Οι Ransomware επιθέσεις έχουν δει μια ταχεία άνοδο τα τελευταία χρόνια και έχουν γίνει μια από τους πιο επικίνδυνες απειλές που αντιμετωπίζει οποιαδήποτε επιχείρηση σήμερα. Βέβαια αυτό δεν είναι κάτι το καινούριο.

Πράγματι, το πρώτο Ransomware επινοήθηκε μέσω floppy-disk στα τέλη της δεκαετίας του ’80. Έκτοτε οι προγραμματιστές αυτών των επιθέσεων προσπάθησαν να εξελίσσουν συνεχώς τις τακτικές τους για να αποφύγουν τον εντοπισμό και να αυξήσουν τις πιθανότητες να λάβουν λύτρα από τα θύματά τους.

Ως συνέπεια, αυτό μπορεί να περιλαμβάνει την ανάπτυξη πιο καταστροφικών στελεχών τύπου Ransomware. Δηλαδή, μπορεί να προκύψει η προσθήκη διπλών ή τριπλών απειλών εκβιασμού ή τη στόχευση των επιθέσεων τους σε οργανισμούς που ενδέχεται να υποστούν τον μεγαλύτερο αντίκτυπο. Ως εκ τούτου, είναι ζωτικής σημασίας οι οργανισμοί να διασφαλίζουν ότι είναι ενημερωμένοι με τις πιο πρόσφατες τάσεις και τεχνικές.

Ωστόσο, οι εταιρείες μπορούν να μάθουν πολλά από προηγούμενα περιστατικά σχετικά με τον τρόπο με τον οποίο πραγματοποιούνται επιθέσεις Ransomware. Για παράδειγμα, τον τύπο των επιχειρήσεων που στοχεύουν και τη ζημιά που μπορούν να προκαλέσουν. Παρακάτω, ακολουθούν 5 από τις πιο σημαντικές παραλλαγές και επιθέσεις τύπου Ransomware και τι έχουν διδάξει στις επιχειρήσεις.

Οι 5 πιο σημαντικές επιθέσεις τύπου Ransomware.

1. Cryptolocker

Η εξάπλωση του Cryptolocker το 2013 ήταν μία από τις πρώτες παραλλαγές Ransomware. Συνεπώς, μπορεί να ήταν το πρώτο σημαντικό περιστατικό που προειδοποίησε πολλούς επαγγελματίες της κυβερνοασφάλειας για την απειλή. Το Cryptolocker εξαπλώθηκε ως Trojan που στάλθηκε μέσω κακόβουλων email και αναζητούσε αρχεία σε μολυσμένους υπολογιστές για λόγους κρυπτογράφησης.

Ειδικότερα, βγήκε η θεωρία ότι είχε βάλει στο στόχαστρο ένα τέταρτο ενός εκατομμυρίου συσκευών σε μια περίοδο τεσσάρων μηνών. Ως αποτέλεσμα οι δημιουργοί του, κέρδισαν 3 εκατομμύρια δολάρια στη διαδικασία εκτέλεσης του. Συμπερασματικά, υπογράμμισε πόσο επικερδές θα μπορούσε να είναι το Ransomware και πόσες εταιρείες θα ήταν διατεθειμένες να πληρώσουν για να ανακτήσουν την πρόσβαση στα αρχεία τους.

2. Wannacry

Ίσως η πιο δαπανηρή επίθεση ransomware στην ιστορία, ήταν η επίθεση του WannaCry το2017. Συγκεκριμένα, είχε χαρακτηριστεί από την ταχύτητα και την μεγάλη κλίμακα με την οποία είχε εξαπλωθεί. Κατά συνέπεια, επηρέασε οργανισμούς όπως εταιρείες τηλεπικοινωνιών και παρόχους υγειονομικής περίθαλψης, σε περισσότερες από 150 χώρες.

