții sale de zi cu zi. Incidentul de la DCH Hospitals este un exemplu important al cât de valoros poate fi să ai o înțelegere personală a securității cibernetice.

Compania trebuie să informeze angajatul cu privire la riscurile potențiale ale deschiderii atașamentelor de e-mail de la expeditori necunoscuți, în special într-un mediu de lucru. În caz de îndoială, este întotdeauna mai bine să consultați o persoană cu experiență înainte de a deschide orice mesaj, link sau atașament. Multe întreprinderi au un departament IT intern care va prelua orice raport privind o tentativă de phishing pentru a confirma dacă este legitim pentru angajat. Dacă mesajul provine de la o sursă de încredere, cum ar fi furnizorul contului bancar sau cunoștințe pe care le cunoașteți personal, contactați-i direct și confirmați că ei au trimis mesajul și conținutul acestuia înainte de a da clic pe orice link furnizat. În acest fel, vă puteți proteja de potențiale atacuri cibernetice.

2. Faceți o copie de rezervă a fișierelor dvs.

Dacă sunteți vreodată ținta unui ransomware sau dacă ați pierdut unele date în urma unui atac și nu doriți să plătiți răscumpărarea, este esențial să aveți o copie de rezervă sigură a celor mai valoroase informații.

Pentru a minimiza consecințele unui atac malițios, spitalele DCH ar fi trebuit să ia măsuri preventive și să își salveze fișierele esențiale înainte de incident. O copie de rezervă le-ar fi permis să rămână deschise și să continue operațiunile fără întreruperi din cauza ransomware-ului.

3. Păstrați software-ul actualizat.

Infractorii cibernetici profită frecvent de punctele slabe existente pentru a introduce software dăunător într-un dispozitiv sau sistem. Vulnerabilitățile de securitate nerezolvate sau de tip "zero-day" pot fi periculoase, deoarece fie nu sunt cunoscute de industria securității digitale, fie au fost identificate și încă nu au fost rezolvate. Anumite grupuri de ransomware au fost observate cum achiziționează informații despre vulnerabilitățile zero-day de la infractorii cibernetici, pe care le folosesc pentru operațiunile lor malițioase. De asemenea, se știe că hackerii pot utiliza defectele de securitate remediate pentru a intra în sisteme și a lansa atacuri. 

Este esențial să aplicați în mod regulat patch-uri pentru a vă proteja împotriva atacurilor ransomware care vizează vulnerabilitățile software și ale sistemului de operare.

4. Instalarea și actualizarea instrumentelor de securitate cibernetică

Este esențial să se actualizeze instrumentele de securitate cibernetică - software anti-malware și antivirus, firewall-uri, gateway-uri web securizate, precum și soluții pentru întreprinderi, cum ar fi detectarea și răspunsul la puncte terminale (EDR), detectarea și răspunsul extins (XDR), care pot ajuta echipele de securitate să detecteze activitățile rău intenționate în timp real.

5. Implementarea politicilor de control al accesului

Organizațiile ar trebui să implementeze autentificarea multifactorială, arhitectura de încredere zero, segmentarea rețelei și alte măsuri de protecție conexe pentru a proteja datele vulnerabile și pentru a împiedica trecerea viermilor criptografici către alte mașini din rețea.

Ransomware-ul vizează și persoanele fizice.

În general, poveștile despre ransomware se concentrează pe consecințele hackerilor de sisteme corporative sau medicale; cu toate acestea, este esențial să recunoaștem că persoanele fizice nu sunt imune la aceste atacuri. De fapt, acestea apar mai des decât s-ar putea crede. Persoanele fizice trebuie să fie conștiente de pericolul real al ransomware-ului atunci când utilizează internetul, deoarece acesta le poate pune în pericol siguranța și securitatea.

Infractorii cibernetici folosesc două metode principale atunci când implementează ransomware: criptarea și ecranul de blocare.

Criptare ransomware

Infractorii cibernetici vizează în principal anumite fișiere salvate local pe dispozitive prin intermediul ransomware-ului de criptare. Pentru a selecta aceste documente, atacatorul folosește trucuri de phishing sau alte forme de software rău intenționat pentru a-și investiga ținta. Odată ce fișierele sunt criptate, victima va solicita o răscumpărare pentru a primi cheia de decriptare necesară pentru accesarea datelor sale. Hackerii folosesc de obicei această strategie pentru a accesa informații confidențiale sau sensibile pe care companiile încearcă din răsputeri să le protejeze. Această abordare a devenit populară în rândul părților rău intenționate, făcând din întreprinderi și organizații o țintă obișnuită.

ransomware pentru ecranul de blocare

În schimb, ransomware-ul de blocare a ecranului criptează anumite fișiere și face dispozitivul utilizatorului complet inutilizabil. Ransomware-ul cu ecran de blocare vă va bloca dispozitivul și va afișa un mesaj pe tot ecranul, care nu poate fi mutat și minimizat. Vi se va cere să plătiți o răscumpărare pentru a debloca sistemul sau pentru a recupera datele sau fișierele pierdute.

Aceste programe folosesc adesea tactici de intimidare pentru a vă forța să efectuați plăți, cum ar fi un ceas care vă avertizează că vă va șterge toate fișierele dacă timpul expiră. Atacatorii cibernetici încearcă adesea să intimideze persoanele prin inventarea unor povești conform cărora dispozitivele lor sunt legate de activități ilegale sau materiale nepotrivite și prin amenințarea că le vor raporta autorităților dacă victima nu plătește. Pentru a constrânge și mai mult victimele să plătească răscumpărarea, unii dezvoltatori de ransomware folosesc imagini pornografice și amenință victima că nu le poate elimina fără plată.

În cele din urmă

Implementarea unor măsuri eficiente de securitate cibernetică, cum ar fi actualizarea periodică a software-ului și a instrumentelor de securitate, aplicarea politicilor de control al accesului și cunoașterea diverselor tactici utilizate de aceste programe rău intenționate pentru a vă proteja întreprinderea împotriva atacurilor ransomware. În plus, persoanele fizice ar trebui să ia măsuri proactive pentru a-și proteja dispozitivele de atacurile ransomware - inclusiv să fie prudente atunci când deschid e-mailuri sau dau clic pe linkuri din surse necunoscute. Prin conștientizare și practici prudente, putem contribui cu toții la reducerea amenințării ransomware în lumea noastră digitală.