Ransomware je infekce, která zašifruje soubory a systémy a poté požaduje platbu výměnou za dešifrovací klíč. Je to invazivní a nákladný typ kybernetického útoku.
První známý útok ransomwaru byl AIDS Trojan v roce 1989, široce považovaný za model pro veškerý následující malware.
Trojan AIDS používal k ochraně dat obětí jednoduché symetrické šifrování. Poté byli požádáni, aby poslali 189 dolarů poštou na panamskou poštu výměnou za dešifrovací klíč.
První ransomwarový útok
Ransomware je malware, který šifruje datové soubory a znepřístupňuje je, dokud nebude kyberzločinci uhrazena platba. To ztěžuje obětem obnovu jejich zašifrovaných dat a brání jim v přístupu k důležitým informacím.
Ransomware kromě šifrování také využívá taktiku sociálního inženýrství. To zahrnuje manipulaci s obětí, aby sdílela osobní nebo důvěrné informace nebo otevřela škodlivý soubor, obvykle prostřednictvím e-mailů a textových zpráv, které ji vyděsí, aby tyto informace prozradila.
Evolution of Ransomware
Ransomware je typ kybernetické kriminality, která vyžaduje, aby oběti zaplatily peníze za přístup k jejich systémům a souborům. Tento zločin má rozsáhlou historii, protože kyberzločinci přizpůsobili své techniky prostřednictvím technologického pokroku.
V roce 1996 počítačový virus nazvaný „AIDS Trojan“ vypustil ransomware na oběti po celém světě. Tento ransomware skryl adresáře souborů a zamkl názvy souborů a dal jim pokyn, aby znovu získali přístup ke svým datům zasláním 189 $ na P.O. box v Panamě k restaurování.
Ačkoli AIDS Trojan nebyl úspěšným vyděračským nástrojem, byl raným příkladem ransomwaru. Jeho symetrické šifrování usnadnilo jeho identifikaci; bezpečnostní profesionálové mohli porovnávat šifrované a nešifrované soubory pro jejich dešifrovací klíč.
Ransomware se na konci roku 2000 vyvinul ke složitějším útokům využívajícím pokročilé kryptografické algoritmy. Začal se objevovat malware jako «PGPcoder» a «Archiveus», které šifrovaly systémy Windows uživatelů a vyžadovaly heslo k jejich odemčení.
Mezitím „Archiveus“ a další varianty ransomwaru používaly metody asymetrického šifrování, aby bylo dešifrování šifrovaných dat náročnější. Asymetrické šifrování využívá k šifrování veřejné a soukromé klíče – veřejný klíč používají kyberzločinci při šifrování souborů. Naproti tomu soukromý klíč umožňuje dešifrování stejných souborů.
Na začátku roku 2010 se začal objevovat ransomware locker a silnější šifrovací algoritmy kvůli vzestupu kryptoměn, jako je bitcoin. Tato digitální aktiva poskytla aktérům ohrožení nové prostředky pro přijímání plateb od obětí, které byly snadno použitelné a nevysledovatelné.
Největší ransomwarové útoky v historii
Ransomware je škodlivý software, který šifruje soubory v počítači a požaduje platbu výměnou za dešifrovací klíč. Může zablokovat systémy nebo odepřít přístup k datům, díky čemuž je pro kyberzločince stále atraktivnější díky vysoké návratnosti investic.
Přestože se malware může šířit různými způsoby, jako jsou phishingové e-maily, spear phishingové útoky, přílohy e-mailů a zákeřní červi, nejrozšířenějším způsobem je zneužívání zranitelných webových stránek nebo systémů – zejména se zařízeními internetu věcí (IoT), která představují stále větší hrozbu. .
V roce 2017 zasáhl Petya ransomware (dříve známý jako GoldenEye) více než 2,000 XNUMX cílů po celém světě, včetně bank a velkých energetických firem. Malware zašifroval hlavní spouštěcí záznam systémů založených na Windows, čímž je učinil nepoužitelnými. Poté požadovala výkupné v bitcoinech – formě digitální měny.
Další prominentní variantou je Sodinokibi, také známý jako REvil, který se poprvé objevil v roce 2019. Tento malware využívá několik infekčních vektorů, jako jsou phishingové e-maily a exploit kity, a také využívá taktiky stealth, jako je velení a ovládání přes Tor a pokročilé mlžení.
