Vlad Andriescu
Dacă în trecut, atacatorii informatici dezvoltau amenințări cibernetice pentru distracție sau pentru a crea haos, astăzi ei sunt motivați de câștigurile financiare și de posibilitatea de a transfoma atacurile în venituri constante.
Iată care sunt previziunile făcute de cercetătorii Bitdefender privind evoluția ransomware în 2024:
Oportunitățile ransomware prin exploituri zero-day se intensifică
Actorii amenințărilor ransomware vor continua să fie mai oportuniști în 2024 și să acționeze prompt odată descoperite noi vulnerabilități. Pe măsură ce companiile adoptă măsuri de prioritizare a remedierii și de răspuns rapid, grupări cu resurse mai bogate vor începe să investească în vulnerabilități nedescoperite în programe software (zero-day).
Grupările din spatele amenințărilor ransomware vor continua să vizeze programele din companii ale căror cicluri tradiționale de mentenanță creează o fereastră de oportunitate mai bună pentru atacatori.
Acestea adoptă, de obicei, o abordare mai conservatoare de implementare în etape a remedierilor, spre deosebire de mecanismele complet automatizate și actualizate din sfera programelor pentru utilizatorii obișnuiți.
Procesul de identificare și triere a victimei este eficientizat
Odată ce sute sau mii de rețele au fost compromise automat, urmează un proces manual de triaj. Selecția este esențială pentru a determina potențialul de plată ca răscumpărare, luând în calcul factori precum dimensiunea industriei sau a companiei. Cele mai vizate industrii de ransomware sunt cele de producție, în timp ce sectorul medical sau birourile de avocatură rămân mai vulnerabile la furtul de date. Studiourile de jocuri ar trebui să fie în alertă, întrucât este probabil ca atacurile împotriva lor să se intensifice în 2024. Întreprinderile mici și mijlocii cu potențial limitat de plată a unei răscumpărări servesc drept surse pentru a lansa atacuri către alte companii, adesea prin conexiuni VPN/VDI sau compromiterea adreselor de email oficiale. În acest scenariu, cel mai de preț lucru pentru atacatori nu este ce deține organizația respectivă, ci pe ce cine cunoaște. Exploatarea unei vulnerabilități poate compromite o companie prin lanțul de aprovizionare și diverși furnizori, deși unii nu utilizează direct programul atacat.
Codul ransomware se modernizează
Atacatorii ransomware continuă să adopte Rust ca limbaj principal de programare, iar asta le permite să dezvolte un cod mai sigur și mai greu de interceptat de către cercetătorii în securitate informatică. În loc de a cripta complet fișierele, codul ransomware va favoriza criptarea intermitentă și va migra gradual spre o criptare post-cuantică precum criptarea NTRU.
Criptarea intermitentă presupune criptarea unei părți dintr-un fișier și oferă două avantaje importante: în primul rând, devine mai dificil pentru soluțiile de securitate să detecteze atacul datorită similitudinii statistice dintre fișierul criptat parțial și cel original, iar în al doilea rând, procesul de criptare este mai rapid și oferă atacatorilor posibilitatea de a cripta mai multe fișiere într-un anumit interval de timp.
Furtul de date crește în popularitate
Criptarea datelor va continua să facă parte din arsenalul grupărilor sofisticate de ransomware, însă furtul și sustragerea de date vor continua să câștige teren, întrucât aceste atacuri aduc câștiguri financiare mult mai mari.
Spre deosebire de ransomware, sustragerea de date nu duce la distrugerea lor, ceea ce permite grupurilor de ransomware să pretindă că sunt testeri de penetrare involuntară. Mai mult, victimele pot menține aparența de confidențialitate a datelor, întrucât atacatorii se oferă să gestioneze în mod discret astfel de breșe.
Actorii cibernetici exploatează legislația pentru a forța victimele să accepte cereri mai mari de răscumpărare, iar unele victime preferă să plătească o răscumpărare pentru a evita amenzi sau un impact negativ asupra reputației.
Grupările de ransomware devin din ce în ce mai sofisticate
Tranziția de la cei cu competențe generale la cei specializați în securitate este accelerată de modelul de business al acestor grupări criminale, Ransomware-as-a-Service (RaaS), care recrutează în mod activ membri cu abilități avansate și studii superioare.
Pentru a maximiza valoarea răscumpărării, o înțelegere profundă a modului în care organizațiile funcționează este crucială, ceea ce aduce în prim plan importanța asigurării cibernetice, a conformității și expertizei legislative. Acest lucru deschide noi oportunități și pentru specialiștii non-tehnici de a se alătura acestora.
Pe măsură ce grupările din spatele amenințărilor ransomware se bazează din ce în ce mai mult pe specialiști, notorietatea și reputația lor vor juca un rol tot mai central și ar putea deveni o vulnerabilitate.
Ransomware va perturba atacurile sponsorizate de actori statali
Creșterea gradului de sofisticare a grupărilor de ransomware în 2024 va conduce la adoptarea pe scară largă a instrumentelor și tehnicilor asociate în mod tradițional cu actorii amenințărilor sponsorizați de guverne. Pe măsură ce companiile vor adopta capacități eficiente de apărare, precum servicii de administrare, detecție și răspuns, va fi mult mai dificil pentru grupările sponsorizate de actori statali să-și ascundă activitățile, ceea ce le va forța să mizeze pe amenințări informatice personalizate complexe și vectori sofisticați de atac, printre care și atacuri asupra lanțurilor de aprovizionare.
Recomandări pentru utilizatori
Așteptările cercetătorilor Bitdefender sunt ca și anul 2024 să fie unul dominat de ransomware. Însă modelul de business al amenințărilor de tip ransomware a evoluat în mod semnificativ din 2017, astfel că în prezent ne aflăm în mijlocul unei tranziții.
Recomandarea specialiștilor pentru utilizatori este să rămână informați cu privire la ultimele trenduri în domeniul securității cibernetice și să prioritizeze strategiile de apărare precum implementarea securității stratificate care încorporează capacități de prevenire, detectare și răspuns la amenințări.
