V minulosti kyberzločinci často pracovali s motivem "dělat to pro zábavu" a zapojovali se do záškodnických aktivit čistě pro pobavení nebo pro vyvolání chaosu. Dnes je motivuje zisk a mění se v racionální podnikatelské subjekty, které hledají škálovatelné a opakovatelné postupy pro stabilní příjem. Díky této změně motivace je předvídání jejich chování o něco snazší, protože jejich činy jsou nyní podloženy strategickými cíli, nikoli nepředvídatelnými rozmary.
Očekáváme, že v roce 2024 bude hrozba ransomwaru pokračovat v trendu oportunistického chování - trendu, na který jsme poprvé upozornili v roce 2022, který nabral na síle v průběhu roku 2023 (vyznačoval se několika upozorněními, jež vyvrcholila probíhajícím zneužitím CitrixBleed) a který podle odhadů dosáhne v tomto roce své dospělosti.
1. Zrychlení oportunistického ransomwaru pomocí Zero-Day Exploits
V roce 2024 budou útočníci ransomwaru nadále používat oportunističtější způsob myšlení, a budou tak velmi rychle využívat nově objevené zranitelnosti (během 24 hodin). Po kompromitaci mnoha sítí pomocí automatizovaných skenerů, je budou ručně třídit, aby určili optimální způsob zpeněžení a zvolili vhodný způsob útoku. Vzhledem k tomu, že firmy stále více zavádějí prioritizované patchování a rychlou reakci, sofistikovanější skupiny se značnými zdroji začnou investovat do skutečných zranitelností typu zero-day, čímž obejdou nutnost čekat na dostupnost kódu typu proof-of-concept (PoC).
Ransomwarové skupiny se budou i nadále zaměřovat na podnikový software. Tomuto trendu se musí přizpůsobit jak dodavatelé, tak zákazníci z podnikové sféry. Podnikový software, kromě svého širokého rozšíření, vyniká jako hlavní cíl kvůli svým tradičním cyklům údržby. Na rozdíl od plně automatizovaných a bezproblémových aktualizačních mechanismů, které převládají u spotřebitelského softwaru, jako jsou prohlížeče nebo kancelářské aplikace, se podnikový software obvykle řídí konzervativnějším, postupným přístupem k záplatování. To vytváří příležitost pro aktéry hrozeb a jejich úsilí bude pravděpodobně směřovat k co největšímu prodloužení trvání tohoto okna. Tradiční přístup k životnímu cyklu podnikového softwaru bude možná muset projít transformací, aby se vyrovnal se stupňujícím se tlakem ze strany útočníků.
Vzhledem k době potřebné pro tuto úpravu, může dojít k dočasné nerovnováze mezi útočnými a obrannými schopnostmi. Předpokládá se, že po několika významných útocích se firmy zaměří na řešení řízení rizik.
2. Zjednodušení posuzování a třídění obětí
Oportunistické útoky, prováděné zprostředkovateli počátečního přístupu nebo pobočkami ransomwaru, rychle získávají přístup ke stovkám nebo tisícům sítí. Po tomto automatizovaném počátečním ohrožení následuje manuální proces třídění, který vyžaduje další čas. Tato doba prodlevy poskytuje obráncům příležitost odhalit a zmírnit ohrožení, zejména pomocí účinných funkcí detekce a reakce (XDR nebo MDR).
Pro určení maximálního potenciálu pro získání výkupného, je zásadní třídění s ohledem na faktory, jako je odvětví nebo velikost společnosti. Výroba a podobná odvětví, závislá na provozu, jsou náchylná k nasazení ransomwaru, zatímco odvětví jako zdravotnictví nebo advokátní kanceláře, jsou náchylnější ke krádežím dat. Skupiny ransomwaru jsou stále zdatnější v chápání nuancí v jednotlivých odvětvích. Zejména herní studia musí zůstat ve střehu, protože v roce 2024 očekáváme nárůst útoků.
Malé a střední podniky, s omezeným potenciálem výkupného, slouží jako zdroj podnikových kontaktů k eskalaci útoků, často prostřednictvím připojení VPN/VDI nebo kompromitace podnikových e-mailů. V tomto scénáři nemusí být nejcennějším aktivem to, co máte, ale to, koho znáte. Počáteční zneužití zranitelnosti může ohrozit společnost prostřednictvím dodavatelského řetězce, i když přímo nepoužívá postižený software.
