Ako sa už stalo “dobrým” zvykom, aj tento rok je ransomware asi najväčšou hrozbou, ktorej väčšina spoločností čelí. Tento rok sa k tomu pridali aj opatrenia vyvolané koronavírusom, ktoré si vyžiadali rýchlu adaptáciu viacerých spoločností tak, aby umožnili prácu z domova. Zníženie dostupnosti služieb, ktoré už bolo aj tak cieľom ransomwaru, sa stalo ešte väčším problémom. Dalo sa teda čakať, že aj útočníci si z toho vezmú ponaučenie a prispôsobia svoje útoky týmto trendom.
Okrem ďalšieho nárastu tohto typu útokov útočníci „vylepšili“ aj svoj biznis model. Významnou zmenou z pohľadu spôsobených škôd je fenomén tzv. double extortion, teda dvojitého vydierania, kedy útočníci nielen že zašifrujú vaše dáta a pýtajú si peniaze za ich dešifrovanie, ale navyše ich predtým skopírujú k sebe a potom vám hrozia, že ak nezaplatíte, tak ich zverejnia. Okrem problémov s útočníkmi tak ľahko prídete aj k problémom s nedostatočnou ochranou osobných údajov, ku ktorým sa dostanú útočníci.
Druhou zmenou, ktorú sme už pozorovali skôr a teraz sa len rozšírila, je vznik istého „dodávateľského“ reťazca a komoditizácie ransomwaru. Vidíme to pri samotných útokoch, kedy už neplatí to, že útočník si sám zabezpečuje prístup do siete, rozšírenie a napadnutie, ale veľmi často ide o rôzne skupiny útočníkov, ktoré sa špecializujú na rôzne fázy útoku a medzi sebou si predávajú výsledky svojej činnosti. Jedna skupina napr. získa prístup do siete (okrem klasických spôsobov vidíme nárast vo využívaní zraniteľností vo VPN alebo prelamovaní prístupov do VPN), ďalšia zabezpečí perzistenciu a tretia potom extrahuje dáta, zašifruje napadnutú infraštruktúru a zabezpečuje „customer service“ pre obete.
Túto modernizáciu spôsobili najmú koronavírové opatrenia – cieľov je jednoducho zrazu tak veľa, že ich doterajší útočníci nestíhajú „obhospodárovať“. Dokonca niektorí tvorcovia ransomwaru začali svoje produkty „franšízovať“, kedy poskytujú záujemcom hotový kód a obslužnú platformu spolu s nejakými podmienkami použitia za malý podiel zo zisku. Jednoducho každý si príde na svoje (pravdaže okrem obetí, teda ak vám napadnutie ransomwarom nepríde ako niečo, po čom ste už dlho túžili).
Vyzerá byť viac ako jasné, že vo viacerých odvetviach sa zmeny spôsobené opatreniami udomácnia a potreba online pracovného prostredia a zákazníckych služieb len porastie. Rovnako to bude aj u ransomwaru a ďalších kybernetických útokov. Určite by ste preto nemali zabudnúť na zabezpečenie vašej IT infraštruktúry. Radi vám s tým pomôžeme.
Dávid Kosť, Lead Security Analyst, AXENTA a.s.
Peter Jankovský, CTO, AXENTA a.s.
Obrázok: Freepik