Ο πραγματικός αριθμός των θυμάτων παραμένει άγνωστος. Ωστόσο εκτιμάται ότι κόστισε στην παγκόσμια οικονομία περισσότερα από 4 δισεκατομμύρια δολάρια για να διορθωθεί. Ειδικότερα, η δαπάνη για την αποκατάσταση στην Εθνική Υπηρεσία Υγείας του Ηνωμένου Βασιλείου, κόστισε περίπου 100 εκατομμύρια δολάρια.

Το Ransomware αυτό εξαπλώθηκε χρησιμοποιώντας μια ευπάθεια στα Windows, με τα παλαιότερα μηχανήματα να είναι ιδιαίτερα ευάλωτα. Ως εκ τούτου, κατέδειξε τη σημασία της ενημέρωσης με βασικές βέλτιστες πρακτικές κυβερνοασφάλειας, όπως η τακτική επιδιόρθωση εξοπλισμού. Επίσης κατέδειξε και την υπενθύμιση στις εταιρείες του πόσο γρήγορα μπορούν να χάσουν τον έλεγχο των συστημάτων τους εάν δεν υπάρχουν οι κατάλληλες άμυνες.

3. Petya/NotPetya

Το WannaCry δεν ήταν το μόνο σημαντικό Ransomware που εμφανίστηκε το 2017. Επιπροσθέτως, η εμφάνιση του Petya το προηγούμενο έτος οδήγησε γρήγορα στο σχετικό NotPetya. Σε αυτήν την περίπτωση, δεν ήταν μόνο τα αρχεία που κρυπτογραφήθηκαν, αλλά ολόκληρα συστήματα. Επίσης, εκείνο το κακόβουλο λογισμικό στόχευε και τον κύριο πίνακα αρχείων μιας συσκευής (MFT – Master File Table). Κατά συνέπεια, καθιστούσε αδύνατη την πρόσβαση των χρηστών.

Ωστόσο, ενώ η Petya απαιτούσε από έναν χρήστη να ανοίξει το μολυσμένο αρχείο, το πιο σοβαρό NotPetya μπόρεσε να εξαπλωθεί από μόνο του. Επιπλέον, ενώ οι μολύνσεις Petya ήταν ανακτήσιμες με δυσκολία (ή πληρωμή), η ζημιά που έκανε το NotPetya στα συστήματα ήταν μόνιμη.

Σε αυτή την περίπτωση, το θέμα ήταν η αναστάτωση. Υπάρχει η θεωρία πως το NotPetya αποτέλεσε μια χρηματοδοτούμενη επίθεση από το κράτος με στόχο διάφορες ουκρανικές οργανώσεις. Ως αποτέλεσμα, σηματοδότησε μια νέα φάση στη χρησιμοποίηση του Ransomware. Ειδικότερα, οι τεχνικές του πλέον έγιναν εργαλείο κυβερνοπολέμου και όχι απλώς ως τρόπος για να βγάλουν χρήματα οι εγκληματίες.

4. Colonial Pipeline

Ο αντίκτυπος του Ransomware εκτός των λειτουργιών πληροφορικής έχει αυξηθεί εδώ και αρκετό καιρό. Οι επιθέσεις σε δημόσιες υπηρεσίες, όπως οι τοπικές κυβερνήσεις σε όλες τις ΗΠΑ, έχουν δείξει πώς το πρόβλημα μπορεί να επηρεάσει σοβαρά τις ζωές των πολιτών. Επιπλέον, οι αρνητικές επιπτώσεις που μπορεί να προκληθούν σε υποδομές ζωτικής σημασίας μπορεί επίσης να είναι εκτεταμένες.

Το 2021, αυτό οδήγησε σε ελλείψεις καυσίμων και πανικό στην ανατολική ακτή των ΗΠΑ, όταν η ενεργειακή εταιρεία Colonial Pipeline δέχθηκε επίθεση με ransomware. Ο αντίκτυπος έφτασε ακόμη και σε περιοχές που δεν εξυπηρετούνται από την εταιρεία. Κατά συνέπεια οι ανήσυχοι πολίτες προσπαθούσαν να συγκεντρώσουν ό,τι ήταν διαθέσιμο από ενέργεια. Η εταιρεία ένιωσε υποχρεωμένη να πληρώσει λύτρα 4 εκατομμυρίων δολαρίων προκειμένου να αποκαταστήσει τις λειτουργίες και την εμπιστοσύνη των καταναλωτών.

