Microsoft má v hledáčku 100 aktivních ransomwarových gangů, které používají 50 typů malwaru
Zpět na blogSpolečnost Microsoft varuje, že k ransomwarovým útokům se využívá nejvíce phishing, falešné aktualizace softwaru a neopravené zranitelnosti. Útoky aktivně provádí více než 100 různých kyberzločineckých gangů, které nasazují přes 50 různých rodin ransomwaru v kampaních, při nichž šifrují data a požadují výkupné za dešifrovací klíč. Tato čísla pocházejí z analýzy společnosti Microsoft Security Intelligence, která uvádí, že mezi nejvýznamnější ransomwarové útoky poslední doby patří Lockbit, BlackCat, Vice Society a Royal.
Útokům napomáhá také to, že skupiny nabízející ransomware poskytují ransomware jako službu (RaaS), což umožňují kyberzločincům, kteří nevyvíjejí vlastní ransomware, zapojit se do akce.
Přístup do systémů RaaS se prodává na undergroundových fórech a poskytuje začínajícím útočníkům všechny nástroje, které potřebují k provádění a řízení útoků a vymáhání výkupného. V mnoha případech si autor ransomwaru bere podíl z výkupného, které útočníci obdrží.
Některé z nejničivějších útoků ransomwaru byly provedeny útočníky využívajícími partnerskou síť, přičemž některé notoricky známé útoky ransomwaru Conti a LockBit byly provedeny právě partnery.
Phishing otevírá sítě
Podle společnosti Microsoft jsou phishingové útoky nejčastějším způsobem, jak útočníci získávají počáteční přístup do sítí. Zaměření na uživatelská jména a hesla pomocí phishingových e-mailů nebo brute-force útoků poskytuje kyberzločincům přístup do sítí pomocí legitimních přihlašovacích údajů, které s menší pravděpodobností vzbudí podezření – a od doby, kdy se rozšířila hybridní a vzdálená práce, je pro kyberzločince snazší přistupovat k sítím tímto způsobem.
Útočníci se mohou pohybovat po síti, případně dokonce využívat kompromitovaný účet k phishingovým útokům na další uživatele, získávat oprávnění a kontrolu potřebnou k napadení co největší části sítě ransomwarem a nakonec spustit proces šifrování, zablokovat soubory a servery a požadovat zaplacení výkupného.
Přestože je phishing nejčastější metodou, kterou gangy ransomwaru používají k přístupu do sítí, není jedinou.
Společnost Microsoft například varuje před nárůstem malvertisingu jako počáteční fáze útoků, kdy kybernetičtí zločinci nakupují online reklamy, běžně k propagaci falešného softwaru ke stažení, které po stažení a instalaci infikují uživatele malwarem typu trojský kůň, a ten následně útočníci používají k distribuci ransomwaru.
Bylo zjištěno, že pobočky kyberzločinců používající ransomware Royal využívají k doručení malvertisingu.
Běžným prostředkem pro doručení ransomwaru se staly také falešné aktualizace softwaru. Falešná varování, která tvrdí, že je třeba aktualizovat software, obvykle pocházejí z odkazů v malvertisingu nebo z drive-by-downloads – stahování, které probíhá na pozadí, aniž by o tom uživatel věděl.
Cílem falešných upozornění na aktualizace je vystrašit oběti a přimět je ke stažení malwaru – a to vše v domnění, že dělají správnou věc pro ochranu svého systému.
Kybernetičtí zločinci také používají osvědčenou metodu zneužívání neopravených zranitelností kybernetického zabezpečení k přístupu do sítí.
„I když se ransomwarové útoky vyvíjejí, útočníci se stále spoléhají na běžné bezpečnostní slabiny, které jim umožňují uspět,“ uvedla společnost Microsoft, která doporučuje, aby byly počítače a sítě pravidelně aktualizovány. Důležité je také stahovat bezpečnostní aktualizace pouze z oficiálních zdrojů.
Organizace se mezitím mohou pokusit zabránit phishingovým útokům tím, že zajistí, aby účty byly zabezpečeny silnými, nejlépe jedinečnými hesly a aby účty byly zabezpečeny vícefaktorovým ověřováním. Tato další vrstva ochrany může pomoci zabránit útočníkům v přístupu k účtům, i když získali přístup ke správnému uživatelskému jménu a heslu.
Zdroj: Microsoft, zdnet.com
9. 2. 2023