Microsoft odsłania metody działania hakerów przeprowadzających ataki ransomware

Przeprowadzone ostatnio przez korporację badanie wykazało, że za większość przeprowadzanych obecnie ataków ransomware odpowiada nie więcej niż sto grup hakerskich. Używają one do tego celu kilkadziesiąt rodzajów programów tego typu, które szyfrują pliki i żądają od ofiary zapłaty za udostępnienie klucza przywracającego je do normalnej postaci.

Grafika: Jack Moreh/freerangestock

Hakerzy oferują też usługi RaaS (Ransomware as a Service; ransomware jako usługa). Pozwalają one przeprowadzać takie ataki innym osobom, które nie muszą wtedy opracowywać same takich narzędzi ani znać tajników programowania. Usługi są oferowane na różnego rodzaju podziemnych forach, zapewniając ich użytkownikom możliwość przeprowadzania ataków i oraz wyłudzania okupów.

W niektórych przypadkach haker sprzedający usługę RaaS pobiera część okupu wypłacanego użytkownikowi przeprowadzającemu atak. Wiele z najbardziej destrukcyjnych ataków ransomware przeprowadzanych z użyciem takiego schematu wykorzystuje takie szkodliwe programy, jak Conti i LockBit.

Zobacz również:

  • Google oferuje łatwiejsze włączanie zaawansowanej ochrony konta
  • AI podnosi poprzeczkę w cyberbezpieczeństwie
  • Microsoft Edge i Google Chrome z lepszą obsługą obrazów SVG

Badanie ujawniło jednocześnie, że najczęstszym sposobem uzyskiwania przez osobę inicjującą atak ransomware wstępnego dostępu do sieci, jest sięgnięcie po phishing. Haker wyłudza w ten sposób nazwy użytkowników i stosowane przez nich hasła, po czym przystępuje do właściwej części ataku, zagnieżdżając najpierw w komputerze program ransomware, a następnie uruchamiając go. W efekcie program zaczyna szyfrować pliki lub blokować do nich dostęp, a w końcowej fazie kieruje żądanie zapłacenia okupu.

Microsoft ostrzega przy tym przed złośliwą reklamą, która zapoczątkowuje całą kampanię ransomware. Haker kupuje reklamę online tylko w jednym celu. Zachęca ona internautę do pobierania fałszywego oprogramowania, które po pobraniu i zainstalowaniu infekują użytkownika złośliwym oprogramowaniem typu trojan, które w pewnym momencie dystrybuuje lub uruchamia ransomware.

Innym sposobem osiągnięcia tego same celu są fałszywe aktualizacje oprogramowania. Celem takich fałszywych alertów o aktualizacjach jest nastraszenie ofiar, aby pobrały złośliwe oprogramowanie — a wszystko to w przekonaniu, że postępują właściwie, aby chronić swój system. Użytkownik dostaje wtedy informację, że jego oprogramowanie wymaga aktualizacji. Dlatego ważne jest to, aby aktualizacje zabezpieczeń były pobierane wyłącznie z oficjalnych i sprawdzonych źródeł, po to aby uniknąć możliwości zainfekowania komputera programem ransomware.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200