Steve Barclay tiivisti lunnasohjelmauhkien nykytilan Isossa-Britanniassa äskettäin Walesissa järjestetyssä Cyber U.K. -konferenssissa.
"Ja lunnasohjelmahyökkäykset ovat suurin Yhdistyneeseen kuningaskuntaan kohdistuva kyberuhka, jotapidetään nyt niin vakavana, että se muodostaa kansallisen turvallisuusuhan."
Ransomware on yksi salakavalimmista ja haitallisimmista haittaohjelmien muodoista. Jos organisaatiosi on saanut tartunnan kiristysohjelmaan, odota kaaosta. Yrityksesi koosta riippumatta, ransomware aiheuttaa vahinkoa. Kyse ei ole vain rahan kiristämisestä; ransomware jengit myös salakirjoittavat tiedostoja ja käyttävät niitä maksun kiristämiseen ilman takeita siitä, etteivät ne myöhemmin käytä tietoja väärin.
Vaikka lunnaat maksettaisiinkin, ei ole mitään takeita siitä, että saisit salausavaimen ja pääsisit takaisin tiedostoihisi tai järjestelmiisi. Paras tapa käsitellä tämäntyyppisiä haittaohjelmia on estää tartunta alun perin. Seuraavassa tarkastellaan lunnasohjelmahyökkäyksen todellisuutta ja annetaan vinkkejä tämän vaarallisimman haittaohjelman tartunnan estämiseksi.
The Ransomware Maisema vuonna 2022
Vuoden 2022 tietoturvaloukkausten tutkintaraportissa todetaan tästä aiheesta, että ransomware:
"Tänä vuonna lunnasohjelmat ovat jatkaneet nousujohteista kehitystään, ja niiden määrä on kasvanut lähes 13 prosenttia - yhtä paljon kuin viimeisten viiden vuoden aikana yhteensä."
Ransomware-hyökkäyksillä on usein laaja-alaisia vaikutuksia. Yhdysvaltalainen öljyputkijärjestelmä Colonial Pipeline on esimerkki siitä, miten kiristyshaittaohjelmat voi vaikuttaa yritykseen ja sen asiakaskuntaan. Tämän lunnasohjelmahyökkäyksen kohteena oli koko Yhdysvaltojen lounaisosa; tartunnan takana oli yksi vaarantunut salasana.
Mutta kiristysohjelmat ei ole vain kriittisten infrastruktuurien ongelma. Cyberedge Groupin vuonna 2022 julkaiseman raportin mukaan 71 prosenttia yrityksistä on saanut tartunnan. kiristysohjelmaan vuonna 2021. Tämä vuosi näyttää rikkovan jopa nämä ennätykset. Blackfogin "The State of Ransomware in 2022" -raportissa todettiin, että lunnasohjelmahyökkäykset pysyvät vuoden 2021 lukujen tahdissa tai ylittävät ne.
Menestys rohkaisee verkkorikollisia. Heidän taktiikkansa on muuttunut entistä tarkemmaksi ja röyhkeämmäksi. Erilaiset hyökkäykset kaikilla aloilla osoittavat hyökkääjien viekkaan luonteen:
Macmillan: Kustannusyhtiö joutui sulkemaan järjestelmät, kun se joutui lunnasohjelmahyökkäyksen kohteeksi kesäkuussa 2022. Yhtiö ei pystynyt käsittelemään kirjatilauksia eikä pääsemään käsiksi sähköposteihin.
Costa Rican hallitus: Conti ransomware oli toisen Costa Rican hallitukseen kohdistuneen hyökkäyksen takana. Hyökkäys aiheutti kaaoksen ja vaikutti terveydenhuoltojärjestelmään, sillä 30 000 tiedotusvälineen tapaamista siirrettiin tartunnan vuoksi.
Yhdistyneen kuningaskunnan koulut: Yksikään organisaatio ei ole immuuni kiristyshaittaohjelmalle; monet brittiläiset koulut joutuivat näiden pahantahtoisten hyökkäysten kohteeksi vuonna 2021. Tämä suuntaus jatkuu vuonna 2022, ja tuoreena esimerkkinä on Durhaminkreivikunnassa sijaitsevaan Durham Johnston Schooliinkohdistunut lunnasohjelmahyökkäys.
Ransomware-hyökkäykset Luonnossa (Ransomware Strains Today)
Maisema ransomware kantoja vaihtelee uusien tai päivitettyjen versioiden myötä. lunnasohjelmat tulevat saataville - ja lunnasohjelmat jengit ilkkuvat menestyksestään. Hienostuneet jengit käyttävät usein sosiaalista mediaa mainostaakseen varastamiaan tietoja.
