Jak zánik velkých kybergangů ovlivnil ransomwarové trendy v roce 2023?
Praha 26. května 2023 (PROTEXT) – Ransomware se dostává na titulní stránky médií již několik let po sobě. Ve snaze o zisk se útočníci zaměřili na téměř všechny typy organizací, od zdravotnických a vzdělávacích institucí až po poskytovatele služeb a průmyslové podniky, a ovlivnili téměř všechny aspekty každodenního života. I v letošním roce se těmto skupinám stále daří přicházet s novými, propracovanými technikami nebo přebírat metody dřívějších nejnebezpečnějších gangů, které již ukončily svoji činnost. Společnost Kaspersky vydala před Dnem boje proti ransomwaru novou zprávu, která přezkoumává loňské předpovědi týkající se ransomwaru a předjímá, co lze očekávat v roce 2023.
V roce 2022 odhalila řešení společnosti Kaspersky více než 74,2 milionu pokusů o ransomwarové útoky, což je o 20 % více než v roce 2021 (61,7 milionu). Na začátku roku 2023 jsme přitom zaznamenali mírný pokles počtu ransomwarových útoků – ty se však staly sofistikovanějšími a cílenějšími. Navíc došlo v minulém roce k dramatické změně na pozicích pěti nejvlivnějších a nejaktivnějších ransomwarových gangů. Zaniklé skupiny REvil a Conti, které se v 1. pololetí 2022 umístily podle počtu útoků na druhém a třetím místě, byly v 1. čtvrtletí 2023 vystřídány skupinami Vice Society a BlackCat. Dalšími ransomwarovými skupinami, které se v tomto období dostaly do žebříčku TOP5, jsou Clop a Royal.
Z přehledu loňských ransomwarových trendů vyplývá, že všechny z nich přetrvaly. Během roku 2022 a na začátku roku 2023 se objevilo několik multiplatformních modifikací ransomwaru, které upoutaly pozornost výzkumníků, například Luna a Black Basta. Ransomwarové gangy se také více industrializovaly a skupiny jako BlackCat v průběhu roku pozměnily svoje techniky. Zaměstnancům organizací, které se staly oběťmi, nyní nezbývá než kontrolovat, zda nejsou uvedeni v nějakém seznamu ukradených dat, což zvyšuje tlak na postiženou organizaci, aby zaplatila výkupné. Geopolitická situace způsobila, že se některé ransomwarové skupiny postavily na strany konfliktů, například prostřednictvím vykradače dat s názvem Eternity. Skupina, která za ním stojí, vytvořila celý ekosystém s novou variantou ransomwaru.
Pro rok 2023 stanovili odborníci společnosti Kaspersky tři klíčové trendy vývoje ransomwarových hrozeb. První počítá s více zabudovanými funkcemi používanými různými ransomwarovými skupinami, jako je třeba funkce pro vlastní šíření nebo její imitace. Mezi nejvýznamnější příklady ransomwaru, který se šíří sám, patří Black Basta, LockBit a Play. Dalším trendem, který se v poslední době objevuje, je zneužití ovladačů ke škodlivým účelům, což je již starý trik. Některé zranitelnosti v AV ovladačích byly zneužity rodinami ransomwaru AvosLocker a Cuba, nicméně pozorování odborníků společnosti Kaspersky ukazují, že obětí tohoto druhu útoku se může stát i herní průmysl. K vyřazení ochrany koncového bodu na cílovém počítači byl údajně použit ovladač, který měl zabránit cheatování ve hře Genshin Impact. Tento trend je dále pozorován i u vysoce postavených obětí, jako jsou vládní instituce v evropských zemích.
Odborníci společnosti Kaspersky upozorňují také na to, že největší ransomwarové gangy přebírají funkce z uniklého škodlivého kódu nebo z kódu prodaného jinými kyberzločinci, kterým mohou vylepšit vlastní malware. Skupina LockBbit nedávno použila kód, který obsahuje minimálně 25 % uniklého kódu Conti, a vydala novou verzi malwaru založenou výhradně na něm. Tyto „výpůjčky“ umožňují ransomwarové scéně využívat podobné funkce a ekosystémy pro práci s rodinami ransomwaru, se kterými byli kyberzločinci zvyklí pracovat. Takové kroky mohou posílit jejich útočné schopnosti, a proto by na to měly firmy ve své obranné strategii pamatovat.
