Najnowsze trendy ransomware

This post is also available in:
English
W 2021 r. nastąpił zdecydowany wzrost liczby ataków za pomocą oprogramowania ransomware, który według raportu SonicWall sięgnął aż 151%. Przestępcy zmodyfikowali schemat ataków, korzystając zarówno z zainfekowanych załączników lub linków przesyłanych e-mailem, jak i przeprowadzając ataki phishingowe. Wzrósł też odsetek ataków przy wykorzystaniu luk w aplikacjach internetowych. Chociaż w ubiegłym roku najwięcej ataków ransomware wykryto w Stanach Zjednoczonych, to w Europie odnotowano największy, bo aż 234% wzrost incydentów szyfrujących w ciągu 12 miesięcy.
Ataki za pomocą oprogramowania ransomware najczęściej rozpoczynają się od przesłania zainfekowanego załącznika lub linku w wiadomości e-mail. Po tym jak złośliwe oprogramowanie zostanie pobrane, zablokowana zostaje poczta elektroniczna, dane i wiele ważnych plików, które pozostają niedostępne do momentu opłacenia okupu. Pliki PDF, pliki pakietu Office oraz oprogramowanie .exe należą do najbardziej popularnych formatów, w których może być zaszyte oprogramowanie szyfrujące. Jak wynika z raportu SonicWall, w czasie pandemii Covid-19 znacząco wzrosła liczba złośliwych plików pakietu Office, a ich przewaga względem plików PDF pod koniec 2020 r. wyniosła 150%. Jednak wraz z powrotem części pracowników do biur spada liczba zainfekowanych plików Office oraz PDF-ów – odpowiednio o 54% i 13%. Coraz popularniejsze staje się natomiast oprogramowanie .exe, które w 2021 r. zanotowało wzrost do 26%.
Według portalu Barracuda, za dużą część ataków cyberprzestępców odpowiadają gangi ransomware, a w okresie od sierpnia 2020 r. do lipca 2021 r. za najwięcej ataków – aż 19% – odpowiedzialna była grupa REvil. Na drugim miejscu znalazł się DarkSide, który przyczynił się do 8% ataków.
Raport SonicWall wskazuje, że w drugim kwartale 2021 r. odnotowano rekordową liczbę ataków ransomware – około 180 milionów, ponad trzykrotny wzrost rok do roku, podczas gdy wzrostowy trend może się utrzymać i druga połowa roku może przynieść wciąż nowe rekordy liczby ataków. Jak wynika z badania przeprowadzonego przez portal Barracuda w okresie od sierpnia 2020 r. do lipca 2021 r. liczba ataków ransomware wzrosła o 64% r/r.
Z analiz wynika, że aż 57% wszystkich ataków stanowiły te wycelowane w korporacje m.in. zajmujące się infrastrukturą (11% ataków), podróżami, czy też usługami finansowymi, co stanowi zdecydowany wzrost w porównaniu do 18% w badaniu przeprowadzonym w 2020 r. Co więcej, ataki ransomware coraz częściej celują w oprogramowania do łańcucha dostaw, przez co wzrasta liczba firm, które mogą paść ofiarami cyberprzestępców. Przykładem takich ataków w 2021 r. może być SolarWinds lub Codecov, kiedy atak grupy REvil dotknął ponad 1000 przedsiębiorstw, w większości w Stanach Zjednoczonych. Ponadto, wyjątkowo podatne na ataki ransomware są władze administracyjne, np. gmin, które dysponują przestarzałymi narzędziami i mają ograniczony personel IT.
Polskie firmy i instytucje publiczne są również narażone
Najczęściej do ataków ransomware dochodzi w Stanach Zjednoczonych, a amerykańskie organizacje stanowią 44% ofiar cyberprzestępców. Ataki w Europie, na Bliskim Wschodzie i w Afryce to 30% wszystkich incydentów, a w Azji – 11%. W Europie odnotowano największy, bo aż 234% wzrost incydentów szyfrujących w ciągu 12 miesięcy, natomiast w Ameryce Północnej wzrost wyniósł 180%. Według raportu SonicWall Polska z wynikiem 32,28% jest na trzecim miejscu w rankingu oceniającym szanse internautów na stanie się ofiarą ataku ransomware. Gorsze wyniki mają jedynie Wietnam i Sri Lanka.
