Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

Bezpieczeństwo w InternecieRansomware

Prognoza cyberbezpiecze┼ästwa na rok 2024 ÔÇô nowe taktyki i cele oprogramowania ransomware

Piotr R

3 stycznia 2024

W przesz┼éo┼Ťci cyberprzest─Öpcy wykorzystuj─ůcy ransomware cz─Östo kierowali si─Ö motywacj─ů ÔÇ×zrobienia czego┼Ť dla ┼╝artuÔÇŁ, anga┼╝uj─ůc si─Ö w szkodliwe dzia┼éania wy┼é─ůcznie dla zabawy lub wywo┼éania chaosu. Dzi┼Ť z┼éo┼Ťliwi hakerzy kieruj─ů si─Ö g┼é├│wnie zyskiem, przekszta┼écaj─ůc si─Ö w racjonalne podmioty gospodarcze poszukuj─ůce skalowalnych, powtarzalnych proces├│w zapewniaj─ůcych sta┼éy doch├│d. Ta zmiana motywacji nieco u┼éatwi┼éa przewidywanie ich zachowania, poniewa┼╝ ich dzia┼éania opieraj─ů si─Ö teraz na celach strategicznych, a nie na nieprzewidywalnych kaprysach.

Ransomware

Zesp├│┼é Bitdefender oczekuje, ┼╝e w 2024 r. zagro┼╝enie oprogramowaniem ransomware b─Ödzie nadal przybiera─ç oportunistyczny obr├│t ÔÇö tendencja, kt├│r─ů po raz pierwszy podkre┼Ťlono w 2022 r., nabra┼éa tempa w ca┼éym 2023 r. (oznaczona licznymi zaleceniami, kt├│rych kulminacj─ů by┼éo trwaj─ůce wykorzystanie CitrixBleed) i przewiduje si─Ö, ┼╝e osi─ůgnie dojrza┼éo┼Ť─ç w tym roku.

Przyspieszenie oportunistycznego oprogramowania ransomware za pomoc─ů exploit├│w dnia zerowego

W 2024 r. ugrupowania zajmuj─ůce si─Ö oprogramowaniem ransomware b─Öd─ů w dalszym ci─ůgu przyjmowa─ç bardziej oportunistyczne podej┼Ťcie, szybko wykorzystuj─ůc nowo wykryte luki w zabezpieczeniach w ci─ůgu 24 godzin od udost─Öpnienia nowej aplikacji. Po zhakowaniu wielu sieci za pomoc─ů automatycznych skaner├│w zostan─ů one r─Öcznie poddane segregacji w celu okre┼Ťlenia optymalnej metody zarabiania i wybrania odpowiedniego trybu ataku. W miar─Ö jak firmy coraz cz─Ö┼Ťciej stosuj─ů priorytetowe ┼éatanie i szybkie reagowanie, bardziej wyrafinowane grupy posiadaj─ůce znaczne zasoby zaczn─ů inwestowa─ç w autentyczne luki dnia zerowego, omijaj─ůc potrzeb─Ö czekania na dost─Öpno┼Ť─ç kodu potwierdzaj─ůcego koncepcj─Ö (PoC).

Grupy zajmuj─ůce si─Ö oprogramowaniem ransomware b─Öd─ů nadal skupia─ç si─Ö na oprogramowaniu skierowanym przeciwko przedsi─Öbiorstwom. Zar├│wno dostawcy korporacyjni, jak i klienci musz─ů dostosowa─ç si─Ö do tego trendu. Oprogramowanie dla przedsi─Öbiorstw wyr├│┼╝nia si─Ö jako g┼é├│wny cel ze wzgl─Ödu na tradycyjne cykle konserwacji. W przeciwie┼ästwie do w pe┼éni zautomatyzowanych i p┼éynnych mechanizm├│w aktualizacji powszechnych w oprogramowaniu konsumenckim, takim jak przegl─ůdarki czy aplikacje biurowe, oprogramowanie dla przedsi─Öbiorstw zazwyczaj stosuje bardziej konserwatywne, etapowe podej┼Ťcie do instalowania poprawek. Stwarza to szans─Ö dla podmiot├│w stwarzaj─ůcych zagro┼╝enie, a ich wysi┼éki b─Öd─ů prawdopodobnie skierowane na maksymalne wyd┼éu┼╝enie czasu trwania tego okna. Tradycyjne podej┼Ťcie do cyklu ┼╝ycia oprogramowania dla przedsi─Öbiorstw mo┼╝e wymaga─ç transformacji, aby sprosta─ç rosn─ůcej presji wywieranej przez podmioty zagra┼╝aj─ůce.

