Ransomware: noul sindicat al crimei organizate cibernetice

Atacurile de tip ransomware la nivel global au crescut în prima jumătate a anului 2021, cu 304,7 milioane, depășind numărul din 2020
total pe întregul an (304,6 milioane), se arată într-un nou raport. ransomware-ul a înregistrat creșteri masive de la începutul anului în SUA (185%) și în Regatul Unit (144%). Primele cinci regiuni cele mai afectate de ransomware în prima jumătate a anului 2021 au fost SUA, Marea Britanie, Germania, Africa de Sud și Brazilia. Creșterile de ransomware au fost observate cel mai probabil în sectoare precum cel guvernamental, al educației, al sănătății și al organizațiilor de retail. De exemplu, în iunie 2021, producătorul de carne JBS, care furnizează peste o cincime din toată carnea de vită din SUA, a plătit o răscumpărare de 7,8 milioane de lire sterline pentru a redobândi accesul la sistemele sale informatice.

În aceeași lună, cea mai mare conductă națională de combustibil din SUA, Colonial Pipeline, a plătit 3,1 milioane de lire sterline hackerilor care au folosit un ransomware după ce aceștia au blocat sistemele companiei, provocând zile întregi de penurie de combustibil și paralizând coasta de est. Acest lucru arată cât de eficiente și complexe au fost aceste atacuri ransomware.

Anul 2020 a fost grav afectat de COVID19 și a făcut ca utilizarea spațiului cibernetic să fie mai deschisă și mai răspândită, deoarece tot mai multe organizații au început să ofere opțiunea de a lucra de acasă.

Teama și anxietatea au crescut de mai multe ori cu afacerile, deoarece a existat o creștere uriașă a celor două
– riscul de pliere – riscul pentru sănătate și riscul cibernetic. Infractorii cibernetici au profitat de această anxietate și au continuat să accelereze împotriva oamenilor nevinovați și a organizațiilor vulnerabile. Afacerile cu ransomware au început să explodeze.

Deci, ce este Ransomware? Ransomware este o formă de malware concepută pentru a cripta fișierele de pe un dispozitiv, făcând inutilizabile toate fișierele și sistemele care se bazează pe ele. Actorii rău intenționați cer apoi o răscumpărare în schimbul decriptării. În termeni simpli, infractorii cibernetici care pătrund în sistemele informatice conectate la internet, blochează accesul la acestea și apoi vând o cheie de decriptare în schimbul unei plăți în bitcoin. În ultimii ani, incidentele de ransomware au devenit din ce în ce mai frecvente în rândul entităților guvernamentale naționale de stat, locale, tribale și teritoriale (SLTT) și al organizațiilor de infrastructură critică.

Scopul principal al ransomware-ului este, de obicei, câștigul financiar. Indiferent de ceea ce alege să facă victima, odată ce primește nota de răscumpărare, infractorul cibernetic are posibilitatea de a face bani într-un fel sau altul. În cazul în care răscumpărarea este plătită, aceștia primesc bani fără a mai fi nevoiți să facă vreo muncă. În cazul în care nu sunt plătiți, majoritatea tipurilor de ransomware le permit atacatorilor să fure datele pe care le țin ostatice. De acolo, ei pot vinde datele și pot face bani în acest fel.

Ransomware este, de asemenea, folosit ca momeală. Puterea ransomware-ului ca instrument de distragere a atenției este unică. Un număr mare de grupuri de atacuri țintite au început să adopte aceste metode de utilizare a ransomware-ului ca instrument pentru a determina echipele IT și de securitate să urmărească potențialele infecții, permițându-le să se infiltreze în rețea și să obțină ceea ce caută cu adevărat. Această abordare provoacă pagube considerabile, deoarece generează multă confuzie în rândul victimelor și adesea întârzie reacțiile eficiente. În timp ce atacatorii pătrund în sistem dintr-o altă zonă, echipele de intervenție IT sunt preocupate de recuperarea după atacul inițial de ransomware – efectuând activități de backup, închizând sistemele incriminate, identificând procedurile interne de ransomware și determinând dacă trebuie să plătească răscumpărarea.

Incidentele de tip ransomware pot avea un impact grav asupra proceselor de afaceri și pot lăsa organizațiile fără datele de care au nevoie pentru a funcționa și pentru a furniza servicii critice. De-a lungul timpului, actorii rău intenționați și-au ajustat tacticile de ransomware pentru a include presiuni asupra victimelor pentru plată, amenințându-le cu eliberarea datelor furate ale clienților sau a datelor de mare valoare în cazul în care refuză să plătească, precum și cu denunțarea publică a victimelor ca forme secundare de extorcare. Valoarea monetară a cererilor de răscumpărare a crescut, de asemenea, unele cereri depășind 1 milion de dolari americani.

