Ce este Ransomware?

O terminologie pe care am auzit-o și am citit-o mult, în special în ultimii doi ani, am întâlnit acest jargon, mai ales într-un context negativ în care o organizație a fost victima unui atac ransomware și așa mai departe.

Ransomware este un tip de software rău intenționat, cunoscut și sub denumirea de malware (un alt jargon care este folosit destul de frecvent) care reprezintă o potențială amenințare pentru restricționarea datelor sau publicarea lor pe forumuri publice, cauzând un potențial risc de afaceri. Acest lucru se face de obicei prin criptarea datelor prin care victima trebuie să plătească o răscumpărare atacatorului pentru eliberarea datelor. De obicei, în astfel de cazuri, există un termen limită pentru ca victima să plătească răscumpărarea. În cazul în care victima nu respectă termenul limită, atacatorul va șterge datele. În cel mai bun caz, atacatorul va crește valoarea răscumpărării cu un termen limită revizuit.

Atacurile malware sunt destul de comune în zilele noastre și am văzut multe organizații din America de Nord și Europa fiind victime ale unor astfel de atacuri. Acești atacatori cibernetici nu au nici un criteriu stabilit, deoarece pot ataca orice set de clienți sau orice organizație de pe verticalele industriei.

Multe agenții precum FBI și unele guverne se abțin să plătească astfel de răscumpărări. De fapt, există un proiect special numit No Ransom Project, o organizație non-profit care lucrează cu scopul de a nu acorda răscumpărare atacatorilor cibernetici. Mai mult, se observă că acele victime care plătesc răscumpărarea sunt supuse unor atacuri repetate ransomware.

Contextul atacurilor ransomware

Dacă ne uităm la istoria atacurilor de tip ransomware, aceasta datează din 1989, când „Virusul SIDA” a fost folosit de atacatorii cibernetici pentru a stoarce fonduri de la victime. Odată ce plățile pentru acest atac au fost eliberate (prin poștă) către Panama, cheia de decriptare a fost eliberată și prin poștă.

În anul 1996, doi indivizi Moti Yung și Adam Young de la Universitatea Columbia au introdus o definiție a ransomware-ului și au inventat termenul de „extorcare cripto virală”. Acești doi academicieni au prezentat primul atac de criptovirologie în anul 1996 într-o conferință a IEEE, care a fost o conferință de securitate și confidențialitate.

De-a lungul unei perioade de timp, am observat inovații în spațiul atacurilor cibernetice și al atacurilor ransomware. Atacatorii cibernetici au devenit creativi cerând plăți de răscumpărare care sunt practic imposibil de urmărit. În acest fel, acești criminali cibernetici păstrează anonimatul unde se află. Pe măsură ce am observat o creștere a utilizării criptomonedelor, cum ar fi Bitcoin, am observat o creștere considerabilă a atacurilor ransomware.

Dacă ne uităm la tipar, atacurile ransomware au făcut din fiecare industrie o victimă, cel mai faimos atac fiind cel de la Spitalul Presbyterian Memorial. A fost un atac masiv în care laboratoarele, magazinele de farmacii și camerele de urgență au fost toate victimele acestui lucru.

Cum funcționează un ransomware?

După cum am menționat mai devreme, ransomware-ul este un tip de malware care este creat pentru a stoarce bani de la organizații prin criptarea datelor lor și blocarea accesului la acestea. Vedem în principal două tipuri de ransomware - un set este cunoscut sub numele de criptoare, iar celălalt set este cunoscut sub numele de blocare de ecran. Deoarece numele se explică de la sine, criptatorii criptează datele, făcându-le redundante fără o cheie de decriptare. Cu toate acestea, blocarea ecranului blochează accesul la sistem prin implementarea unui „ecran de blocare”.

În acest scenariu, de obicei victimele văd un ecran de blocare care are un mesaj pentru a cumpăra criptomonede, cum ar fi Bitcoin, pentru a plăti răscumpărarea. De îndată ce răscumpărarea este plătită, organizațiile primesc cheia de decriptare și apoi pot încerca să decripteze fișierele. Cu toate acestea, nu există nicio regulă sau etică pe care acești atacatori cibernetici să o urmeze. Uneori, chiar și după ce răscumpărarea este plătită, victimele nu primesc cheile de decriptare. În cel mai rău caz, malware-ul este încă instalat chiar și după ce răscumpărarea este plătită.