Bior─ůc pod uwag─Ö czas wymagany na t─Ö korekt─Ö, mo┼╝e wyst─ůpi─ç chwilowy brak r├│wnowagi pomi─Ödzy zdolno┼Ťciami ofensywnymi cyberprzest─Öpc├│w i defensywnymi przedsi─Öbiorstw. Zesp├│┼é Bitdefender oczekuje, ┼╝e po kilku g┼éo┼Ťnych atakach firmy skupi─ů si─Ö na rozwi─ůzaniach do zarz─ůdzania ryzykiem i systemach antywirusowych.

Usprawnienie oceny i segregacji ofiar

Ataki oportunistyczne przeprowadzane przez broker├│w pierwszego dost─Öpu lub podmioty powi─ůzane z oprogramowaniem ransomware szybko uzyskuj─ů dost─Öp do setek lub tysi─Öcy sieci. Po tym zautomatyzowanym wst─Öpnym kompromisie nast─Öpuje r─Öczny proces selekcji, wymagaj─ůcy dodatkowego czasu. Ten czas dzia┼éania zapewnia obro┼äcom mo┼╝liwo┼Ť─ç wykrycia i z┼éagodzenia zagro┼╝enia, zw┼éaszcza dzi─Öki skutecznym funkcjom wykrywania i reagowania (XDR lub MDR).

Segregacja ma kluczowe znaczenie dla okre┼Ťlenia maksymalnego potencja┼éu okupu i najskuteczniejszej metody ataku, bior─ůc pod uwag─Ö takie czynniki, jak bran┼╝a lub wielko┼Ť─ç firmy. Bran┼╝e produkcyjne s─ů podatne na wdra┼╝anie oprogramowania ransomware, podczas gdy sektory takie jak opieka zdrowotna czy kancelarie prawne s─ů bardziej podatne na kradzie┼╝ danych. Grupy zajmuj─ůce si─Ö oprogramowaniem ransomware s─ů coraz bardziej bieg┼ée w rozumieniu niuans├│w bran┼╝owych. Szczeg├│lnie studia gier musz─ů zachowa─ç czujno┼Ť─ç, poniewa┼╝ zesp├│┼é Bitdefender spodziewa si─Ö wzrostu liczby atak├│w w 2024 r. na t─Ö bran┼╝─Ö.

Ma┼ée i ┼Ťrednie firmy o ograniczonym potencjale okupu s┼éu┼╝─ů jako ┼║r├│d┼éa po┼é─ůcze┼ä biznesowych w celu eskalacji atak├│w, cz─Östo poprzez po┼é─ůczenia VPN/VDI lub naruszenie bezpiecze┼ästwa poczty biznesowej. W tym scenariuszu najcenniejszym zasobem dla przest─Öpc├│w zajmuj─ůcych si─Ö oprogramowaniem ransomware mo┼╝e nie by─ç to, co posiadasz, ale kogo znasz i z kim prowadzisz korespondencje. Pocz─ůtkowe wykorzystanie luki mo┼╝e zagrozi─ç firmie w ┼éa┼äcuchu dostaw, nawet je┼Ťli nie korzysta ona bezpo┼Ťrednio z oprogramowania, kt├│rego dotyczy luka.

Modernizacja kodu ransomware

Tw├│rcy oprogramowania ransomware coraz cz─Ö┼Ťciej przyjmuj─ů Rust jako sw├│j podstawowy j─Özyk programowania. Rust umo┼╝liwia programistom pisanie bezpieczniejszego kodu, jednocze┼Ťnie utrudniaj─ůc badaczom bezpiecze┼ästwa in┼╝ynieri─Ö wsteczn─ů i analiz─Ö. Dodatkowo umo┼╝liwia tworzenie kodu, kt├│ry mo┼╝na skompilowa─ç dla r├│┼╝nych system├│w operacyjnych. Chocia┼╝ nie przewiduje si─Ö rozwoju oprogramowania ransomware dla systemu macOS, istnieje rosn─ůca tendencja do atakowania hiperwizor├│w i innych obci─ů┼╝e┼ä serwer├│w.