3. Modernizace kódu ransomwaru
Vývojáři ransomwaru stále častěji používají jako hlavní programovací jazyk Rust. Jazyk Rust umožňuje vývojářům psát bezpečnější kód, a zároveň ztěžuje bezpečnostním analytikům jeho zpětnou analýzu. Navíc umožňuje vývoj kódu, který lze zkompilovat pro různé operační systémy. Zatímco vývoj konkrétního ransomwaru pro macOS se nepředpokládá, roste trend zaměřený na hypervizory a další serverové zátěže.
Místo úplného šifrování souborů bude kód ransomwaru upřednostňovat přerušované šifrování, a postupně přecházet na kvantově odolné šifrování, jako je například šifrování NTRU. Přerušované šifrování zahrnuje šifrování pouze části souboru současně, což nabízí dvě klíčové výhody: zaprvé, pro bezpečnostní nástroje je obtížnější útok odhalit kvůli statistické podobnosti mezi částečně zašifrovaným souborem a originálem; a zadruhé, proces šifrování je rychlejší, což ransomwaru umožňuje zašifrovat více souborů v daném časovém rámci.
Stručně řečeno, kvalitní kód ransomwaru se stává zbožím. Ransomware často ovlivňuje velký počet systémů a obrovské množství dat. Navzdory profesionálnímu vývoji však zůstává obnova dat náročná a nikdy není zaručena na 100 %. Stále více ransomwarových skupin přechází na strategii krádeže dat, protože si uvědomují přetrvávající obtíže při obnově dat, bez ohledu na kvalitu kódu.
4. Pokračující posun směrem ke krádežím dat oproti šifrování ransomwarem
Šifrování dat bude i nadále součástí arzenálu sofistikovaných skupin ransomwaru, ale bude mít jen doplňkovou roli. Pokračuje posun směrem ke krádežím a exfiltraci dat, což znamená odklon od tradičního zaměření na šifrování ransomwaru (výjimku tvoří odvětví, kde je zajištění dostupnosti prioritnější než diskrétnost, např. výroba). Několik významných příkladů: CL0P, BianLian, Avos, BlackCat, Hunters International a Rhysida.
Exfiltrace dat má, v porovnání s útoky ransomwaru, potenciál vyšších plateb. Po úspěšné exfiltraci dat stojí oběti před rozhodnutím, zda data zůstanou důvěrná, nebo je budou moci útočníci zveřejnit, na rozdíl od mnohem flexibilnějších případů šifrování dat.
Na rozdíl od ransomwaru se exfiltrace dat vyhýbá jejich zničení, což skupinám ransomwaru umožňuje prezentovat se jako nedobrovolní penetrační testeři. Exfiltrace dat umožňuje obětem zachovat si zdání jejich důvěrnosti, protože útořníci nabízejí diskrétní řešení úniků. Kyberzločinci využívají legislativy a znalostí o dodržování právních předpisů, aby donutili oběti splnit rostoucí požadavky na výkupné, a některé oběti se tak mohou rozhodnout zaplatit výkupné, aby se vyhnuly pokutám nebo negativnímu dopadu na značku.
Hunters International je jednou ze skupin, které dávají přednost exfiltraci dat před jejich šifrováním.
Jak vyplývá z výsledků našeho průzkumu "Bitdefender 2023 Cybersecurity Assessment", více než 70 % respondentů v USA uvedlo, že jim bylo řečeno, aby únik informací zamlčeli, a 55 % respondentů uvedlo, že únik informací utajili, i když věděli, že by jej měli nahlásit. Orgány činné v trestním řízení často získávají přístup k uniklým údajům od skupin, které se zabývají výkupným, a ty mohou obsahovat informace o narušení bezpečnosti, které nebylo nahlášeno. S pokračujícím posunem očekáváme (a doufáme), že se zvýší kontrola ze strany regulačních orgánů.
5. Posun skupin ransomwaru k vyšší sofistikovanosti
Posun od všeobecných bezpečnostních specialistů k větší specializaci je podpořen modelem rozdělování zisku zločineckých skupin, což je přesnější označení pro obchodní model Ransomware-as-a-Service (RaaS). Tyto sofistikované skupiny aktivně nabírají členy s pokročilými dovednostmi a vyšším vzděláním.
"Je nám líto, ale nemůžete se připojit k naší skupině ransomwaru, nemáte bakalářský titul v oboru informatiky a zdá se, že nemáte ani žádné certifikáty."
- vx-underground (@vxunderground) 5. listopadu 2023
Vzhledem k problémům se škálovatelností, které souvisejí s oportunistickými útoky, se očekává, že skupiny ransomwaru budou v blízké budoucnosti aktivně vyhledávat automatizační technologie. Pro maximalizaci výkupného je zásadní hluboké porozumění fungování podniků, což vede k většímu důrazu na znalosti o kybernetickém pojišťění, dodržování předpisů a legislativě. To otevírá více příležitostí pro netechnické specialisty, aby se zapojili do rozšiřujícího se zločineckého ekosystému.
Pro úspěšné ransomwarové skupiny je klíčovým faktorem přilákání nejtalentovanějších a nejlépe provázaných partnerů. Konkurenční prostředí mezi ransomwarovými skupinami se tak bude prohlubovat. Skupiny, které se potýkají s problémy v oblasti provozní bezpečnosti, příkladem je BlackCat (nedávno uzavřená orgány činnými v trestním řízení a spojená s dříve neúspěšnými skupinami BlackMatter a DarkSide), pravděpodobně změní značku, ale budou mít problém přilákat sofistikovanější partnery do aliance, zejména po vícenásobných neúspěších. Některé skupiny se mohou rozhodnout prodat svá zbývající aktiva jiným, ambiciózním kyberzločincům, a zmizet, jako tomu bylo v případě skupin Hive a Hunters International. Vzhledem k tomu, že se ransomwarové skupiny stále více spoléhají na specialisty, jejich značka a pověst mají předpoklady hrát podstatnější roli - potenciálně se mohou stát zranitelným místem jejich operací.
6. Zneužívání státem sponzorovaných technik skupinami ransomwaru
Rostoucí sofistikovanost skupin ransomwaru v roce 2024 povede k rozsáhlému přijetí nástrojů a technik, tradičně spojovaných se státem sponzorovanými subjekty. Běžnou praxí se stane DLL sideloading a techniky " living off the land" zůstanou hlavním trendem. Vzhledem k tomu, že firmy všech velikostí přijmou účinné obranné prostředky, jako jsou MDR a XDR, bude pro státem sponzorované skupiny stále obtížnější skrývat své aktivity, což je donutí přejít na vlastní sofistikovaný malware a komplexní vektory útoku, včetně útoků na dodavatelský řetězec.
Režimy, které tolerovaly existenci těchto ransomwarových skupin, možná budou muset stanovit pravidla pro jejich činnost, když tyto operace začnou vyvolávat konflikty s jejich spojenci nebo podkopávat jejich vlastní zájmy.
Závěr
Souhrnně lze říci, že rok 2024 bude dalším rokem ransomwaru. Je však důležité si uvědomit, že obchodní model ransomwaru se od roku 2017 výrazně vyvinul a my se nacházíme uprostřed jednoho z těchto přechodů. Klíčové je být informován o nejnovějších trendech, stejně jako stanovit priority základních strategií, jako je hloubková obrana a vícevrstvé zabezpečení. Důraz by měl být kladen spíše na získávání schopností než na nástroje, zahrnující možnosti prevence, ochrany, detekce a reakce.
Tyto předpovědi jsou výsledkem obětavé práce našich bezpečnostních analytiků v laboratořích Bitdefender Labs, a praktických poznatků našich bezpečnostních odborníků z týmu Bitdefender MDR. Rádi bychom jim poděkovali za jejich tvrdou práci, zejména za jejich úsilí při analýze kódu ransomwaru za účelem vývoje bezplatných dešifrátorů.
Ponořte se hlouběji do kybernetických hrozeb roku 2024! Na našem nadcházejícím webináři Předpovědi na rok 2024: Vývoj ransomwaru, realita umělé inteligence a globalizace kyberkriminality, se bude diskutovat nejen na toto téma, ale i o dalších tématech.
Nenechte si to ujít!