Nul
Vorig jaar, high-profile incidenten zoals de WannaCry ransomware uitbraak maakte het bestand te versleutelen van malware internet vijand nummer één.
WannaCry was niet alleen natuurlijk: de NotPetya aanval volgde enkele weken later, en dit werd gevolgd door een derde, zij het veel kleiner — ransomware uitbraak noemde Slechte Konijn tegen Rusland en Oost-Europa in September.
En terwijl andere, minder high-profile ransomware aanvallen hebben plaatsgevonden op een regelmatige basis, waardoor de problemen voor organisaties over de hele wereld, zoals de Locky ransomware die verstoord de netwerken van een ziekenhuis. Andere ransomware, zoals Cerber ransomware, is beschikbaar op ‘as-as-a-service’ voor bijna iedereen die het wilde om geld te verdienen op deze manier.
Maar als 2017 ging over de impact van ransomware afgenomen. Detecties van Locky, Cerber en andere langdurige ransomware gezinnen massaal geweigerd.
Inderdaad, Kaspersky Lab ‘ s nieuwste Kaspersky Security Network rapport beweert dat ransomware als geheel is “snel verdwijnen” met een 30 procent daling van ransomware aanvallen tussen April Maart 2017 en 2018 in vergelijking met dezelfde periode vorig jaar.
En een laatste bedreiging verslag van McAfee Labs stelt ook voor een daling in de detectie van ransomware aanvallen — zet de daling van 32 procent. Er blijkt een duidelijke trend — dat het aantal ransomware aanvallen en het aantal van ransomware gezinnen vallen uit.
“Een jaar geleden hebben we waarschijnlijk had vier grote groepen die in ransomware, die zichzelf verspreiden of het uitvoeren van een affiliate model, maar we zien die grote groepen weg te gaan. Er zijn een paar overgebleven, maar het is niet zo dramatisch tijdens 2017,” Keith Jarvis, senior security researcher bij Secureworks vertelde ZDNet.
Een belangrijke factor achter de daling is de stijging van cryptocurrency mijnbouw malware en een laag niveau van cyber criminelen verschuiven hun aandacht naar ‘cryptojacking’ als een eenvoudiger, minder risicovolle middelen van illegaal geld verdienen.
Deze cryptojacking aanslagen aanvallers het infecteren van een computer met malware die in het geheim maakt gebruik van de rekenkracht van mij voor cryptocurrency-meestal relatief eenvoudig-te-mine Monero — die wordt gestort in hun eigen portemonnee.
In tegenstelling tot ransomware, het is sluipend en zo lang als de infectie niet wordt ontdekt, zal het doorgaan met het leveren van de aanvaller een gestage stroom van inkomsten. De subtiele aard van de aanval is een impuls aan de populariteit van cryptojacking in 2018.
Zie ook: Ransomware: Een executive gids naar één van de grootste bedreigingen op het web
Zo is het over voor ransomware? Misschien niet.
Ransomware nog steeds een dreiging — zoals blijkt uit een in Maart aanval op de Stad van Atlanta, die gecodeerde gegevens en leidde tot het afsluiten van een groot aantal online diensten. De stad niet betalen van het losgeld, maar de impact van de aanval wordt verwacht dat de kosten Atlanta ten minste $2,6 m.
De Atlanta aanval kwam als gevolg van SamSam, een familie van ransomware die in gebruik is geweest vanaf 2015. In tegenstelling tot de spray-and-pray ‘tactiek gebruikt door een aantal van zijn commericialised collega’ s, potentieel kwetsbare doelen zijn speciaal uitgezocht om ervoor te zorgen dat de ransomware kan worden ingesteld om te verspreiden over het netwerk nadat de hackers activeert de aanval.
Een SamSam losgeld opmerking op een geïnfecteerd systeem.
Afbeelding: Secureworks
Het is bewezen succesvol te zijn met de slachtoffers vaak betalen tienduizenden euro ‘ s voor het ophalen van hun bestanden: in januari een ziekenhuis betaald $55,000 bitcoin losgeld na een SamSam infectie — ondanks het feit dat backups beschikbaar, omdat het betalen van maximaal werd geacht de snelste manier om systemen weer online.
Het is omdat het zo succesvol is — en dat de hele operatie vergt een hoge mate van expertise uit te voeren-dat ransomware zoals SamSam blijft een bedreiging voor bedrijven.
“Er is een sterke menselijke element in te zetten, niet alleen in het compromis en de eerste aanval, maar voor het implementeren van de ransomware,” Jérôme Segura, security onderzoeker bij Malwarebytes vertelde ZDNet.
“Er is zeker meer inspanning die gaat naar de implementatie van deze ransomware maar is het zinvol, want het is niet alleen een massa shotgun approach, is een veel meer gerichte aanpak op zoek naar slachtoffers die veel meer op het spel wanneer besmet en zal mogelijk besteden veel meer geld om te ontgrendelen hun bestanden dan gemiddelde gebruikers.”
Een andere succesvolle ransomware variatie is GandCrab, die biedt een affiliate model, dat voor het eerst verscheen in januari en heeft ontvangen van updates sinds.
“GandCrab is het gebruik van agile-technologie, omdat ze gebruik van technieken, zoals de software-industrie. Ze patchen van hun ransomware op een bijna dagelijkse basis, ze lossen bugs als ze samen gaan — het is echt een mooie benadering,” Yaniv Balmas, malware research team leader bij Check Point, vertelde ZDNet.