Zamiast pe┼énego szyfrowania plik├│w, kod ransomware b─Ödzie preferowa┼é szyfrowanie przerywane i stopniowo przechodzi┼é w kierunku szyfrowania odpornego na kwanty, takiego jak szyfrowanie NTRU. Szyfrowanie przerywane polega na szyfrowaniu tylko cz─Ö┼Ťci pliku na raz, co oferuje dwie kluczowe zalety z perspektywy przest─Öpcy: po pierwsze, wykrycie ataku przez narz─Ödzia zabezpieczaj─ůce staje si─Ö trudniejsze ze wzgl─Ödu na statystyczne podobie┼ästwo mi─Ödzy cz─Ö┼Ťciowo zaszyfrowanym plikiem a orygina┼éem; po drugie, proces szyfrowania jest szybszy, umo┼╝liwiaj─ůc oprogramowaniu ransomware zaszyfrowanie wi─Ökszej liczby plik├│w w okre┼Ťlonym czasie.

Podsumowuj─ůc, wysokiej jako┼Ťci kod ransomware staje si─Ö towarem. Ransomware cz─Östo wp┼éywa na du┼╝─ů liczb─Ö system├│w i ogromne ilo┼Ťci danych. Jednak pomimo rozwoju zawodowego odzyskiwanie danych pozostaje wyzwaniem i nigdy nie mo┼╝na zagwarantowa─ç, ┼╝e uda si─Ö to w 100%. Coraz wi─Öcej grup zajmuj─ůcych si─Ö oprogramowaniem ransomware wybiera strategi─Ö kradzie┼╝y danych, dostrzegaj─ůc utrzymuj─ůce si─Ö trudno┼Ťci w odzyskiwaniu danych, niezale┼╝nie od jako┼Ťci kodu.

Ci─ůg┼éa zmiana w kierunku kradzie┼╝y danych poprzez szyfrowanie oprogramowania ransomware

Szyfrowanie danych nadal b─Ödzie cz─Ö┼Ťci─ů arsena┼éu wyrafinowanych grup zajmuj─ůcych si─Ö oprogramowaniem ransomware, ale przyjmie rol─Ö uzupe┼éniaj─ůc─ů. Trwa tendencja do kradzie┼╝y i eksfiltracji danych, odchodz─ůc od tradycyjnego skupiania si─Ö na szyfrowaniu oprogramowania ransomware (wyj─ůtkiem s─ů bran┼╝e, w kt├│rych zapewnienie dost─Öpno┼Ťci ma pierwsze┼ästwo przed poufno┼Ťci─ů, np. produkcja). Kilka godnych uwagi przyk┼éad├│w to CL0P, BianLian, Avos, BlackCat, Hunters International i Rhysida.

Ekstrakcja danych mo┼╝e skutkowa─ç wy┼╝szymi wyp┼éatami w por├│wnaniu z atakami ransomware. Po udanej eksfiltracji danych ofiary staj─ů przed binarn─ů decyzj─ů: zachowa─ç poufno┼Ť─ç danych lub pozwoli─ç podmiotom zagra┼╝aj─ůcym na ich publikacj─Ö, w przeciwie┼ästwie do bardziej elastycznych wynik├│w scenariuszy szyfrowania danych.

W przeciwie┼ästwie do oprogramowania ransomware eksfiltracja danych pozwala unikn─ů─ç ich zniszczenia, umo┼╝liwiaj─ůc grupom zajmuj─ůcym si─Ö oprogramowaniem ransomware przedstawianie si─Ö jako mimowolni testerzy zabezpiecze┼ä. Eksfiltracja danych pozwala ofiarom zachowa─ç fasad─Ö poufno┼Ťci danych, poniewa┼╝ ugrupowania zagra┼╝aj─ůce oferuj─ů dyskretne radzenie sobie z naruszeniami. Cyberprzest─Öpcy wykorzystuj─ů ustawodawstwo i wiedz─Ö dotycz─ůc─ů zgodno┼Ťci, aby zmusi─ç ofiary do spe┼énienia rosn─ůcych ┼╝─ůda┼ä okupu, a niekt├│re ofiary mog─ů zdecydowa─ç si─Ö na zap┼éacenie okupu, aby unikn─ů─ç kar finansowych lub negatywnego wp┼éywu na mark─Ö.

