Gotovo polovina istraženih bezbednosnih incidenata u 2021. bilo je povezano sa ransomware-om

Odgovor na incident (incident response – IR) je situacija u kojoj kompanije pozivaju stručni tim nakon što je došlo do proboja kako bi ograničile štetu i sprečile širenje napada. Global Emergency Response tim (GERT) kompanije Kaspersky bavi se odgovorom na incidente i rezervisan je za srednje i velike organizacije.

Od januara do novembra 2021, gotovo svaki drugi bezbednosni incident kojim se GERT tim bavio bio je povezan sa ransomverom (gotovo 50% svih IR zahteva) – to je povećanje od gotovo 12 procentnih poena u poređenju sa 2020. godinom. Ovo je jedan od najvažnijih nalaza iz Story of the Year: Ransomware in the Headlines kompanije Kaspersky. Deo godišnje Security Bulletin serije kompanije Kaspersky, koja ispituje kritične bezbednosne trendove tokom prošle godine Story of the Year za 2021. godinu pruža detaljan uvid u trenutno stanje u oblasti ransomvera i šta se može očekivati u 2022. godini.

Kada je reč o sajber bezbednosti, ransomver je postao neosporna priča godine, i pogađao je i gasovode i državne zdravstvene usluge. Operateri ransomvera unapredili su svoj arsenal, fokusirajući se na manje napada na velike organizacije, dok se čini da celokupni podzemni ekosistem podržava napore ransomver bandi.

Zapravo, za prvih 11 meseci 2021. godine, procenat IR zahteva koje je obradio GERT tim kompanije Kaspersky iznosio je 46,7% – što je skok sa 37,9% za celu 2020. i 34% za 2019. godinu.

Najčešće mete su bile u državnom i industrijskom sektoru; zajedno, napadi na ove dve industrije kompromitovali su gotovo 50% svih IR zahteva povezanih sa ransomverom u 2021. godini. Ostale popularne mete uključivale su IT i finansijske institucije.

Međutim, kako su operateri ransomvera prešli na veće zahteve za otkupninom i visokoprofilnije mete, počeli su da se suočavaju sa sve većim pritiskom političara i organa zakona – zbog čega je povećanje efikasnosti napada postalo kritično. Kao rezultat toga, stručnjaci kompanije Kaspersky su primetili dva važna trenda koji će postati popularni u 2022. godini. Prvo, ransomver bande će verovatno češće konstruisati Linux verzije ransomvera kako bi maksimizirale površinu napada; to je nešto što je već viđeno kod grupa kao što su RansomExx i DarkSide. Osim toga, ransomver operateri će početi više da se fokusiraju na “finansijske ucene”. To je kada operateri prete da će pustiti u javnost informacije o kompanijama dok one prolaze kroz kritične finansijske događaje (tj. sprovode spajanje ili akviziciju ili planiraju da izađu na berzu) kako bi obezvredili cene njihovih deonica. Kada se kompanije nalaze u tako ranjivom finansijskom stanju, veće su šanse da će platiti otkup.

„Počeli smo da razgovaramo o takozvanom Ransomveru 2.0 tokom 2020. godine, a ono što smo videli 2021. je da je ova nova era ransomvera u svojoj punoj snazi. Operateri ransomvera ne samo da šifruju podatke; oni ih kradu od kritičnih, velikih meta i prete da će otkriti informacije ako žrtve ne plate otkup. Ransomver 2.0 će i u narednoj godini ostati sa nama,” komentariše Vladimir Kuskov (Vladimir Kuskov), direktor odeljenja za istraživanje pretnji, Kaspersky.

„Istovremeno, sada kada je ransomver prisutan u vestima, organi zakona naporno rade na zaustavljanju ozloglašenih grupa – što se dogodilo sa DarkSide i REvil grupama ove godine. Životni ciklus ovakvih bandi se skraćuje, a to znači da će morati da usavrše svoje taktike u 2022. kako bi ostale profitabilne, pogotovo ako neke vlade plaćanje otkupa proglase nezakonitim – o čemu se raspravlja”, dodaje Fedor Sinicjin (Fedor Sinitsyn) stručnjak za bezbednost u kompaniji Kaspersky.

Saznajte više o Security Bulletin Story of the Year: Ransomware in the Headlines kompanije Kaspersky na Securelist.

Pogledajte video „The Lifecycle of Ransomware Gangs” u kom dvojica stručnjaka tima za globalno istraživanje i analizu (GReAT) kompanije Kaspersky, Dmitrij Galov (Dmitry Galov) i Leonid Bezveršenko (Leonid Bezvershenko), govore o tome kako ove visokoprofilne grupe deluju i šta dovodi do njihovog raspuštanja.

Kako biste zaštitili svoje poslovanje od ransomvera, stručnjaci kompanije Kaspersky predlažu sledeće:

• Nemojte izlagati remote desktop servise (kao što je RDP) javnim mrežama osim ako je to apsolutno neophodno i uvek koristite snažne lozinke za njih.
• Odmah instalirajte dostupne zakrpe za komercijalna VPN rešenja koja obezbeđuju pristup zaposlenima koji rade na daljinu i koja funkcionišu kao ulazi u vašu mrežu.
• Uvek ažurirajte softver na svim uređajima koje koristite kako biste sprečili da ransomver iskoristi ranjivosti.
• Fokusirajte svoju odbrambenu strategiju na detektovanje bočnog kretanja i eksfiltraciju podataka na internet. Obratite posebnu pažnju na odlazeći saobraćaj kako biste detektovali konekcije sajber kriminalaca. Redovno pravite rezervne kopije podataka. Vodite računa da brzo možete da im pristupite u hitnim slučajevima kada je to potrebno. Koristite najnovije informacije o pretnjama kako biste bili svesni TTP-ova koje koriste akteri pretnji.
• Koristite rešenja kao što su Kaspersky Endpoint Detection and Response i Kaspersky Managed Detection and Response koja pomažu u identifikaciji i zaustavljanju napada u njegovim ranim fazama, pre nego što napadači postignu svoje krajnje ciljeve.

· Edukujte svoje zaposlene kako biste zaštitili korporativno okruženje. Namenska obuke mogu da pomognu u tome, kao što su one koje obezbeđuje Kaspersky Automated Security Awareness platforma. Besplatna lekcija o zaštiti od ransomver napada je dostupna ovde.

· Koristite pouzdano bezbednosno rešenje za krajnje tačke, kao što je Kaspersky Endpoint Security for Business koje pokreće motor za prevenciju eksploita, detekciju ponašanja i saniranje koji može da ispravi maliciozne aktivnosti. KESB takođe ima mehanizme samoodbrane koji mogu da spreče njegovo uklanjanje od strane sajber kriminalaca.