V minulosti kyberzločinci často pracovali s motívom "robiť to pre zábavu" a zapájali sa do záškodníckych aktivít čisto pre pobavenie alebo pre vyvolanie chaosu. Dnes ich motivuje zisk a mení sa v racionálne podnikateľské subjekty, ktoré hľadajú škálovateľné a opakovateľné postupy pre stabilný príjem. Vďaka tejto zmene motivácie je predvídanie ich správania o niečo jednoduchšie, pretože ich činy sú teraz podložené strategickými cieľmi, nie nepredvídateľnými rozmarmi.
Očakávame, že v roku 2024 bude hrozba ransomwaru pokračovať v trende oportunistického správania - trendu, na ktorý sme prvýkrát upozornili v roku 2022, ktorý nabral na sile v priebehu roku 2023 (vyznačoval sa niekoľkými upozorneniami, ktoré vyvrcholila prebiehajúcim zneužitím) ktorý podľa odhadov dosiahne v tomto roku svoju dospelosť.
1. Zrýchlenie oportunistického ransomvéru pomocou Zero-Day Exploits
V roku 2024 budú útočníci ransomwaru naďalej používať oportunistickejší spôsob myslenia, a budú tak veľmi rýchlo využívať novo objavené zraniteľnosti (počas 24 hodín). Po kompromitácii mnohých sietí pomocou automatizovaných skenerov ich budú ručne triediť, aby určili optimálny spôsob speňaženia a zvolili vhodný spôsob útoku. Vzhľadom na to, že firmy stále viac zavádzajú prioritizované patchovanie a rýchlu reakciu, sofistikovanejšie skupiny so značnými zdrojmi začnú investovať do skutočných zraniteľností typu zero-day, čím obídu nutnosť čakať na dostupnosť kódu typu proof-of-concept (PoC).
Ransomvérové skupiny sa budú aj naďalej zameriavať na podnikový softvér. Tomuto trendu sa musia prispôsobiť tak dodávatelia, ako aj zákazníci z podnikovej sféry. Podnikový softvér, okrem svojho širokého rozšírenia, vyniká ako hlavný cieľ kvôli svojim tradičným cyklom údržby. Na rozdiel od plne automatizovaných a bezproblémových aktualizačných mechanizmov, ktoré prevládajú pri spotrebiteľskom softvéri, ako sú prehliadače alebo kancelárske aplikácie, sa podnikový softvér obvykle riadi konzervatívnejším, postupným prístupom k zaplátaniu. To vytvára príležitosť pre aktérov hrozieb a ich úsilie bude pravdepodobne smerovať k čo najväčšiemu predĺženiu trvania tohto okna. Tradičný prístup k životnému cyklu podnikového softvéru bude možno musieť prejsť transformáciou, aby sa vyrovnal so stupňujúcim sa tlakom zo strany útočníkov.
Vzhľadom na čas potrebný na túto úpravu, môže dôjsť k dočasnej nerovnováhe medzi útočnými a obrannými schopnosťami. Predpokladá sa, že po niekoľkých významných útokoch sa firmy zamerajú na riešenie riadenia rizík.
2. Zjednodušenie posudzovania a triedenia obetí
Oportunistické útoky, vykonávané sprostredkovateľmi počiatočného prístupu alebo pobočkami ransomwaru, rýchlo získavajú prístup k stovkám alebo tisícom sietí. Po tomto automatizovanom počiatočnom ohrození nasleduje manuálny proces triedenia, ktorý vyžaduje ďalší čas. Táto doba oneskorenia poskytuje obrancom príležitosť odhaliť a zmierniť ohrozenie, najmä pomocou účinných funkcií
Pre určenie maximálneho potenciálu pre získanie výkupného, je zásadné triedenie s ohľadom na faktory, ako je odvetvie alebo veľkosť spoločnosti. Výroba a podobné odvetvia, závislé na prevádzke, sú náchylné na nasadenie ransomwaru, zatiaľ čo odvetvia ako zdravotníctvo alebo advokátske kancelárie, sú náchylnejšie ku krádežiam dát. Skupiny ransomvéru sú stále zdatnejšie v chápaní nuáns v jednotlivých odvetviach. Najmä herné štúdiá musia zostať v strehu, pretože v roku 2024 očakávame nárast útokov.
Malé a stredné podniky, s obmedzeným potenciálom výkupného, slúžia ako zdroj podnikových kontaktov na eskaláciu útokov, často prostredníctvom pripojenia VPN/VDI alebo kompromitácie podnikových e-mailov. V tomto scenári nemusí byť najcennejším aktívom to, čo máte, ale to, koho poznáte. Počiatočné zneužitie zraniteľnosti môže ohroziť spoločnosť prostredníctvom dodávateľského reťazca, aj keď priamo nepoužíva postihnutý softvér.
3. Modernizácia kódu ransomvéru
Vývojári ransomvéru stále častejšie používajú ako hlavný programovací jazyk Rust. Jazyk Rust umožňuje vývojárom písať bezpečnejší kód a zároveň sťažuje bezpečnostným analytikom jeho spätnú analýzu. Navyše umožňuje vývoj kódu, ktorý je možné skompilovať pre rôzne operačné systémy. Zatiaľ čo vývoj konkrétneho ransomvéru pre macOS sa nepredpokladá, rastie trend zameraný na hypervízory a ďalšie serverové záťaže.
Namiesto úplného šifrovania súborov bude kód ransomvéru uprednostňovať prerušované šifrovanie, a postupne prechádzať na kvantovo odolné šifrovanie, ako je napríklad šifrovanie NTRU. Prerušované šifrovanie zahŕňa šifrovanie iba časti súboru súčasne, čo ponúka dve kľúčové výhody: po prvé, pre bezpečnostné nástroje je ťažšie útok odhaliť kvôli štatistickej podobnosti medzi čiastočne zašifrovaným súborom a originálom; a po druhé, proces šifrovania je rýchlejší, čo ransomwaru umožňuje zašifrovať viac súborov v danom časovom rámci.
Stručne povedané, kvalitný kód ransomwaru sa stáva tovarom. Ransomware často ovplyvňuje veľký počet systémov a obrovské množstvo údajov. Napriek profesionálnemu vývoju však zostáva obnova dát náročná a nikdy nie je zaručená na 100%. Stále viac ransomwarových skupín prechádza na stratégiu krádeže dát, pretože si uvedomujú pretrvávajúce ťažkosti pri obnove dát, bez ohľadu na kvalitu kódu.
4. Pokračujúci posun smerom ku krádežiam dát oproti šifrovaniu ransomwarom
Šifrovanie dát bude aj naďalej súčasťou arzenálu sofistikovaných skupín ransomvéru, ale bude mať len doplnkovú úlohu. Pokračuje posun smerom ku krádežiam a exfiltrácii dát, čo znamená odklon od tradičného zamerania na šifrovanie ransomwaru (výnimku tvorí odvetvie, kde je zabezpečenie dostupnosti prioritnejšie ako diskrétnosť, napr. výroba). Niekoľko významných príkladov: CL0P, BianLian, Avos, BlackCat, Hunters International a Rhysida.
Exfiltrácia dát má v porovnaní s útokmi ransomvéru potenciál vyšších platieb. Po úspešnej exfiltrácii dát stoja obete pred rozhodnutím, či dáta zostanú dôverné, alebo ich budú môcť útočníci zverejniť, na rozdiel od oveľa flexibilnejších prípadov šifrovania dát.
Na rozdiel od ransomvéru sa exfiltrácia dát vyhýba ich zničeniu, čo skupinám ransomvéru umožňuje prezentovať sa ako nedobrovoľní penetrační testeri. Exfiltrácia dát umožňuje obetiam zachovať si zdanie ich dôvernosti, pretože utorníci ponúkajú diskrétne riešenie únikov. Kyberzločinci využívajú legislatívu a znalosti o dodržiavaní právnych predpisov, aby donútili obete splniť rastúce požiadavky na výkupné, a niektoré obete sa tak môžu rozhodnúť zaplatiť výkupné, aby sa vyhli pokutám alebo negatívnemu dopadu na značku.
Hunters International je jednou zo skupín, ktoré dávajú prednosť exfiltrácii dát pred ich šifrovaním.
Ako vyplýva z výsledkov nášho prieskumu "Bitdefender 2023 Cybersecurity Assessment", viac ako 70 % respondentov v USA uviedlo, že im bolo povedané, aby únik informácií zamlčali, a 55 % respondentov uviedlo, že únik informácií utajili, aj keď vede , Že by ho mali nahlásiť. Orgány činné v trestnom konaní často získavajú prístup k uniknutým údajom od skupín, ktoré sa zaoberajú výkupným, a tie môžu obsahovať informácie o narušení bezpečnosti, ktoré nebolo nahlásené. S pokračujúcim posunom očakávame (a dúfame), že sa zvýši kontrola zo strany regulačných orgánov.