Przyk┼éadowo, jak pokazuj─ů wyniki ankiety Bitdefender pt. ÔÇ×Ocena cyberbezpiecze┼ästwa Bitdefender 2023ÔÇŁ, ponad 70% respondent├│w w USA stwierdzi┼éo, ┼╝e kierownictwo powiedzia┼éo im, aby trzymali naruszenie w tajemnicy, podczas gdy 55% stwierdzi┼éo, ┼╝e utrzymywa┼éo naruszenie w tajemnicy, gdy nale┼╝a┼éo to zg┼éosi─ç. Organy ┼Ťcigania cz─Östo uzyskuj─ů dost─Öp do wyciekaj─ůcych danych od grup zajmuj─ůcych si─Ö oprogramowaniem ransomware, kt├│re mog─ů zawiera─ç informacje o naruszeniach bezpiecze┼ästwa, kt├│re nie zosta┼éy zg┼éoszone. W miar─Ö kontynuacji tej zmiany zesp├│┼é Bitdefender spodziewa si─Ö (i mam nadziej─Ö) zwi─Ökszonej kontroli ze strony organ├│w regulacyjnych.

Podniesienie grup oprogramowania ransomware do wy┼╝szego poziomu zaawansowania

Przej┼Ťcie specjalist├│w zajmuj─ůcych si─Ö bezpiecze┼ästwem do firm cyberprzest─Öpczych jest nap─Ödzane przez model grup przest─Öpczych oparty na podziale zysk├│w, co jest dok┼éadniejszym okre┼Ťleniem modelu biznesowego oprogramowania ransomware jako us┼éugi (RaaS). Te wyrafinowane grupy aktywnie rekrutuj─ů cz┼éonk├│w z zaawansowanymi umiej─Ötno┼Ťciami i wy┼╝szym wykszta┼éceniem.

Oczekuje si─Ö, ┼╝e w obliczu wyzwa┼ä zwi─ůzanych ze skalowalno┼Ťci─ů zwi─ůzanych z atakami oportunistycznymi grupy zajmuj─ůce si─Ö oprogramowaniem ransomware w najbli┼╝szej przysz┼éo┼Ťci b─Öd─ů aktywnie poszukiwa─ç umiej─Ötno┼Ťci automatyzacji. Aby zmaksymalizowa─ç okup, kluczowe znaczenie ma g┼é─Öbokie zrozumienie sposobu dzia┼éania przedsi─Öbiorstw, co prowadzi do po┼éo┼╝enia wi─Ökszego nacisku na ubezpieczenia cybernetyczne, zgodno┼Ť─ç z przepisami i wiedz─Ö legislacyjn─ů. Otwiera to wi─Öcej mo┼╝liwo┼Ťci dla specjalist├│w nietechnicznych, aby do┼é─ůczy─ç do rozwijaj─ůcego si─Ö ekosystemu przest─Öpczego.

Dla odnosz─ůcych sukcesy grup zajmuj─ůcych si─Ö oprogramowaniem ransomware kluczowym czynnikiem jest przyci─ůgni─Öcie najbardziej utalentowanych partner├│w, a krajobraz konkurencyjny mi─Ödzy grupami zajmuj─ůcymi si─Ö oprogramowaniem ransomware b─Ödzie si─Ö nasila─ç. Grupy borykaj─ůce si─Ö z wyzwaniami zwi─ůzanymi z bezpiecze┼ästwem operacyjnym, na przyk┼éad BlackCat (niedawno zamkni─Öty przez organy ┼Ťcigania i po┼é─ůczony z poprzednio upad┼éymi grupami BlackMatter i DarkSide), prawdopodobnie dokonaj─ů zmiany marki, ale b─Öd─ů mia┼éy trudno┼Ťci z przyci─ůgni─Öciem bardziej wyrafinowanych partner├│w, zw┼éaszcza po wielu niepowodzeniach. Niekt├│re grupy mog─ů zdecydowa─ç si─Ö na sprzeda┼╝ pozosta┼éych aktyw├│w innym aspiruj─ůcym cyberprzest─Öpcom i znikn─ů─ç, jak mia┼éo to miejsce w przypadku Hive i Hunters International. Poniewa┼╝ grupy zajmuj─ůce si─Ö oprogramowaniem ransomware w coraz wi─Ökszym stopniu polegaj─ů na specjalistach, ich marka i reputacja mog─ů odegra─ç bardziej znacz─ůc─ů rol─Ö, potencjalnie staj─ůc si─Ö przeszkod─ů w ich dzia┼éaniach.