Ransomware poate fi implementat în mai multe moduri. Conform raportului 2020 Malware Report, 83% dintre profesioniștii în domeniul securității consideră că e-mailurile de phishing reprezintă cel mai periculos vector de atac. De fapt, conform raportului Verizon Data Breach Investigations Report, 94% dintre livrările de malware

sunt finalizate printr-un e-mail de tip phishing. Alte potențiale puncte de intrare sunt e-mailul

atașamente, utilizatori care vizitează site-uri web rău intenționate sau compromise și kituri de exploatare.

Incidentele de tip ransomware au devenit tot mai distructive și cu un impact tot mai mare ca natură și amploare. Actorii rău intenționați se angajează în mișcări laterale pentru a viza datele critice și pentru a propaga ransomware în rețele întregi. De asemenea, acești actori folosesc din ce în ce mai des tactici, cum ar fi ștergerea copiilor de rezervă ale sistemului, care fac restaurarea și recuperarea mai dificilă sau imposibilă pentru organizațiile afectate. Impactul economic și reputațional al incidentelor de ransomware, pe toată durata întreruperii inițiale și, uneori, a recuperării prelungite, s-a dovedit a fi o provocare pentru organizațiile mari și mici.

Există două tipuri de Ransomware:

1. ransomware-ul de criptare (crypto-ransomware) convertește fișierele în text cifrat, făcându-le ilizibile. Atacatorii vor livra o cheie de decriptare în schimbul plății și vor amenința că vor șterge
cheia de criptare în cazul în care răscumpărarea nu este plătită, ceea ce distruge efectiv datele, făcându-le inutilizabile. 2. ransomware-urile care nu criptează utilizează ecrane de blocare care ocupă întregul ecran și afișează o notă de răscumpărare sub o formă sau alta. Aceste tulpini sunt adesea mai puțin reușite, deoarece odată ce ecranul de blocare este eliminat, ceea ce se poate realiza fără a plăti actorii amenințării, fișierele rămân nealterate.

Având în vedere că munca la distanță este încă foarte răspândită, întreprinderile continuă să fie foarte expuse riscurilor, iar infractorii sunt foarte conștienți de incertitudinea din peisajul cibernetic. Devine foarte recomandat ca organizațiile să înceapă să se orienteze către o abordare modernă a securității cibernetice fără limite pentru a se proteja atât împotriva amenințărilor cunoscute, cât și a celor necunoscute, în special în condițiile în care toată lumea este mai îndepărtată, mai mobilă și mai puțin sigură ca niciodată. Toate organizațiile sunt vulnerabile, deși un punct forte îl reprezintă întreprinderile mijlocii care au venituri suficiente, dar nu sunt suficient de mari pentru a avea echipe dedicate securității cibernetice, ceea ce le face o țintă profitabilă pentru infractorii cibernetici.

Cel mai bun mod de a fi pregătit pentru un ransomware este să creați, să mențineți și să exersați un plan de răspuns la incidente și un plan de comunicare asociat care să includă proceduri de răspuns și de notificare pentru un incident de ransomware. Lista de verificare a răspunsului la ransomware, ca parte a Ghidului Ransomware, servește drept anexă adaptabilă, specifică ransomware, la planurile organizaționale de răspuns la incidente cibernetice sau la planurile de întrerupere.

Se recomandă, de asemenea, efectuarea periodică de scanări ale vulnerabilităților pentru a identifica și soluționa vulnerabilitățile, în special cele de pe dispozitivele care se confruntă cu internetul, pentru a limita suprafața de atac. De exemplu, Agenția de securitate cibernetică și de securitate a infrastructurilor (CISA) din Statele Unite oferă un program de instruire fără…
serviciul de scanare a vulnerabilității și alte evaluări gratuite. În plus, prioritizarea corecției la timp a serverelor orientate spre internet – precum și a software-ului care procesează date de pe internet, cum ar fi browserele web, plugin-urile pentru browsere și cititoarele de documente – pentru vulnerabilitățile cunoscute ajută la minimizarea atacurilor ransomware.

