Jak twierdzi Rick Vanover, dyrektor ds. strategii produktowej w Veeam, cyberprzestępcy rozpoczęli stosowanie nowych technik w atakach ransomware. Szyfrują tylko część danych i prowadzą ataki bezplikowe, dzięki czemu mogą dłużej unikać wykrycia. Aby zwiększyć presję na zapłacenie okupu celują też w tworzone przez firmy kopie zapasowe danych. Po włamaniu do sieci ofiary hakerzy sprzedają dostęp do niej kolejnym grupom prowadzącym ataki ransomware – w ubiegłym roku pojawiło się na forach cyberprzestępczych ponad 1300 takich ofert.

Po przedostaniu się do firmowej sieci przestępcy muszą jak najszybciej wykraść i zaszyfrować jak najwięcej danych, zanim zostaną wykryci. Szyfrowanie zasobów ofiary wymaga jednak czasu, a im dłużej atakujący są w sieci, tym większe ryzyko, że zostaną namierzeni. Dlatego stosują technikę przerywanego szyfrowania. Na celownik biorą tylko wycinki danych – wystarczająco małe, żeby utrzymywać niskie zużycie procesora i uniknąć namierzenia, ale na tyle duże, aby z plików nie dało się korzystać bez klucza deszyfrującego. Aby zyskać na czasie, zmieniają pory dnia i ilość szyfrowanych zasobów, dzięki czemu ich działania nie są wychwytywane przez zautomatyzowane mechanizmy ochronne. Jednocześnie mogą szybciej uszkadzać pliki ofiary, zwiększając presję na zapłacenie okupu.

Zobacz również:

• Nowy model ransomware - dostawca usług w chmurze działa jako przykrywka dla złych aktorów
• Cyberwojna trwa na Bliskim Wschodzie

Aby zwiększyć swoją skuteczność oraz utrudniać firmom reagowanie, przestępcy łączą też w jednym skoordynowanym ataku kilka technik: spam, phishing, spoofing (podszywanie się pod kogoś w celu zyskania zaufania) i inne socjotechniczne mechanizmy manipulacyjne. W unikaniu wykrycia pomagają ataki bezplikowe, które polegają na infekowaniu urządzeń oprogramowaniem ransomware bez umieszczania na nich jakichkolwiek plików, z wykorzystaniem jedynie znanych, zaufanych narzędzi. W ten sposób często atakowane są instytucje państwowe – przestępcy mogą pozostać niewykryci, jeśli unikają używania nazw procesów lub skrótów plików, które zostały wcześniej przez zespół IT oznaczone jako niebezpieczne.

Podwójne wymuszenia coraz częstsze

Cyberprzestępczość stała się usługą. Hakerzy, którzy włamują się do sieci firmy jako pierwsi, sprzedają następnie dostęp do jej systemu i danych kolejnym grupom ransomware, a sami koncentrują się na wymuszaniu okupu. Jak podaje firma KELA, w 2021 roku na najważniejszych monitorowanych forach cyberprzestępczych pojawiło się ponad 1300 takich ofert. Wielu hakerów po udanym ataku nie tylko szyfruje, ale też wykrada i niszczy dane oraz ich kopie zapasowe dostępne online lub słabo zabezpieczone. Takie paraliżowanie zdolności firmy do odzyskania zasobów dodatkowo zwiększa presję na zapłacenie okupu. Celem tego typu ataków są często firmy z branży finansowej, medycznej i instytucje sektora publicznego, w przypadku których atak może wpłynąć na działanie infrastruktury krytycznej.

Tradycyjna ochrona wciąż najskuteczniejsza

Wciąż najlepsze są tradycyjne metody ochrony, czyli regularne aktualizowanie aplikacji oraz systemów. Zmniejsza to prawdopodobieństwo, że przestępcom uda się uzyskać dostęp do danych – nawet 80% ataków ransomware wykorzystuje znane luki w zabezpieczeniach. Nie mniej istotna jest cyberedukacja dotycząca właściwych nawyków w całej firmie. Każdy użytkownik powinien potrafić rozpoznawać typowe metody ataków, wiedzieć jak na nie zareagować i do kogo należy się zgłosić.

Celem przestępców coraz częściej staje się również backup, dlatego szczególnie ważna staje się weryfikacja strategii tworzenia kopii zapasowych danych. Według raportu Veeam Data Protection Trends Report 2022, nawet 9 na 10 firm nie jest w stanie odzyskać przynajmniej części skradzionych zasobów. Konieczne jest posiadanie trzech kopii zapasowych, na co najmniej dwóch różnych nośnikach, zaś jedna powinna znajdować się poza terenem firmy, być odizolowana od sieci oraz niezmienialna. Kopie zapasowe powinny też być pozbawione błędów i zweryfikowane pod kątem gwarancji odzyskania w razie awarii.

Należy także mieć opracowany plan wznawiania działalności po awarii. Warto przeprowadzić symulację ataku i przećwiczyć scenariusz awaryjny oraz zaplanowane kroki. Analiza tych działań w praktyce to najlepszy sposób na zidentyfikowanie potencjalnych luk w planie, a także zapoznanie wszystkich pracowników z ich rolą czy narzędziami, których mogą potrzebować. W razie incydentu cyberbezpieczeństwa zapobiegnie to popadnięciu w chaos czy panikę.

Źródło: Veeam