Kaspersky Lab identifica autori ransomware care se concentreaza pe atacuri impotriva companiilor

Cercetatorii Kaspersky Lab au descoperit o tendinta ingrijoratoare: din ce in ce mai multi infractori cibernetici isi indreapta atentia de la atacuri impotriva utilizatorilor individuali, catre atacuri ransomware cu tinta precisa impotriva companiilor. Au fost identificate cel putin opt grupuri de infractori implicati in dezvoltarea si distribuirea de programe ransomware care cripteaza. Atacurile au lovit in primul rand organizatii financiare globale. Expertii Kaspersky Lab au intalnit cazuri in care cererile de plata ajungeau la peste jumatate de milion de dolari.

 Printre cele opt grupuri identificate se numara autorii PetrWrap, care au atacat organizatii financiare globale, grupul Mamba si sase grupuri neidentificate care au tintit tot utilizatori corporate. Trebuie remarcat ca aceste sase grupuri au fost anterior implicate in atacuri care vizau in special utilizatori individuali si au folosit program afiliate. Acum, ele si-au concentral eforturile pe retele corporate. Conform cercetatorilor Kaspersky Lab, cauza acestei tendinte este clara: infractorii considera ca atacurile ransomware cu tinta precisa impotriva companiilor sunt potential mai profitabile decat atacurile in masa impotriva utilizatorilor individuali. Un atac ransomware impotriva unei companii poate sa opreasca procesele de business pentru mai multe ore sau chiar zile, determinandu-i pe detinatorii companiilor afectate sa plateasca rascumpararea.

atacuri ransomware

In general, tacticile, tehnicile si procedurile folosite de aceste grupuri sunt foarte similare. Ele infecteaza cu malware organizatia pe care o vizeaza, prin servere vulnerabile sau prin e-mailuri de phishing. Apoi, raman in reteaua victimelor si identifica resursele corporate valoroase, pe care sa le cripteze, ulterior cerand o rascumparare in schimbul decriptarii. In afara de similitudini, unele grupuri au si cateva caracteristici specifice.

De exemplu, grupul Mamba foloseste propriul sau malware de criptare, bazat pe programul open source DiskCryptor. De indata ce atacatorii controleaza reteaua, ei instaleaza programul de criptare in ea, folosind o utilitara pentru Windows remote control. Aceasta abordare face ca actiunile lor sa para mai putin suspecte pentru ofiterii de securitate ai organizatiilor vizate. Cercetatorii Kaspersky Lab au intalnit cazuri in care valoarea rascumpararii ajungea pana la 1 bitcoin (aproximativ 1000 de dolari, la sfarsitul lunii martie 2017) pentru decriptarea unui punct de lucru.

Un alt exemplu de instrumente unice folosite in atacurile ransomware cu tinta precisa vine de la PetrWrap. Acest grup vizeaza, in general, companii mari, care au un numar mare de noduri de retea. Infractorii selecteaza atent tintele pentru fiecare atac, care poate sa dureze destul de mult: PetrWrap a fost prezent in retea in jur de 6 luni.

”Trebuie sa fim constienti ca amenintarea atacurilor ransomware cu tinta precisa asupra companiilor este in crestere, aducand pierderi financiare serioase”, spune Anton Ivanov, Senior Security Researcher, Anti-Ransom la Kaspersky Lab. Tendinta este alarmanta, pentru ca autorii ransomware sunt in cautarea unor victime noi si mai profitabile. Sunt mai multe potentiale tinte ale programelor ransomware, atacurile putand avea consecinte si mai grave.”

 Pentru a proteja organizatiile de aceste atacuri, expertii in securitate de la Kaspersky Lab recomanda urmatoarele:

  • Faceti backup cu regularitate informatiilor, pentru a putea redobandi fisierele originale, dupa o eventuala pierdere de informatii.
  • Folositi o solutie de securitate cu tehnologii de detectie bazate pe comportament. Aceste tehnologii pot sa detecteze malware-ul, inclusiv ransomware, prin urmaririrea modului de operare pe sistemul atacat si facand posibila detectarea unor mostre noi si inca necunoscute de ransomware.
  • Vizitati site-ul “No More Ransom”, o initiativa colectiva, care are scopul de a ajuta victimele ransomware sa isi recupereze informatiile criptate fara sa plateasca nimic infractorilor.
  • Faceti un audit al programelor instalate, nu doar pentru endpoint-uri, dar si pentru toate nodurile si serverele din retea si mentineti-le actualizate.
  • Efectuati o  evaluare de securitate a retelei de control (audit de securitate, teste de intruziune, analize de decalaj) pentru a identifica si elimina lacunele de securitate. Evaluati partenerii externi si politicile de securitate terte in cazul in care au acces direct la reteaua de control.
  • Solicitati informatii din surse externe: informatiile de la companii recunoscute ajuta organizatiile sa previzioneze atacurile viitoare.
  • Pregatiti-va angajatii, acordand o atentie deosebita personalului operational si tehnologic si constientizarii de catre acestia a recentelor amenintari si atacuri.
  • Asigurati protectie in interiorul si in afara perimetrului organizatiei. O strategie de securitate  adecvata trebuie sa dedice resurse importante detectiei si raspunsului, pentru a bloca un atac inainte de a ajunge la resurse importante.

Pentru mai multe detalii despre atacurile cu tinta precisa ransomware, cititi articolul disponibil pe Securelist.com.

Accesati NoRansom.kaspersky.com pentru a vedea instrumentele pe care le-am dezvoltat pentru a ajuta victimele ransomware.

Administrator FaraVirusi.com
voluntar al Comodo Malware Research Team, expert Malwarebytes Anti-Malware

Leave a Reply