Prognoza cyberbezpieczeństwa na rok 2024 – nowe taktyki i cele oprogramowania ransomware

W przeszłości cyberprzestępcy wykorzystujący ransomware często kierowali się motywacją „zrobienia czegoś dla żartu”, angażując się w szkodliwe działania wyłącznie dla zabawy lub wywołania chaosu. Dziś złośliwi hakerzy kierują się głównie zyskiem, przekształcając się w racjonalne podmioty gospodarcze poszukujące skalowalnych, powtarzalnych procesów zapewniających stały dochód. Ta zmiana motywacji nieco ułatwiła przewidywanie ich zachowania, ponieważ ich działania opierają się teraz na celach strategicznych, a nie na nieprzewidywalnych kaprysach.

Zespół Bitdefender oczekuje, że w 2024 r. zagrożenie oprogramowaniem ransomware będzie nadal przybierać oportunistyczny obrót — tendencja, którą po raz pierwszy podkreślono w 2022 r., nabrała tempa w całym 2023 r. (oznaczona licznymi zaleceniami, których kulminacją było trwające wykorzystanie CitrixBleed) i przewiduje się, że osiągnie dojrzałość w tym roku.

Przyspieszenie oportunistycznego oprogramowania ransomware za pomocą exploitów dnia zerowego

W 2024 r. ugrupowania zajmujące się oprogramowaniem ransomware będą w dalszym ciągu przyjmować bardziej oportunistyczne podejście, szybko wykorzystując nowo wykryte luki w zabezpieczeniach w ciągu 24 godzin od udostępnienia nowej aplikacji. Po zhakowaniu wielu sieci za pomocą automatycznych skanerów zostaną one ręcznie poddane segregacji w celu określenia optymalnej metody zarabiania i wybrania odpowiedniego trybu ataku. W miarę jak firmy coraz częściej stosują priorytetowe łatanie i szybkie reagowanie, bardziej wyrafinowane grupy posiadające znaczne zasoby zaczną inwestować w autentyczne luki dnia zerowego, omijając potrzebę czekania na dostępność kodu potwierdzającego koncepcję (PoC).

Grupy zajmujące się oprogramowaniem ransomware będą nadal skupiać się na oprogramowaniu skierowanym przeciwko przedsiębiorstwom. Zarówno dostawcy korporacyjni, jak i klienci muszą dostosować się do tego trendu. Oprogramowanie dla przedsiębiorstw wyróżnia się jako główny cel ze względu na tradycyjne cykle konserwacji. W przeciwieństwie do w pełni zautomatyzowanych i płynnych mechanizmów aktualizacji powszechnych w oprogramowaniu konsumenckim, takim jak przeglądarki czy aplikacje biurowe, oprogramowanie dla przedsiębiorstw zazwyczaj stosuje bardziej konserwatywne, etapowe podejście do instalowania poprawek. Stwarza to szansę dla podmiotów stwarzających zagrożenie, a ich wysiłki będą prawdopodobnie skierowane na maksymalne wydłużenie czasu trwania tego okna. Tradycyjne podejście do cyklu życia oprogramowania dla przedsiębiorstw może wymagać transformacji, aby sprostać rosnącej presji wywieranej przez podmioty zagrażające.

Biorąc pod uwagę czas wymagany na tę korektę, może wystąpić chwilowy brak równowagi pomiędzy zdolnościami ofensywnymi cyberprzestępców i defensywnymi przedsiębiorstw. Zespół Bitdefender oczekuje, że po kilku głośnych atakach firmy skupią się na rozwiązaniach do zarządzania ryzykiem i systemach antywirusowych.

Usprawnienie oceny i segregacji ofiar

Ataki oportunistyczne przeprowadzane przez brokerów pierwszego dostępu lub podmioty powiązane z oprogramowaniem ransomware szybko uzyskują dostęp do setek lub tysięcy sieci. Po tym zautomatyzowanym wstępnym kompromisie następuje ręczny proces selekcji, wymagający dodatkowego czasu. Ten czas działania zapewnia obrońcom możliwość wykrycia i złagodzenia zagrożenia, zwłaszcza dzięki skutecznym funkcjom wykrywania i reagowania (XDR lub MDR).

Segregacja ma kluczowe znaczenie dla określenia maksymalnego potencjału okupu i najskuteczniejszej metody ataku, biorąc pod uwagę takie czynniki, jak branża lub wielkość firmy. Branże produkcyjne są podatne na wdrażanie oprogramowania ransomware, podczas gdy sektory takie jak opieka zdrowotna czy kancelarie prawne są bardziej podatne na kradzież danych. Grupy zajmujące się oprogramowaniem ransomware są coraz bardziej biegłe w rozumieniu niuansów branżowych. Szczególnie studia gier muszą zachować czujność, ponieważ zespół Bitdefender spodziewa się wzrostu liczby ataków w 2024 r. na tę branżę.

