Sobre el autor
Kelvin Murray är en huvudhotforskare på Webroot.
Ransomware är skadlig programvara som håller din datalösen. Nuförtiden går det vanligtvis ut på att kryptera ett offers data innan man ber om pengar (oftast kryptovaluta) för att dekryptera. Ransomware har styrt skadlig programvara sedan slutet av 2013, men såg äntligen en nedgång förra året. Den allmänna minskningen av antalet skadliga program, såväl som defensiva förbättringar som gjorts av datorvärlden i allmänhet (som det mer utbredda antagandet av säkerhetskopior), har varit faktorer, men har också lett till att detta hot har blivit mer specifikt och obevekligt.
Levereringsmetoder
När ransomware-programvaran först dök upp distribuerades den vanligtvis genom enorma e-postkampanjer och driftsatser. Konsumenter och företagsanvändare påverkades utan större handlingsfrihet. Idag föredrar många ransomware-kriminella att välja sina mål för att maximera sin vinst. Att göra affärer har en kostnad för att smitta människor. Ju större grupp människor du försöker nå, desto dyrare blir det.
Driftsatser
Att bara besöka vissa webbplatser kan infektera dig, även om du inte försöker ladda ner något. Detta görs vanligtvis genom att utnyttja svagheter i programvaran som används för att surfa på nätet, som din webbläsare, Java eller Flash. Innehållshantering och utvecklingsverktyg som WordPress och Microsoft Silverlight är också vanliga källor till sårbarheter. Men många program och webbplatser är involverade i att överföra infektioner på detta sätt. Det mesta av detta arbete ingår i ett exploateringspaket som kan hyras ut till kriminella för att hjälpa dem att sprida sin skadliga programvara.
Att hyra ett operationspaket kan kosta 1,000 XNUMX € i månaden. Denna leveransmetod är inte för alla. Endast tillräckligt motiverade och finansierade cyberkriminella.
Eric Klonowski, Senior Threat Research Analyst på Webroot, sa: "Eftersom kostnaden för operationer har ökat så dramatiskt under det senaste decenniet, fortsätter vi att se en minskning av kostnaden för att göra affärer. Genom att använda 0-dagarsfönstret i naturen ( som tillhörande privat exploateringsläcka).
"Utan tvekan kommer statliga aktörer att fortsätta att lagra dem för användning på de mest lönsamma målen, men de hoppas att Shadowbrokers-händelserna kommer att upphöra." De ovannämnda läckorna har sannolikt fungerat som ett kraftfullt internt uppvaknande verktyg. har tillgång till dessa verktyg (eller kanske där de är kvar)."
Operationer som är avsedda att användas av både skadlig programvara och webbhot är svårare att få tag på idag och som ett resultat av detta ser vi en minskning av antalet operationskit och en ökning av kostnaderna för operationer i det vilda. Detta hot går ingenstans, men det minskar.
E-postkampanjer
Skräppost är ett bra sätt att sprida skadlig programvara. De är bra för brottslingar eftersom de kan slå miljontals offer på en gång. Men att komma förbi e-postfilter, skapa ett övertygande nätfiskemeddelande, skapa en droppe och kringgå säkerhet i allmänhet är svårt att göra i stor skala. Att hantera dessa stora kampanjer kräver arbete och erfarenhet, så de är dyra, liksom ett operativt kit.
Riktade attacker
Sannolikheten för att ett mål kommer att betala en lösensumma och lösensumman beror på ett antal faktorer, inklusive:
- Offrets land. BNP i ett offers hemland är korrelerad med framgången för en valkampanj, och offer från rikare länder är mer benägna att betala en lösensumma;
- Vikten av krypterad data;
- Kostnader förknippade med stillestånd;
- Operativsystemet som används. Enligt Webroot-data löper Windows 7-användare dubbelt så stor risk att utsättas för skadlig programvara som Windows 10-användare.
- Oavsett om målet är ett företag eller en individ. Företagskunder är mer benägna att betala och betala stort.
Eftersom sannolikheten för framgång kommer att variera beroende på målets omständigheter är det viktigt att notera att det finns sätt att begränsa inriktningen med hjälp av exploateringssatser eller e-postkampanjer, men dessa attacker är mer spridda än andra mer specifika attacker.
Remote Desktop Protocol (RDP)
Remote Desktop Protocol (RDP) är ett populärt system från Microsoft som främst används av administratörer för att fjärransluta till servrar och andra slutpunkter. När de är aktiverade av dåliga lösenordsinställningar och policyer kan de lätt hackas av cyberbrottslingar. PDR-kränkningar är inte nya, men tyvärr har näringslivet (och särskilt småföretagarna) ignorerat hotet i flera år.
Nyligen har statliga myndigheter i USA och Storbritannien varnat för denna helt undvikbara attack. Mindre sofistikerade cyberbrottslingar kan köpa RDP-åtkomst till redan hackade maskiner på Dark Web. Tillgång till maskiner på stora flygplatser har setts på de svarta marknaderna för bara några få dollar.
Nätfiske
Om du känner till ditt mål kan du skräddarsy ett e-postmeddelande specifikt för att lura dem. Detta kallas harpunering, och det är en extremt effektiv teknik som används i många fall av ransomware.
Malware modulär
Modulär skadlig programvara attackerar ett system i olika steg. När den väl har körts på en maskin utförs spaningsarbete innan den skadliga programvaran återupptar kommunikationen med sin bas och ytterligare nyttolaster laddas ner.
trickbot
Vi har också sett Trojan Trojan Trickbot Modular Banking Trojan sätta in ransomware som Bitpaymer på maskiner. Nyligen användes det för att testa värdet av ett företag innan angripare tilläts att distribuera fjärråtkomstverktyg och Ryuk (ransomware) för att kryptera dess mest värdefulla information. Skådespelarna bakom den här Trickbot/Ryuk-kampanjen strävar bara efter stora, lukrativa mål som de vet att de kan förlama.
Trickbot själv överges ofta av ett annat modulärt skadlig program, Emotet.
Vilka är de aktuella trenderna?
Som nämnts kan användningen av ransomware minska på grund av ökat försvar och ökad medvetenhet om hotet, men den bredare och anmärkningsvärda trenden är att leta efter mål mer noggrant. vald. RDP-tillägg har varit den största källan till ransomware-samtal till våra supportteam under de senaste 2 åren. De är helt förödande för de drabbade, för vilka det ofta betalas lösensummor.
Modulär skadlig programvara innebär att man söker efter ett mål innan man bestämmer sig för om det ska köras eller inte, och detta hot har blivit ett hot under de senaste sex månaderna.
automation
När vi pratar om inriktning antar du förmodligen att det är en människa inblandad. Men i den mån det är möjligt kommer attacken att krypteras för att frigöra arbetsstyrkan. Skadliga program bestämmer sig vanligtvis för att inte köras om de är i en virtualiserad miljö eller om skanningsverktyg är installerade på datorer. Trickbot och Emotet använder sömlös automation för att hålla zombienätverk igång och sprida sig med hjälp av stulna referenser. RDP-överträdelser är enklare än någonsin på grund av automatiserade processer som riktar sig mot mål för användning på Internet. Förvänta dig en allt mer intelligent automatisering av ransomware och annan skadlig programvara i framtiden.
Vad kan jag göra?
- Säkra din RDP;
- Använd lämplig lösenordspolicy. Detta är relaterat till RDP ransomware-hot och gäller särskilt administratörer;
- Uppdatera allt;
- Spara allt. Är denna säkerhetskopia fysiskt ansluten till din miljö (som på USB-lagring)? Om så är fallet kan det enkelt krypteras av illvilliga aktörer. Se till att säkerhetskopiera flygpost eller molnpost.
- Om du tror att du har blivit utsatt för ett intrång kan dekrypteringsverktyg vara tillgängliga. Trots forskarnas briljanta insatser för dekryptering är detta bara fallet i vissa fall.
Kelvin Murray är en huvudhotforskare på Webroot.