Zakłócanie technik sponsorowanych przez państwo przez grupy ransomware

Rosn─ůce wyrafinowanie grup zajmuj─ůcych si─Ö oprogramowaniem ransomware w 2024 r. doprowadzi do powszechnego przyj─Öcia narz─Ödzi i technik tradycyjnie kojarzonych ze sponsorowanymi przez pa┼ästwo ugrupowaniami zajmuj─ůcymi si─Ö zagro┼╝eniami. Sideloading bibliotek DLL stanie si─Ö powszechn─ů praktyk─ů, a techniki ÔÇ×living of the landÔÇŁ pozostan─ů g┼é├│wnym nurtem. W miar─Ö jak firmy wdra┼╝aj─ů skuteczne zabezpieczenia, takie jak MDR i XDR, dla grup sponsorowanych przez pa┼ästwo coraz wi─Ökszym wyzwaniem b─Ödzie ukrywanie swojej dzia┼éalno┼Ťci, co zmusi je do przej┼Ťcia na niestandardowe, wyrafinowane z┼éo┼Ťliwe oprogramowanie i z┼éo┼╝one wektory atak├│w, w tym ataki na ┼éa┼äcuch dostaw.

Re┼╝imy, kt├│re tolerowa┼éy istnienie tych grup zajmuj─ůcych si─Ö oprogramowaniem ransomware, mog─ů by─ç zmuszone do ustalenia zasad zaanga┼╝owania, gdy operacje te zaczn─ů powodowa─ç konflikty z sojusznikami lub podwa┼╝a─ç ich w┼éasne interesy.

Ransomware w 2024 r. ÔÇô wnioski Bitdefender

Podsumowuj─ůc, przewiduje si─Ö, ┼╝e rok 2024 b─Ödzie kolejnym rokiem oprogramowania ransomware. Nale┼╝y jednak pami─Öta─ç, ┼╝e model biznesowy oprogramowania ransomware znacznie ewoluowa┼é od 2017 r. i jeste┼Ťmy w trakcie jednej z takich przemian. Bycie na bie┼╝─ůco z najnowszymi trendami ma kluczowe znaczenie, podobnie jak nadanie priorytetu podstawowym strategiom, takim jak dog┼é─Öbna obrona i wielowarstwowe bezpiecze┼ästwo. Nacisk nale┼╝y po┼éo┼╝y─ç na zdobywanie zdolno┼Ťci, a nie narz─Ödzi, obejmuj─ůcych mo┼╝liwo┼Ťci zapobiegania, ochrony, wykrywania i reagowania.

Te przewidywania s─ů wynikiem oddanej pracy naszych badaczy bezpiecze┼ästwa w Bitdefender Labs i praktycznych spostrze┼╝e┼ä specjalist├│w ds. bezpiecze┼ästwa w zespole Bitdefender MDR. Chcieliby┼Ťmy im podzi─Ökowa─ç za ich ci─Ö┼╝k─ů prac─Ö, a zw┼éaszcza wysi┼éki zwi─ůzane z analiz─ů kodu ransomware w celu opracowania bezp┼éatnych program├│w deszyfruj─ůcych.

Je┼Ťli chcia┼éby┼Ť dowiedzie─ç si─Ö, w jaki spos├│b skutecznie uchroni─ç si─Ö przed oprogramowaniem typy ransomware, to zach─Öcamy, aby┼Ť odwiedzi┼é t─Ö stron─Ö.


Autor


Piotr R

Account Manager, od ponad roku pracuj─Ö w bran┼╝y IT i od ponad 5 lat jestem copywriterem. Do moich zada┼ä nale┼╝y nawi─ůzywanie wsp├│┼épracy partnerskich, pisanie i redagowanie tekst├│w, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach spo┼éeczno┼Ťciowych. Wcze┼Ťniej by┼éem przez kilka lat zwi─ůzany z bran┼╝─ů OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuj─Ö si─Ö j─Özykoznawstwem, literatur─ů, gr─ů na gitarze oraz bran┼╝─ů gier.

Zobacz posty autora


Artyku┼éy kt├│re mog─ů Ci si─Ö spodoba─ç

    Formularz kontaktowy

    Wybierz odpowiedni─ů opcj─Ö aby przej┼Ť─ç do formularza kontaktowego. Odpowiemy najszybciej jak to mo┼╝liwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe