Atak ransomware a gospodarka cyberprzestępcza

Do ataków ransomware dochodzi na coraz większą skalę, a zakłada się, że w najbliższej przyszłości ich liczba może drastycznie wzrosnąć. W społeczeństwie panuje błędne przekonanie czym jest atak ransomware. Większość osób myśli, że jest to rodzaj złośliwego oprogramowania, które dostaje się do systemów organizacji i szyfruje dane. To jednak znacznie bardziej zorganizowany ekosystem oparty o gospodarkę cyberprzestępczą. Przyjmuje się, że dziś jest ona trzecią gospodarką  świata. Gospodarka ta, w pewien sposób funkcjonuje w próżni  - działające tam podmioty nie mają bowiem żadnych ograniczeń prawnych czy regulacyjnych. Do dnia dzisiejszego obserwuje się, stały dynamiczny wzrost i rozwój tej gospodarki, co nie pozostaje bez znaczenia, coraz bardziej wpływając na cyberbezpieczeństwo Użytkowników.

Jak wygląda ekosystem prowadzący do ataku?

Żeby atak ransomware był możliwy i doszedł do skutku musi wziąć w nim udział bardzo wiele współpracujących ze sobą podmiotów. Co ciekawe, podmioty te pozostają niezależne i nie znają się wzajemnie.

Wśród elementów potrzebnych do funkcjonowania ekosystemu cyberprzestępczego wyróżnia się:

• Bulletproof Hosting  - systemy dostępne w chmurach, które można kupić jako usługę i zaangażować do przeprowadzenia ataku w sposób anonimowy;
• Traffic Direction Systems (TDS) - systemy pozwalające prezentować użytkownikom treści złośliwe, odpowiednio sprofilowane pod użytkownika. System ten jest w stanie rozpoznać Użytkownika - kim jest, co robi, jakie ma zainteresowania i na podstawie tego przedstawiać treści, które mogą go potencjalnie zainteresować. Kluczowe w tym wszystkim jest to, że są to systemy w pełni legalne, można je anonimowo skonfigurować w taki sposób, by służyły cyberprzestępcom. Co ważne, obecnie nie ma skutecznych sposobów radzenia sobie z systemami TDS wykorzystywanymi w złośliwych celach;
• Malvertising – w internecie nijako „podrzucane” jest jest złośliwe oprogramowanie w odpowiedzi na naszą potrzebę (pobieramy oprogramowanie ze strony, która jest opłacona przez grupy cyberprzestępcze).  Strony internetowe zawierające fałszywe oprogramowanie do złudzenia przypominają strony "oryginalne";
• Phishing  (PhaaS) – wysyłane są wiadomości komunikaty, które skłaniają Użytkownika do kliknięcia w niechciane miejsce zawierające złośliwe oprogramowanie;
• InfoStealers (MaaS) - oprogramowanie dostępne w modelu SaaS (subskrypcyjne) wykorzystujące system do dystrybucji szkodliwego oprogramowania i działania na rzecz cyberprzestępców. Każde takie oprogramowane działa w bardzo podobny sposób - uruchamia się na komputerze na kilka sekund i wykrada wszelkie dane i hasła, jakie zapisane są w komputerze Użytkownika. Istotne jest to, że te narzędzia z reguły nie są wykrywane przez żadne antywirusy ani inne systemy bezpieczeństwa. Efekty działania tego typu oprogramowani finalnie trafiają do "dark marketów", gdzie te dane są oferowane i są sprzedawane;
• Initial Access Brokers – kolejny etap łańcucha cyberprzestępczego. To grupy i osoby, które skupują informacji na dark rynkach, przeprowadzają ich analizę i po wyfiltrowaniu znacznie bardziej istotnych informacji oferują je ponownie na sprzedaż. Jednostki te wybierają z tego najbardziej cenne informacje. Sprzedaż danych może być przeprowadzona w ramach aukcji albo wystawiana na rynek za konkretną cenę. Initial Acessess brokerzy pozyskane dane sprzedają do grup ransomware lub partnerów tych grup.
• RaaS Affiliates - grupa ransomware tak naprawdę nie prowadzi ataku a dostarcza odpowiednie do tego oprogramowanie. Atak w dużej mierze przeprowadza parter grupy ransomware. Wartym uwagi jest również fakt, że są tu też grupy ransomware, które z nikim nie współpracują - nie działają w programach partnerskich. Partnerzy z kolei do ataku wykorzystują w pełni legalne oprogramowanie, dostępne np. w systemie Windows. Najczęściej taki atak ransomware trwa ok. 2 tygodni. Kiedy cyberprzestępcy uznają, że mają wystarczającą ilość danych, są one przez nich szyfrowane.

Patrząc na cały ten proces można jednoznacznie postawić tezę, że bardzo trudno jest stwierdzić, kto nas tak naprawdę zaatakował.

Założenia  i reakcja po ataku ransomware

Wiele organizacji nie wie, co zrobić kiedy atak ransomware będzie już faktem dokonanym. Przede wszystkim należy wówczas założyć, że grupy ransomware są obecne w środowisku organizacji od dłuższego czasu, a dane zostały już wykradzione. Co więcej, ważne jest by domniemać, że operatorzy po stronie grup ransomware mogli przez dłuższy czas pracować na uprawnieniach administratora i mają zdalny dostęp do środowiska organizacji. W tej sytuacji odszyfrowanie danych jest praktycznie niemożliwe bez współpracy z grupą ransomware. Ponadto grupy te mogą mieć dostęp do danych do momentu, do którego nie osiągną założonych celów finansowych.

Chcąc zareagować na dokonany już atak ransomware należałoby m.in. zidentyfikować odpowiednią grupę, zweryfikować możliwość odzyskania plików, zweryfikować możliwości odtworzenia danych z backupu, zidentyfikować odpowiednie techniki ataku i metody dostępu, czy skontaktować się wreszcie z konkretną grupą ransomware. W niejednej sytuacji będzie koniecznie podjęcie z nią negocjacji, być może także spełnienie ich oczekiwań finansowych.

Należy mieć więc na uwadze fakt, że w dzisiejszych czasach konieczne jest stosowanie odpowiednich mechanizmów zabezpieczeń, które powinny być monitorowane w sposób ciągły.

Jeśli są Państwo zainteresowani, by już dziś wdrożyć w swojej organizacji mechanizmy obronne przed cyberprzestępcami, serdecznie zachęcamy do kontaktu z dedykowanym opiekunem w One System, który przygotuje dla Państwa możliwie najlepszą ofertę, szytą na miarę Państwa oczekiwań i możliwości. 

Zobacz webinar ponownie!

Kto z Państwa nie mógł uczestniczyć w naszym webinarze już teraz może go zobaczyć na naszym oficjalnym kanale na YouTube! Zapraszamy!

Zaproszenie na kolejny webinar!

Gorąco zapraszamy do rejestracji na kolejny webinar z cyklu „Cyberbezpieczeństwo dla biznesu - od NIS2 do SOC.” Najbliższe spotkanie już 18 września. Do zobaczenia!