04/06/2018

Ewolucja ransomware — i narzędzi do ochrony przed nim

Biznes MŚP

Fakt, że w zeszłym roku zagrożenie ransomware było na pierwszych stronach gazet, wynikał z tzw. skoku ewolucyjnego. A mówiąc dokładniej, cyberprzestępcy znacznie skomplikowali proste narzędzie do szyfrowania plików. Niestety wszystko wskazuje na to, że ten trend ewolucyjny szybko się nie zatrzyma.

Przed 2017 rokiem

W starych, dobrych czasach ofiarami zagrożeń ransomware były głównie przypadkowe osoby. Cyberprzestępcy skupiali się na jak najszerszej dystrybucji spamu w nadziei, że znajdzie się co najmniej jeden użytkownik, który ma na swoim komputerze ważne pliki i który otworzy szkodliwy załącznik.

W 2016 roku sytuacja uległa zmianie. Losowe listy spamerów coraz częściej były zastępowane przez specjalnie wyszukiwane w internecie adresy należące do pracowników firm. Oszuści zwyczajnie zdali sobie oni sprawę z tego, że atakowanie firm jest o wiele bardziej opłacalne. Zmieniła się również treść wiadomości: teraz nie wygląda jak korespondencja osobista, lecz jak wysłana przez partnerów, klientów czy organy podatkowe.

2017 rok

W 2017 roku sytuacja nów uległa zmianie, jednak tym razem dość radykalnie. Byliśmy świadkami dwóch epidemii, które spowodowały znaczne szkody, co pokazało, że ransomware może zostać użyte nie tylko do wymuszeń. Pierwszym zagrożeniem było WannaCry: wykorzystywało ono lukę w implementacji protokołu SMB w systemach Windows. Dla wspomnianej luki udostępniono łaty, jednak wiele firm jej nie zainstalowało.

WannaCry nie miał szczęścia jako ransomware. Pomimo tego, że udało mu się zainfekować setki tysięcy maszyn, zagrożenie to przyniosło swoim autorom niewielki zarobek. Niektórzy badacze zastanawiali się nawet, czy jego celem były pieniądze — przypuszczano, że mogło ono zostać stworzone w celu sabotażu lub niszczenia danych.

Kolejne zagrożenie rozwiało wszelkie wątpliwości. ExPetr nie umożliwiał przywrócenia zaszyfrowanych danych — był to wiper pod postacią ransomware. Co więcej, wykorzystał on nowy trik: dzięki atakowi na łańcuch dostaw jego autorzy zhakowali ukraińskie oprogramowanie MeDoc służące do księgowości, w efekcie narażając na infekcję tym zagrożeniem niemal każdą firmę działającą w Ukrainie.

2018 rok

Jak pokazują dotychczasowe wydarzenia, ransomware nadal ewoluuje. Niedawno nasi badacze przeanalizowali dość nowe zagrożenie: najnowszą modyfikację programu typu ransomware o nazwie SynAck. Jak się okazało, zawierało ono skomplikowane mechanizmy pokonujące technologie zabezpieczające. Atak obejmował m.in.:

  • stosowanie metody duplikacji procesu, znanej jako Process Doppelgänging, w celu zamaskowania szkodliwych procesów pod postacią legalnych,
  • zaciemnienie kodu wykonalnego przed kompilacją,
  • sprawdzenie, czy nie znajduje się pod obserwacją w środowisku kontrolowanym,
  • zamknięcie procesów i usług w celu uzyskania dostępu do ważnych plików,
  • wyczyszczenie rejestrów zdarzeń w celu utrudnienia analizy po incydencie.

Jedno jest pewne: ewolucja ransomware nie dobiegła końca. Jego twórcy nadal będą próbowali je ulepszyć.

Jak zatrzymać ewolucję ransomware

Jedynym sposobem na położenie kresu rozwojowi ransomware jest sprawienie, aby jego ataki stały się nieskuteczne. Wymaga to zastosowania najnowszych technologii. Nasi klienci od dawna mogą spać spokojnie: wszystkie nasze korporacyjne rozwiązania do ochrony punktów końcowych zawierają podsystemy, które skutecznie chronią ich przed atakami ransomware.

Lecz nawet jeśli nie korzystasz z rozwiązań dla firm od Kaspersky Lab, nie zostawiaj danych bez ochrony. Kaspersky Anti-Ransomware Tool to rozwiązanie, które wzmacnia mechanizmy bezpieczeństwa zastosowane w produktach większości innych producentów. Wykorzystuje ono najnowsze technologie wykrywania zagrożeń w celu ujawnienia obecności programu ransomware, a także używa naszych wykorzystujących chmurę narzędzi. Co istotne, dbamy o jego ewolucję, aby sprostać wymaganiom, jakie stawiają współczesne zagrożenia — niedawno udostępniliśmy trzecią wersję.

Najnowszą wersję Kaspersky Anti-Ransomware Tool można wdrożyć przy użyciu wiersza poleceń, co ułatwia automatyczną implementację w sieciach firmowych. Warto wiedzieć, że rozwiązanie to jest dostępne całkowicie za darmo: narzędzie można pobrać stąd.