Ransomwarové útoky se staly zvláště lukrativními cíli ve zdravotnictví, které vyžaduje přístup k informacím o pacientech a uchovává vysoce citlivá data. Proto je ochrana zdravotnických zařízení před útoky ransomwaru nezbytná, aby se zabránilo ztrátě dat.
Ransomwaroví útočníci obvykle požadují platby v digitálních měnách, jako je bitcoin a další kryptoměny. Tyto anonymní platby nemusí převádět ani ověřovat třetí strana, takže jsou ideální pro kyberzločince, kteří hledají anonymitu. Mezi další platební metody pro kybernetické zločince patří předplacené hotovostní služby, převody Western Union a dárkové karty.
Budoucnost ransomwaru
Vzhledem k tomu, že se stále setkáváme s útoky a variantami ransomwaru, musí IT týmy přizpůsobit své bezpečnostní strategie. Útočníci se neustále vyvíjejí a testují nové metody, jak maximalizovat příjmy a zároveň omezit způsobené škody.
Firmy s ransomwarem se silně spoléhají na decentralizovaný trh se škodlivým softwarem. Vývojáři prodávají své zboží distributorům, kteří je prodávají hackerům a kyberzločincům na temném webu. Jakmile je výkupné zaplaceno, osoby, které perou kryptoměny, vydrhnou veškeré finanční prostředky a vrátí je původním aktérům, jako jsou vývojáři, distributoři a další zapojení do cyklu ransomwaru.
Malware se často používá k těžbě kryptoměn nebo k nucení uživatelů k těžbě digitálních měn, jako je kryptoměna. Vzhledem k tomu, že aktiva digitální těžby vyžadují drahou elektřinu, útočníci jsou motivováni k tomu, aby obětem vzali peníze.
Ransomware také zaznamenal vzestup v cílení na podniky. Tyto útoky narušují produktivitu a stojí podniky peníze; v důsledku toho se tyto útoky staly běžnějšími.
Vládní úředníci a dodavatelé zabezpečení reagovali zvýšenou reakcí na hrozby ransomwaru. V roce 2021 spojilo své síly 30 zemí, aby prodiskutovaly strategii boje proti ransomwaru, která zahrnovala regulaci kybernetické bezpečnosti, odolnost a narušení útoků.
Ransomware musí být ještě plně určen, ale zůstane hlavním rizikem kybernetické bezpečnosti po mnoho let. Kromě toho se vlády budou stále více zapojovat do regulace kryptoměn a snižování finančních pobídek pro ransomwarové útoky; to by mohlo výrazně změnit prostředí ransomwarových hrozeb.
Ochrana proti ransomwarovým útokům
Ransomware je typ malwaru, který šifruje data a poté brání uživatelům v přístupu k nim nebo je používat, dokud útočníkům nezaplatí poplatek.
Účinným způsobem ochrany před útoky ransomwaru je mít lepší plán kybernetické obrany. To musí zahrnovat školení zaměstnanců, monitorování síťových událostí a reakce na incidenty útoků, jakmile nastanou.
Jednou ze základních součástí každého plánu zabezpečení jsou zálohy. Organizace by měly pravidelně zálohovat důležitá data na externí úložné zařízení nebo cloudovou zálohovací službu, přičemž kopie by měly zůstat aktivní po dobu nejméně šesti měsíců, aby v případě útoku mohlo dojít k forenznímu vyšetřování.
Dalším základním prvkem ochrany proti ransomwaru je aktualizace firmwaru, antimalwarových aplikací, operačních systémů a softwaru třetích stran. Tím zaručíte, že vaše detekce antiviru a malwaru zůstane aktuální díky novým variantám ransomwaru a dalším hrozbám.
A konečně, organizace musí implementovat robustní řešení správy přístupu k identitě (IAM) a privilegovaného přístupu. Tato řešení využívají vícefaktorovou autentizaci (MFA) pro lepší zabezpečení, což ztěžuje hackerům přístup k citlivým datům prostřednictvím technik sociálního inženýrství.
Ransomware představuje vážné nebezpečí pro organizace všech velikostí a sektorů. Se správnou strategií a přípravou mohou podniky minimalizovat škody a po útoku se rychle zotavit.