Mutația atacurilor ransomware va continua și, pentru fiecare sector în parte, va lua o formă diferită, noi incidente fiind raportate lunar. Cel mai bun mod în care întreprinderile pot opri atacurile ransomware este de a fi proactive în abordarea lor de securitate și de a se asigura că dispun de protecții puternice înainte ca ransomware-ul să poată infecta sistemele, de exemplu, o securitate antivirus puternică și de bună reputație la nivelul terminalului este un bun început pentru a preveni ransomware-ul care provine din e-mailuri de phishing.

În concluzie, atacurile ransomware au dovedit că, în „noua normalitate”, impactul lor poate fi devastator pentru proprietarii de întreprinderi mici și pentru organizațiile care dispun de resurse și mijloace limitate pentru a inventa soluții de securitate cibernetică aprofundate. De asemenea, trebuie spus că ransomware nu reprezintă o amenințare doar pentru micile afaceri și organizații, ci are un impact și asupra oamenilor. Întotdeauna este bine să monitorizăm în permanență sistemele IT pentru a detecta eventualele breșe și să inculcăm bune practici și servicii cibernetice care fie reduc la minimum atacurile ransomware, fie reduc daunele provocate de un astfel de atac. Ca politică, se recomandă să nu plătiți pentru ransomware; dar acest lucru este mai ușor de spus decât de făcut.

Cele mai bune practici:

Elaborați un cadru clar și aplicabil pentru atenuarea, răspunsul și recuperarea ransomware;
Actualizarea reglementărilor și standardelor de igienă cibernetică;
Realizează și verifică eficacitatea măsurilor de protecție care includ rețeaua, activitatea personalului, codurile malițioase, activitatea furnizorilor de servicii externe, conexiunile, dispozitivele și software-ul;
Utilizați sisteme de backup pentru a restaura datele în caz de atac. Sistemele de rezervă nu trebuie să fie atașate sau conectate la rețeaua principală;
Folosiți autentificarea cu mai mulți factori și fiți atenți atunci când deschideți atașamente de e-mail sau când faceți clic pe link-uri încorporate.
Luați în considerare punerea în aplicare a protecției DDoS în timp real.
Implementați o strategie complexă de gestionare a amenințărilor, combinată cu procese de atenuare a vulnerabilității și a riscurilor.
Atunci când se iau în considerare cele mai grave scenarii de tip ransomware, planificarea recuperării în caz de dezastru și continuitatea afacerii trebuie să fie considerații importante.
Organizațiile trebuie să aleagă să nu facă plățile solicitate, ci să se concentreze pe remedierea atacului ransomware.

2023-03-09

OCTACSIRT

Guvernanță, risc și conformitate

CISO ca serviciu

DPO ca serviciu

Audituri și consultanță privind conformitatea securității

Servicii de testare a penetrării

SOC ca serviciu

Servicii de conformitate cu Directiva NIS2

Consultanță în domeniul combaterii mitei și corupției

Securitatea IoT

SIEM, NDR și securitate unificată

Securitate Endpoint

Securitate și protecție cibernetică

Gestionarea vulnerabilităților și a patch-urilor

Securitate mobilă

Soluții de gestionare a accesului și gestionarea parolelor

Criptare

Sistem de detectare a intruziunilor (IDS)

Back-up/ continuitatea activității și recuperarea în caz de dezastru

Clasificarea datelor, audit și DLP

Instruire în domeniul securității informațiilor ISO/IEC 27001

Cursuri de formare și certificare ISO/IEC 27002

Cursuri de formare în domeniul securității cibernetice ISO/IEC 27032

Hacking etic - Cursuri de instruire Certificare

ISO 31000 Managementul riscului - Curs de formare și certificare

ISO 22316 Formări în domeniul rezilienței organizaționale

ISO 37001 Anti-mită - Curs de formare profesională Certificare

Curs de sistem de management al conformității ISO 37301

Cursuri de formare privind sistemul de management al continuității activității ISO 22301

Formări de recuperare în caz de dezastru

Cursuri de formare și certificare ISO/IEC 27701

GDPR - Formare și certificare pentru Regulamentul privind protecția datelor

ISO 9001 Managementul calității Formări în domeniul managementului calității

ISO/IEC 20000 - Cursuri de formare și certificare

INSTRUIRI DE CONȘTIENTIZARE A SECURITĂȚII

TRAININGURI PERSONALIZATE

Consolidarea securității digitale cu ISO/IEC 27032

ISO/IEC 27005 Managementul riscurilor în domeniul securității informațiilor - Training