Opublikowany przez Check Point Software Półroczny Raport Bezpieczeństwa 2021 podaje, że w pierwszej połowie 2021 r. przeciętną polską organizację atakowano ponad 500 razy tygodniowo. Z raportu wynika, że problemy z cyberprzestępczością w największym stopniu dotykają sektor edukacji i badań, w który wycelowanych jest aż 2800 ataków tygodniowo.
Zmiana taktyki
Przestępcy nie tylko wysyłają zainfekowane pliki lub linki, ale również kradną dane uwierzytelniające poprzez ataki phishingowe, czyli polegające na podszywaniu się pod inne osoby, np. firmy kurierskie lub urzędy administracji. Coraz więcej ataków ransomware opiera się na wykorzystaniu luk w aplikacjach, które pozwalają przejąć kontrolę nad infrastrukturą aplikacji. Takiej formie ataków sprzyja rosnąca liczba aplikacji internetowych, które umożliwiają zdalną pracę. W kwestii bezpieczeństwa nie ma różnicy pomiędzy portalem internetowym dla segmentu infrastruktury IT a kompleksową aplikacją SaaS – zarówno portal, jak i aplikacja mogą być równie niebezpieczne.
Przestępcy zmodyfikowali system działania, wykorzystując tzw. podwójny schemat wymuszania okupu. Żądania okupu opierają na analizach, które przeprowadzają przed atakiem. Po kradzieży wrażliwych danych żądają zapłaty, grożąc ich publikacją lub sprzedażą. Przestępcy, którzy otrzymali opłatę okupu, ponownie kontaktują się z ofiarami, często po kilku miesiącach, aby wymusić kolejny transfer środków w zamian za obietnicę utrzymania skradzionych danych w tajemnicy. Jak podaje Check Point Software, niektórzy przestępcy uciekają się także do tzw. trzeciego wymuszenia, które polega na ataku na klientów lub partnerów biznesowych ofiary cyberataku.
Oprócz taktyki przeprowadzania ataków zmieniają się również tendencje dotyczące płatności okupu. Wysokość okupu gwałtownie wzrasta i utrzymuje się na poziomie 10 mln dolarów, chociaż aż 30% ataków wiązało się z żądaniem okupu przekraczającym 30 mln dolarów. Wysokie kwoty mają również związek z szerszym przyjęciem kryptowalut, jednak wprowadzone śledzenie transakcji bitcoina wymusiło na cyberprzestępcach konieczność uciekania się do innych kryptowalut, takich jak Monero.
Ochrona przed atakami
Jest wiele sposobów na zabezpieczenie swoich urządzeń przed atakami ransomware. Według Check Point Software należy regularnie instalować uaktualnienia oraz łatki bezpieczeństwa lub pozwolić na ich automatyczne aktualizowanie. Warto zainstalować także oprogramowanie antywirusowe i antyransomware. Jednak przede wszystkim należy uważać na maile zwierające załączniki lub linki, ponieważ wysyłanie zainfekowanych plików to wciąż jedno z najprostszych i najbardziej popularnych rozwiązań stosowanych przez cyberprzestępców.
Więcej eksperckiej wiedzy na temat cyberbezpieczestwa w Polsce można uzyskać w raporcie PMR „Rynek cyberbezpieczeństwa w Polsce 2020. Analiza rynku i prognozy rozwoju na lata 2020-2025„. Dane liczbowe uzupełniono obszernymi komentarzami eksperckimi, profilami dostawców, analizą trendów i porównaniami sytuacji na rynku polskim z trendami globalnymi.