5. Posun skupín ransomvéru k vyššej sofistikovanosti
Posun od všeobecných bezpečnostných špecialistov k väčšej špecializácii je podporený modelom rozdeľovania zisku zločineckých skupín, čo je presnejšie označenie pre obchodný model Ransomware-as-a-Service (RaaS). Tieto sofistikované skupiny aktívne naberajú členov s pokročilými zručnosťami a vyšším vzdelaním.
"Je nám ľúto, ale nemôžete sa pripojiť k našej skupine ransomwaru, nemáte bakalársky titul v odbore informatiky a zdá sa, že nemáte ani žiadne certifikáty."
- vx-underground (@vxunderground) 5. novembra 2023
Vzhľadom na problémy so škálovateľnosťou, ktoré súvisia s oportunistickými útokmi, sa očakáva, že skupiny ransomvéru budú v blízkej budúcnosti aktívne vyhľadávať automatizačné technológie. Pre maximalizáciu výkupného je zásadné hlboké porozumenie fungovania podnikov, čo vedie k väčšiemu dôrazu na znalosti o kybernetickom poistení, dodržiavaní predpisov a legislatíve. To otvára viac príležitostí pre netechnických špecialistov, aby sa zapojili do rozširujúceho sa zločineckého ekosystému.
Pre úspešné ransomwarové skupiny je kľúčovým faktorom prilákanie najtalentovanejších a najlepšie previazaných partnerov. Konkurenčné prostredie medzi ransomwarovými skupinami sa tak bude prehlbovať. Skupiny, ktoré sa stretávajú s problémami v oblasti prevádzkovej bezpečnosti, príkladom je BlackCat (nedávno uzavretá orgánmi činnými v trestnom konaní a spojená so skôr neúspešnými skupinami BlackMatter a DarkSide), pravdepodobne zmení značku, ale budú mať problém prilákať sofistikovanejších partnerov do aliancie, najmä po viacnásobných neúspechoch. Niektoré skupiny sa môžu rozhodnúť predať svoje zostávajúce aktíva iným, ambicióznym kyberzločincom, a zmiznúť, ako tomu bolo v prípade skupín Hive a Hunters International. Vzhľadom na to, že ransomwarové skupiny sa stále viac spoliehajú na špecialistov, ich značka a povesť majú predpoklady hrať podstatnejšiu úlohu - potenciálne sa môžu stať zraniteľným miestom ich operácií.
6. Zneužívanie štátom sponzorovaných techník skupinami ransomvéru
Rastúca sofistikovanosť skupín ransomwaru v roku 2024 povedie k rozsiahlemu prijatiu nástrojov a techník, tradične spájaných so štátom sponzorovanými subjektmi. Bežnou praxou sa stane DLL sideloading a techniky " living off the land" zostanú hlavným trendom. Vzhľadom na to, že firmy všetkých veľkostí prijmú účinné obranné prostriedky, ako sú MDR a XDR, bude pre štátom sponzorovanej skupiny čoraz ťažšie skrývať svoje aktivity, čo ich donúti prejsť na vlastný sofistikovaný malware a komplexné vektory útoku, vrátane útokov na dodávateľský reťazec.
Režimy, ktoré tolerovali existenciu týchto ransomwarových skupín, možno budú musieť stanoviť pravidlá pre ich činnosť, keď tieto operácie začnú vyvolávať konflikty s ich spojencami alebo podkopávať ich vlastné záujmy.
Záver
Súhrnne možno povedať, že rok 2024 bude ďalším rokom ransomwaru. Je však dôležité si uvedomiť, že obchodný model ransomwaru sa od roku 2017 výrazne vyvinul a my sa nachádzame uprostred jedného z týchto prechodov. Kľúčové je byť informovaný o najnovších trendoch, rovnako ako stanoviť priority základných stratégií, ako je hĺbková obrana a viacvrstvové zabezpečenie. Dôraz by sa mal klásť skôr na získavanie schopností než na nástroje, zahŕňajúce možnosti prevencie, ochrany, detekcie a reakcie.
Tieto predpovede sú výsledkom obetavej práce našich bezpečnostných analytikov v laboratóriách Bitdefender Labs, a praktických poznatkov našich bezpečnostných odborníkov z tímu Bitdefender MDR. Radi by sme sa im poďakovali za ich tvrdú prácu, najmä za ich úsilie pri analýze kódu ransomwaru za účelom vývoja bezplatných dešifrátorov.
Ponorte sa hlbšie do kybernetických hrozieb roku 2024! Na našom nadchádzajúcom webinári Predpovede na rok 2024: Vývoj ransomwaru, realita umelej inteligencie a globalizácie kyberkriminality, sa bude diskutovať nielen na túto tému, ale aj o ďalších témach.
Nenechajte si to ujsť!