Z dorocznego raportu Barracuda “Threat Spotlight on Ransomware” wynika, że ruch lateralny jest najczytelniejszym znakiem rozwijającego się ataku ransomware. Wychwytuje on prawie połowę incydentów. Jedna czwarta incydentów w ciągu ostatniego roku została wykryta, gdy atakujący zaczęli zapisywać lub edytować pliki, a część, gdy ujawniły zachowania, które nie pasowały do znanych wzorców aktywności. Głównym celem ataków ransomware pozostaje służba zdrowia.
44 proc. rozwijających się ataków ransomware została wykryta podczas ruchu lateralnego, zaś jeden na pięć incydentów ransomware w ciągu ostatnich 12 miesięcy dotknął sektora ochrony zdrowia. Szczegółowe analizy ransomware 8Base i PLAY pokazują też, że atakujący celują w niechronione urządzenia i ukrywają złośliwe pliki w folderach z filmami i muzyką.
Krajobraz zagrożeń ransomware
Badacze Barracuda, firmy, która jest producentem rozwiązań z obszaru bezpieczeństwa IT, przeanalizowali 200 incydentów zgłoszonych od sierpnia 2023 do lipca 2024, dotyczących 37 krajów i 36 różnych grup ransomware. 13 proc. ataków dotknęło firmy technologiczne. O połowę spadła liczba ataków na placówki edukacyjne.
Najczęściej występującymi grupami ransomware były te dostępne w modelu Ransomware-as-a-service (RaaS). Należy do nich LockBit – w ciągu ostatnich 12 miesięcy odpowiadał za 18 proc. ataków, w których znana była tożsamość atakującego. Ransomware ALPHV/BlackCat stał za 14 proc. ataków, a Rhysida, stosunkowo nowa grupa ransomware, za 8 proc.
– Ataki oparte na modelu Ransomware-as-a-service mogą być trudne do wykrycia i powstrzymania. Różni przestępcy mogą używać różnorodnych narzędzi i taktyk do przeprowadzenia ataku i implementacji złośliwego oprogramowania. Większość atakujących polega jednak na sprawdzonych działaniach, takich jak skanowanie, ruch lateralny i pobieranie złośliwego oprogramowania. Mogą one wywołać alerty bezpieczeństwa, które dają zespołom ds. bezpieczeństwa kilka okazji do wykrycia, powstrzymania i złagodzenia incydentów ransomware, zanim zdążą się one w pełni rozwinąć. Jest to szczególnie ważne w środowiskach IT, w których nie wszystkie urządzenia są wystarczająco zabezpieczone – wyjaśnia Mateusz Ossowski, CEE Channel Manager w Barracuda Networks.
Narzędzia i zachowania hakerów
W pierwszych sześciu miesiącach 2024 roku aktywność ransomware obejmowała przede wszystkim:
- ruch lateralny: prawie połowa (44 proc.) ataków ransomware została wykryta przez systemy monitorujące ruch lateralny (czyli działania cyberprzestępców, którzy po uzyskaniu dostępu do jednego urządzenia w sieci próbują rozszerzyć swoje uprawnienia i uzyskać dostęp do innych systemów);
- modyfikacje plików: jedna czwarta (25 proc.) została wykryta przez system, który rejestruje, kiedy pliki są zapisywane lub modyfikowane, i analizuje je, aby sprawdzić, czy pasują do znanych sygnatur ransomware lub podejrzanych wzorców;
- zachowania odbiegające od normy: 14 proc. incydentów zostało wychwyconych przez system wykrywania, który identyfikuje nieprawidłowe zachowania w systemie lub sieci. System ten uczy się typowego zachowania użytkowników, procesów i aplikacji. Gdy wykrywa odchylenia (takie jak nietypowy dostęp do plików, manipulowanie składnikami systemu operacyjnego lub podejrzana aktywność sieciowa), wywołuje alert.
Badacze Barracuda szczegółowo przeanalizowali także zneutralizowany atak ransomware PLAY, skierowany na firmę zajmującą się technologiami zdrowotnymi, oraz incydent 8Base, który dotknął firmę z branży automotive. Z analizy tej wynika, że atakujący starają się zdobyć przyczółki na niechronionych urządzeniach, aby rozpocząć kolejną fazę swojego ataku i ukryć złośliwe pliki w rzadko używanych folderach z muzyką i filmami.
Obrona przed ransomware
Walka z aktywnymi zagrożeniami, takimi jak ransomware, wymaga wielu warstw wykrywania.
– Atakujący często wykorzystują narzędzia dostępne komercyjnie i legalnie używane przez zespoły IT. Dodatkowo mogą w czasie rzeczywistym dostosowywać swoje zachowania i taktyki do aktualnej sytuacji. To dlatego najskuteczniejsza okazuje się dziś wielowarstwowa ochrona wspomagana przez sztuczną inteligencję. Jest ona kluczowa dla wykrywania i neutralizowania zaawansowanych ataków. Co ważne, uzupełniać ją powinny silne mechanizmy uwierzytelniania, kontrola dostępu, stosowanie łatek bezpieczeństwa oraz regularne szkolenia pracowników z zakresu świadomości bezpieczeństwa – podsumowuje Mateusz Ossowski.