De obicei, astfel de atacuri de malware pentru întreprinderi încep cu un e-mail suspect care. Un utilizator ar putea deschide acel e-mail fără să bănuiască nimic și asta doar deschide o cutie de viermi.

Cine este în pericol?

Când vorbim despre ransomware, orice gadget sau dispozitiv care este conectat la internet reprezintă un risc potențial pentru a deveni victima unui atac malware. Ransomware-ul verifică de obicei un dispozitiv local și orice dispozitiv care este conectat la rețea, ceea ce înseamnă că rețeaua locală dintr-o organizație este, de asemenea, expusă riscului de a deveni o victimă.

Prin urmare, dacă un dispozitiv este conectat la internet, devine o condiție prealabilă pentru organizație să se asigure că cele mai recente actualizări de securitate și sisteme de securitate ale punctelor finale sunt în vigoare pentru a evita orice fel de intrare rău intenționată a acestor atacatori cibernetici.

Impactul ransomware-ului asupra afacerii?

Este o declarație nescrisă că orice afacere care este victimă a ransomware-ului va suferi pierderi care se pot ridica la milioane de dolari. Mai mult decât atât, creează un efect de ondulare al pierderii de noi afaceri. Chiar dacă o afacere este salvată, angajații trebuie să petreacă multe ore pentru a construi acele date pe care le-au pierdut, provocând astfel mii de ore de pierdere a productivității. Unul dintre primele lucruri pe care le face orice atac de malware este oprirea productivității organizației. Prin urmare, este pertinent ca organizațiile să facă izolarea ca primă sarcină. Efectuarea unei analize a cauzei fundamentale ajută la identificarea vulnerabilității, dar dacă provoacă întârzieri, atunci va avea un impact grav asupra productivității și veniturilor.

Exemple de ransomware

Deși exemplele de ransomware sunt destule pentru fiecare entitate comercială la care să se refere, există unele esențiale care ies în evidență, care pot ajuta la stabilirea bazei oricărei organizații pentru a evita astfel de atacuri ransomware. Să ne uităm la câteva dintre exemple

WannaCry – A fost un virus puternic în jurul unei vulnerabilități a Microsoft, care a fost valorificat de acești atacatori cibernetici pentru a infecta peste 250.000 de sisteme. Cu toate acestea, înainte de a se putea răspândi la mai multe sisteme, a fost declanșat un comutator de oprire pentru a o opri. Proofpoint – un nume în spațiul de securitate și confidențialitate, a fost implementat pentru a obține detalii despre ransomware.

BadRabbit – acesta a fost considerat a fi un ransomware vizibil, a cărui țintă principală au fost companiile media din regiunea Rusia și Ucraina. De îndată ce răscumpărarea a fost plătită, BadRabbit a furnizat codul de decriptare. Se suspectează că virusul a fost răspândit prin intermediul unui Flash Player fals.

NotPetya – despre care se spune că este fratele mai mare al lui BadRabbit, NotPetya a fost unul dintre cele mai devastatoare atacuri malware. A valorificat vulnerabilitatea precum WannaCry și a început să se răspândească rapid. A cerut o răscumpărare în bitcoins, totuși, NotPetya nu a putut anula modificările aduse înregistrării master de boot, ceea ce a însemnat că sistemul țintă a devenit irecuperabil.

Acestea sunt câteva dintre cele mai importante exemple de malware. Au mai fost și altele, cum ar fi CryptoLocker, REvil, Ryuk și multe altele.

Gânduri finale

Ransomware-ul nu dispare. Atâta timp cât există oameni care au proasta intenție, vom vedea constant inovații în acest domeniu. Acest lucru este evident dintr-o statistică FBI, care afirmă că aproximativ 4000 de atacuri ransomware au loc în fiecare zi. Deși ransomware-ul și virusul sunt tipuri diferite de malware, ransomware-ul nu este în esență un virus, deoarece nu se reproduce ca un virus.

Singura modalitate prin care organizațiile se pot proteja împotriva unor astfel de atacuri ransomware este să-și continue inovarea sistemelor de securitate și, de asemenea, să educe utilizatorii cu privire la potențialele amenințări ransomware, inclusiv e-mailurile rău intenționate și alte surse.