Małe i średnie firmy o ograniczonym potencjale okupu służą jako źródła połączeń biznesowych w celu eskalacji ataków, często poprzez połączenia VPN/VDI lub naruszenie bezpieczeństwa poczty biznesowej. W tym scenariuszu najcenniejszym zasobem dla przestępców zajmujących się oprogramowaniem ransomware może nie być to, co posiadasz, ale kogo znasz i z kim prowadzisz korespondencje. Początkowe wykorzystanie luki może zagrozić firmie w łańcuchu dostaw, nawet jeśli nie korzysta ona bezpośrednio z oprogramowania, którego dotyczy luka.

Modernizacja kodu ransomware

Twórcy oprogramowania ransomware coraz częściej przyjmują Rust jako swój podstawowy język programowania. Rust umożliwia programistom pisanie bezpieczniejszego kodu, jednocześnie utrudniając badaczom bezpieczeństwa inżynierię wsteczną i analizę. Dodatkowo umożliwia tworzenie kodu, który można skompilować dla różnych systemów operacyjnych. Chociaż nie przewiduje się rozwoju oprogramowania ransomware dla systemu macOS, istnieje rosnąca tendencja do atakowania hiperwizorów i innych obciążeń serwerów.

Zamiast pełnego szyfrowania plików, kod ransomware będzie preferował szyfrowanie przerywane i stopniowo przechodził w kierunku szyfrowania odpornego na kwanty, takiego jak szyfrowanie NTRU. Szyfrowanie przerywane polega na szyfrowaniu tylko części pliku na raz, co oferuje dwie kluczowe zalety z perspektywy przestępcy: po pierwsze, wykrycie ataku przez narzędzia zabezpieczające staje się trudniejsze ze względu na statystyczne podobieństwo między częściowo zaszyfrowanym plikiem a oryginałem; po drugie, proces szyfrowania jest szybszy, umożliwiając oprogramowaniu ransomware zaszyfrowanie większej liczby plików w określonym czasie.

Podsumowując, wysokiej jakości kod ransomware staje się towarem. Ransomware często wpływa na dużą liczbę systemów i ogromne ilości danych. Jednak pomimo rozwoju zawodowego odzyskiwanie danych pozostaje wyzwaniem i nigdy nie można zagwarantować, że uda się to w 100%. Coraz więcej grup zajmujących się oprogramowaniem ransomware wybiera strategię kradzieży danych, dostrzegając utrzymujące się trudności w odzyskiwaniu danych, niezależnie od jakości kodu.

Ciągła zmiana w kierunku kradzieży danych poprzez szyfrowanie oprogramowania ransomware

Szyfrowanie danych nadal będzie częścią arsenału wyrafinowanych grup zajmujących się oprogramowaniem ransomware, ale przyjmie rolę uzupełniającą. Trwa tendencja do kradzieży i eksfiltracji danych, odchodząc od tradycyjnego skupiania się na szyfrowaniu oprogramowania ransomware (wyjątkiem są branże, w których zapewnienie dostępności ma pierwszeństwo przed poufnością, np. produkcja). Kilka godnych uwagi przykładów to CL0P, BianLian, Avos, BlackCat, Hunters International i Rhysida.

Ekstrakcja danych może skutkować wyższymi wypłatami w porównaniu z atakami ransomware. Po udanej eksfiltracji danych ofiary stają przed binarną decyzją: zachować poufność danych lub pozwolić podmiotom zagrażającym na ich publikację, w przeciwieństwie do bardziej elastycznych wyników scenariuszy szyfrowania danych.

W przeciwieństwie do oprogramowania ransomware eksfiltracja danych pozwala uniknąć ich zniszczenia, umożliwiając grupom zajmującym się oprogramowaniem ransomware przedstawianie się jako mimowolni testerzy zabezpieczeń. Eksfiltracja danych pozwala ofiarom zachować fasadę poufności danych, ponieważ ugrupowania zagrażające oferują dyskretne radzenie sobie z naruszeniami. Cyberprzestępcy wykorzystują ustawodawstwo i wiedzę dotyczącą zgodności, aby zmusić ofiary do spełnienia rosnących żądań okupu, a niektóre ofiary mogą zdecydować się na zapłacenie okupu, aby uniknąć kar finansowych lub negatywnego wpływu na markę.

Przykładowo, jak pokazują wyniki ankiety Bitdefender pt. „Ocena cyberbezpieczeństwa Bitdefender 2023”, ponad 70% respondentów w USA stwierdziło, że kierownictwo powiedziało im, aby trzymali naruszenie w tajemnicy, podczas gdy 55% stwierdziło, że utrzymywało naruszenie w tajemnicy, gdy należało to zgłosić. Organy ścigania często uzyskują dostęp do wyciekających danych od grup zajmujących się oprogramowaniem ransomware, które mogą zawierać informacje o naruszeniach bezpieczeństwa, które nie zostały zgłoszone. W miarę kontynuacji tej zmiany zespół Bitdefender spodziewa się (i mam nadzieję) zwiększonej kontroli ze strony organów regulacyjnych.