Ως αποτέλεσμα, φάνηκε η σοβαρή πίεση που μπορεί να υποστούν οι επιχειρήσεις από μια επίθεση τύπου Ransomware. Για την ιστορία, πολλά από τα χρήματα των λύτρων ανακτήθηκαν αργότερα από το FBI.

5. REvil

Καθώς το Ransomware έχει γίνει πιο κερδοφόρο για τους χάκερ, οι ομάδες που διαιωνίζουν αυτές τις επιθέσεις γίνονται όλο και πιο οργανωμένες. Ειδικότερα, μία από τις πιο διαβόητες και επιτυχημένες ομάδες Ransomware ήταν της REvil. Ήρθε στην προσοχή το 2020, και ήταν μια ομάδα με έδρα τη Ρωσία. Επιπλέον, πρόσφερε ένα μοντέλο Ransomware-as-a-Service (Επιθέσεις Ransomware ως υπηρεσία) σε άλλους εγκληματίες. Ειδικότερα, ευνόησε μεθόδους διπλής εκβίασης που τους έβλεπαν να διεισδύουν δεδομένα από στόχους και να απειλούν να τα δημοσιοποιήσουν, εκτός εάν οι πληρωμές πραγματοποιούνταν γρήγορα.

Κάποια στιγμή, περίπου το ένα τρίτο των μολύνσεων Ransomware που παρατηρήθηκαν από ερευνητές ασφαλείας χρησιμοποίησαν το κακόβουλο λογισμικό REvil. Μία από τις πιο αξιοσημείωτες επιθέσεις είχε στόχο τον πάροχο διαχειριζόμενων υπηρεσιών Kaseya το 2021. Αυτό εξαπλώθηκε μέσω της αλυσίδας εφοδιασμού στους πελάτες του οργανισμού, με έως και 1.500 επιχειρήσεις να επηρεάζονται.

Tο εν λόγω δίκτυο REvil, φαίνεται να έκλεισε από τις ρωσικές αρχές στις αρχές του 2022. Ωστόσο, οι τακτικές του να ασκούν επιπλέον πίεση στις εταιρείες να πληρώσουν ή να αντιμετωπίσουν περαιτέρω συνέπειες έχουν μιμηθεί ευρέως. Κατά συνέπεια, έχουν κάνει την επίθεση τύπου Ransomware ακόμη πιο επικίνδυνη απειλή για πολλές επιχειρήσεις.

Συμπερασματικά

Ως αποτέλεσμα από αυτές τις 5 επιθέσεις τύπου Ransomware και από αυτές που θα ακολουθήσουν, να αποτελούν μια συνεχώς εξελισσόμενη απειλή, οι ομάδες κυβερνοασφάλειας δεν έχουν την πολυτέλεια να μείνουν άπραγες. Ως εκ τούτου, πρέπει να λάβουν μέτρα για να κατανοήσουν το προφίλ κινδύνου τους, την ταυτότητά τους και το που βρίσκονται οι αδυναμίες τους, ώστε να δημιουργήσουν ισχυρές άμυνες.

Το να έρθουν οι εταιρείες αντιμέτωπες με μια επίθεση τύπου Ransomware είναι πλέον μια περίπτωση του πότε και όχι του εάν. Συνεπώς είναι σημαντικό οι εταιρείες να μάθουν από τις κυβερνοεπιθέσεις του παρελθόντος και να βεβαιωθούν ότι είναι κατάλληλα προετοιμασμένες.

Τέλος, καθώς η επανάληψη είναι μήτηρ πάσης μαθήσεως, σας υπενθυμίζουμε τις χρήσιμες συμβουλές για θέματα κυβερνοασφάλειας. Επίσης, σας παραθέτουμε το infographic-οδηγός για την αντιμετώπιση των επιθέσεων τύπου Ransomware.

Πηγή: Blackfog.com