Esimerkiksi Conti-jengi hyökkäsi hiljattain Irlannin terveyspalvelujen toimeenpanovirastoon (HSE) ja käytti julkista sivustoa neuvotellakseen uhrien kanssa ja kerätäkseen lunnaita. Conti oli Colonial Pipeline -hyökkäyksen takana olleen RYUK-jengin johdannainen. Conti-sivusto suljettiin hiljattain, mutta tämä ei välttämättä ole loppu, vaan ainoastaan johdon vaihtuminen.
Blockchain analytiikka yritys, Chainanalysis, totesi, että siellä oli enemmän kuin ransomware kantoja vuonna 2021 kuin minään muuna vuonna sen jälkeen, kun tallenteet alkoivat vuonna 2011.
Jotkin nykyisistä "in-the-wild" -kannoista ovat seuraavia kiristysohjelmat ovat mm:
Magniber-kiristyshaittaohjelma on vanhempi kanta, joka päivitettiin hiljattain kohdistumaan Windows 11 -koneisiin. . kiristysohjelma levitetään väärennettyjen Windows-päivitysilmoitusten avulla.
REvil on toinen vanhempi kanta, jota on päivitetty ja pakattu uudelleen. REvil oli lunnasohjelmaKaseyaan kohdistuneen massiivisen toimitusketjuhyökkäyksen takana. Revil poistui käytöstä vuonna 2021 osana lainvalvontaviranomaisten kansainvälistä tutkimusta. Toukokuussa 2022 tietoturvatutkijat kuitenkin tunnistivat uuden REvil-koodin, mikä aiheutti huolta mahdollisista tulevista REvil-joukkohyökkäyksistä.
Onyx, Mindware ja Black Basta ovat kolme uutta tai uudelleenbrändättyä yritystä. Ransomware-as-a-Service-jengit, jotka tutkijat tunnistivat vuonna 2022. Nämä RaaS-ryhmät voivat käyttää olemassa olevia lunnasohjelmia kantoja, mutta niillä on erittäin tehokkaat mekanismit niiden levittämiseen, tyypillisesti roskapostin kautta. Onyx on erityisen ilkeä lunnasohjelma, joka voi korvata suurempia tiedostoja, jolloin niitä ei voi enää palauttaa.
Kun vuosi 2022 jatkuu, markkinoille tulee todennäköisesti uusia tai parannettuja kantoja. Kaspersky on kuitenkin havainnut samankaltaisia malleja kuin miten lunnasohjelmat toimitetaan ja levitetään verkossa. Tämäntyyppinen tiedustelutieto auttaa yrityksiä määrittämään toimenpiteet, joilla voidaan estää lunnasohjelmatartunta.
Vinkkejä Ransomware-hyökkäyksen estämiseksi
Mikään ei ole yhtä hyvä lääke ransomware kuin ennaltaehkäisy. Inhimilliset tekijät verkkohyökkäyksissä ovat tunnettuja välineitä hyökkäyksen käynnistämiseksi. Tämä pätee myös lunnasohjelmatartuntoihin. Phishing ja käyttäjien suorittama haitallista suoritettavaa tiedostoa (esim. saastunut liitetiedosto) ovat kaksi yleisintä tapaa, joilla verkkorikolliset aloittavat hyökkäyksen.
Sen vuoksi turvatoimien kohdistaminen ihmisiin on olennainen suojautumiskeino, jonka avulla voidaan torjua kiristysohjelmia vastaan. Joitakin vinkkejä ransomware-hyökkäykset ovat:
- Käytä phishing-simulaatioita: phishing on edelleen yksi tyypillisimmistä tavoista aloittaa ransomware-infektio. Varmista, että työntekijöille tehdään säännöllisesti phishing-simulaatioita, jotta he tottuvat phishing-sähköpostien malleihin ja suuntauksiin.
- Käytä suojattua VPN:ää: varmista, että etätyöntekijät ja kotona työskentelevät työntekijät käyttävät suojattua VPN: ää päästäkseen mihin tahansa internet-sivustoon.
- Korjaa: pidä kaikki järjestelmät ja laitteet korjattuina ja ajan tasalla tietoturvapäivityksillä päätelaitteiden suojaamiseksi.
- Luo turvallisuuskulttuuri: käytä tietoturvatietoisuuskoulutusta koko organisaatiossasi, mukaan lukien alihankkijat ja muut liikekumppanit. Kehitä turvallisuusajattelu kehittämällä turvallisuuskulttuuria. Näin minimoidaan huonot turvallisuuskäytännöt, jotka voivat johtaa organisaatiosi haavoittuvuuksiin.
- Teknisten turvatoimien soveltaminen: rakenna tietoturva-arsenaali käyttämällä parhaita mahdollisia turvatoimia verkon suojaamiseksi. Näihin tulisi sisältyä sisällön skannaus, suodatus ja verkkosovellusten palomuuri (WAF).