Podniesienie grup oprogramowania ransomware do wyższego poziomu zaawansowania

Przejście specjalistów zajmujących się bezpieczeństwem do firm cyberprzestępczych jest napędzane przez model grup przestępczych oparty na podziale zysków, co jest dokładniejszym określeniem modelu biznesowego oprogramowania ransomware jako usługi (RaaS). Te wyrafinowane grupy aktywnie rekrutują członków z zaawansowanymi umiejętnościami i wyższym wykształceniem.

Oczekuje się, że w obliczu wyzwań związanych ze skalowalnością związanych z atakami oportunistycznymi grupy zajmujące się oprogramowaniem ransomware w najbliższej przyszłości będą aktywnie poszukiwać umiejętności automatyzacji. Aby zmaksymalizować okup, kluczowe znaczenie ma głębokie zrozumienie sposobu działania przedsiębiorstw, co prowadzi do położenia większego nacisku na ubezpieczenia cybernetyczne, zgodność z przepisami i wiedzę legislacyjną. Otwiera to więcej możliwości dla specjalistów nietechnicznych, aby dołączyć do rozwijającego się ekosystemu przestępczego.

Dla odnoszących sukcesy grup zajmujących się oprogramowaniem ransomware kluczowym czynnikiem jest przyciągnięcie najbardziej utalentowanych partnerów, a krajobraz konkurencyjny między grupami zajmującymi się oprogramowaniem ransomware będzie się nasilać. Grupy borykające się z wyzwaniami związanymi z bezpieczeństwem operacyjnym, na przykład BlackCat (niedawno zamknięty przez organy ścigania i połączony z poprzednio upadłymi grupami BlackMatter i DarkSide), prawdopodobnie dokonają zmiany marki, ale będą miały trudności z przyciągnięciem bardziej wyrafinowanych partnerów, zwłaszcza po wielu niepowodzeniach. Niektóre grupy mogą zdecydować się na sprzedaż pozostałych aktywów innym aspirującym cyberprzestępcom i zniknąć, jak miało to miejsce w przypadku Hive i Hunters International. Ponieważ grupy zajmujące się oprogramowaniem ransomware w coraz większym stopniu polegają na specjalistach, ich marka i reputacja mogą odegrać bardziej znaczącą rolę, potencjalnie stając się przeszkodą w ich działaniach.

Zakłócanie technik sponsorowanych przez państwo przez grupy ransomware

Rosnące wyrafinowanie grup zajmujących się oprogramowaniem ransomware w 2024 r. doprowadzi do powszechnego przyjęcia narzędzi i technik tradycyjnie kojarzonych ze sponsorowanymi przez państwo ugrupowaniami zajmującymi się zagrożeniami. Sideloading bibliotek DLL stanie się powszechną praktyką, a techniki „living of the land” pozostaną głównym nurtem. W miarę jak firmy wdrażają skuteczne zabezpieczenia, takie jak MDR i XDR, dla grup sponsorowanych przez państwo coraz większym wyzwaniem będzie ukrywanie swojej działalności, co zmusi je do przejścia na niestandardowe, wyrafinowane złośliwe oprogramowanie i złożone wektory ataków, w tym ataki na łańcuch dostaw.

Reżimy, które tolerowały istnienie tych grup zajmujących się oprogramowaniem ransomware, mogą być zmuszone do ustalenia zasad zaangażowania, gdy operacje te zaczną powodować konflikty z sojusznikami lub podważać ich własne interesy.

Ransomware w 2024 r. – wnioski Bitdefender

Podsumowując, przewiduje się, że rok 2024 będzie kolejnym rokiem oprogramowania ransomware. Należy jednak pamiętać, że model biznesowy oprogramowania ransomware znacznie ewoluował od 2017 r. i jesteśmy w trakcie jednej z takich przemian. Bycie na bieżąco z najnowszymi trendami ma kluczowe znaczenie, podobnie jak nadanie priorytetu podstawowym strategiom, takim jak dogłębna obrona i wielowarstwowe bezpieczeństwo. Nacisk należy położyć na zdobywanie zdolności, a nie narzędzi, obejmujących możliwości zapobiegania, ochrony, wykrywania i reagowania.

Te przewidywania są wynikiem oddanej pracy naszych badaczy bezpieczeństwa w Bitdefender Labs i praktycznych spostrzeżeń specjalistów ds. bezpieczeństwa w zespole Bitdefender MDR. Chcielibyśmy im podziękować za ich ciężką pracę, a zwłaszcza wysiłki związane z analizą kodu ransomware w celu opracowania bezpłatnych programów deszyfrujących.

Jeśli chciałbyś dowiedzieć się, w jaki sposób skutecznie uchronić się przed oprogramowaniem typy ransomware, to zachęcamy, abyś odwiedził tę stronę.