„Ransomwarové gangy nás nepřestávají překvapovat a nadále zdokonalují své techniky a postupy. V průběhu posledního roku a půl sledujeme, že postupně mění svoje služby v plnohodnotné podnikání. Tato skutečnost činí i amatérské útočníky poměrně nebezpečnými,“ komentuje Dmitrij Galov, zkušený bezpečnostní výzkumník z týmu Global Research and Analysis společnosti Kaspersky. „Chcete-li tedy zajistit bezpečnost svojí firmy i osobních dat, je velmi důležité udržovat služby kybernetické bezpečnosti v aktuálním stavu.“
Společnost Kaspersky vyzvala organizace, aby dodržovaly tyto osvědčené postupy, které je pomohou ochránit:
● Aktualizujte neustále software na všech používaných zařízeních, abyste zabránili útočníkům zneužít zranitelností a proniknout do vaší sítě.
● Zaměřte svoji obrannou strategii na detekci metody „lateral movement“ (postupného pronikání útočníka do sítě přes jedno ovládnuté zařízení a získávání kontroly nad dalšími zařízeními) a na exfiltraci vašich dat na internet. Věnujte zvláštní pozornost odchozímu provozu, abyste odhalili připojení kyberzločinců k vaší síti. Vytvářejte offline zálohy dat, se které narušitelé nemohou manipulovat. Zajistěte, abyste měli k těmto zálohám v případě potřeby nebo nouzové situace rychlý přístup.
● Aktivujte u všech koncových bodů ochranu proti ransomwaru. K dispozici je bezplatný nástroj KasperskyEndpoint Security for Business, který chrání počítače a servery před ransomwarem a dalšími typy malwaru, zabraňuje zneužití a je kompatibilní s již nainstalovanými bezpečnostními řešeními.
● Nainstalujte řešení pro potlačení pokročilých perzistentních hrozeb (APT) a ochranu koncových bodů (EDR), která umožňují odhalování a detekci hrozeb, vyšetřování a včasnou nápravu bezpečnostních incidentů. Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách a dbejte na průběžné zvyšování jeho kvalifikace pomocí odborných školení. Vše výše uvedené je k dispozici v rámci produktů Kaspersky Enterprise.
● Zajistěte svému bezpečnostnímu týmu přístup k nejnovějším informacím o hrozbách (TI) přes jednotný přístupový bod Kaspersky Threat Intelligence Portal, který poskytuje data o kybernetických útocích a poznatky shromážděné společností Kaspersky za více než 20 let. Společnost Kaspersky nabídla bezplatný přístup k nezávislým, průběžně aktualizovaným a celosvětově získávaným informacím o probíhajících kybernetických útocích a hrozbách, aby v této neklidné době pomohla firmám zajistit účinnou obranu. Přístup k této nabídce si můžete vyžádat zde.
O společnosti Kaspersky
Kaspersky je globální společnost zaměřená na kybernetickou bezpečností a digitální soukromí, která vznikla v roce 1997. Odborné znalosti společnosti Kaspersky v oblasti bezpečnostních hrozeb a zabezpečení se neustále transformují v inovativní bezpečnostní řešení a služby na ochranu podniků, kritické infrastruktury, vlád a spotřebitelů po celém světě. Komplexní portfolio zabezpečení společnosti zahrnuje špičkovou ochranu koncových bodů, specializovaná bezpečnostní řešení a služby a také řešení Cyber Immune pro boj se sofistikovanými a neustále se vyvíjejícími digitálními hrozbami. Technologie společnosti Kaspersky chrání víc než 400 milionů uživatelů a víc než 220.000 firemním klientům pomáháme chránit vše, co je pro ně v digitální oblasti nejdůležitější. Další informace naleznete na adrese www.kaspersky.cz.
Kontakt pro média:
Darko Natalic
Corporate Communications Manager Eastern Europe & Israel at Kaspersky
e-mail: Darko.Natalic@kaspersky.com
ČTK ke zprávě vydává obrazovou přílohu, která je k dispozici na adrese http://www.protext.cz.