“Het vertelt ons dat deze jongens zijn verfijnde, ze weten wat ze doen, ze steken veel moeite in. Dat is een van de redenen kan je niet zeggen ransomware is het gegaan: de mensen zijn nog steeds bezig en zet veel inspanning in het,” zei hij.
GandCrab losgeld opmerking.
Afbeelding: Malwarebyes
Een derde vorm van ransomware die nog steeds veroorzaakt tal van problemen is een nieuwe jongen op het blok — DataKeeper, die ontstond in februari en de mensen achter het ernstig genoeg dat ze het monitor onderzoek van blogs die het zegt.
“Ze zijn het toepassen van veel technische best practice, ze zijn een actieve tegenstander. We zien de DataKeeper jongens op zoek naar security onderzoek blogs en de uitstoot van detectie — en zodra er iets is uitgebracht, een zeer korte tijd later zijn ze aan het veranderen en updaten van hun spullen,” James Lyne, global research adviseur bij Sophos, vertelde ZDNet.
Maar ondanks de effectiviteit van deze campagnes, ze zijn niet op dezelfde schaal als de vorige ransomware aanvallen. In vergelijking met de massa van Locky e-mails die werden verstuurd naar organisaties — tientallen miljoenen kunnen worden verzonden in de ruimte van uren — deze ransomware aanvallen kunnen er relatief kleinschalig, dus makkelijker te negeren.
“Dat is een bijwerking van de volumes als de Locky campagne. Dat was extreem hoog volume, tientallen miljoenen e-mails uit te gaan en honderden, duizenden besmette machines-het is in uw gezicht en op de voorgrond en is van invloed op een heleboel verschillende mensen,” zei Jarvis.
In SamSam het geval is, kan het enige doel van een paar slachtoffers per dag.
“Je hebt veel lagere volumes van slechts een handvol per dag en als het toeslaat het laatste wat deze kleinere bedrijven willen doen, is praten over het, en ze willen om te voorkomen dat de publiciteit in verband met de aanslagen. Ze schadelijke aanvallen, maar ze zijn zachter, zodat ze vliegen onder de radar” Jarvis zei.
Zie ook: Wat is malware? Alles wat u moet weten over virussen, trojaanse paarden en kwaadaardige software
Ransomware kan niet langer de smaak van de maand, maar het is nog steeds een belangrijke bedreiging. De korte-termijn schade betekent zaken kan niet worden uitgevoerd terwijl bestanden worden gecodeerd, terwijl de impact op langere termijn kan resulteren in het verlies van vertrouwen van klanten en gebruikers die kan niet het gevoel dat het slachtoffer kunnen worden vertrouwd om hun gegevens te beveiligen.
Er is ook de mogelijkheid dat een slachtoffer wie betaalt het losgeld kan gemakkelijk worden geïnfecteerd weer als aanvallers realiseren ze hebben een gemakkelijk doelwit op hun handen. Voor cybercriminelen ransomware biedt nog steeds een grote betaaldag, snel, in tegenstelling tot kwaadaardige cryptocurrency mijnbouw die geduld vereist voor het realiseren van een pay-off.
Achter veel van de potentie van ransomware is de EternalBlue SMB kwetsbaarheid die toegestaan WannaCry, NotPetya en andere ransomware aanvallen om zichzelf te bestendigen rond netwerken.
Het is meer dan een jaar sinds de NSA kwetsbaarheid werd gelekt door hackers, maar er zijn tal van organisaties die, ondanks de duidelijke demonstraties van de schade aanvallen benutten EternalBlue kan doen, nog steeds niet gepatcht hun netwerken.
“Als de kans zich aandient, we konden nog steeds een grootschalige implementatie van ransomware. We zijn nog steeds wachten om te zien of we gaan naar een andere WannaCry of NotPetya — dat kan nog gebeuren,” zei de Segura.
“We zijn nog steeds het zien van al die infrastructuur blootgesteld, de EternalBlue SMB kwetsbaarheid, er zijn veel bedrijven die nu nog open en bloot, dus dit is nog steeds mogelijk.”
Dat betekent dat er volop gelegenheid is voor een cyber criminele operatie, mag hij kiezen om dit te doen, het implementeren van ransomware op dezelfde manier als WannaCry. Met een meer efficiënte manier van het verzamelen van losgeld betalingen, ze kon potentieel miljoenen te maken, in tegenstelling tot de iets meer dan $130.000 dat die achter WannaCry uitbetaald.
Dit alles is de reden waarom cybercriminelen zijn nog steeds de implementatie van ransomware — omdat er nog steeds te maken ze geld.
“Als je een machine hebt die besmet is, wat is de makkelijkste en snelste manier om geld te verdienen? Voor een lange tijd was het laten vallen van ransomware er op en hopen dat het percentage slachtoffers die betaald zou u helpen geld te verdienen”, zei Jarvis.
“Het is een fundamentele beveiliging van de computer probleem, dat niet zal worden opgelost, we gaan niet opeens lossen het op elk moment snel, zodat het gewoon om door te gaan.”
Het betekent dat organisaties moeten bereid zijn om eventuele cyber dreiging, zelfs degenen die zijn blijkbaar uit de mode.
“Ik heb van horen veel lawaai van pratende mensen over ransomware als een ding van het verleden, dat het nu al over cryptocurrency mijnbouw. De belangrijkste les die we moeten leren is dat dit niet waar is: ransomware is er nog steeds en nog steeds zeer veel van een bedreiging,” zei Balmas.
“De situatie kan veranderen elke minuut, elke dag, — het is afhankelijk van vele factoren en is dus kwetsbaar. We kunnen wakker van volgende week en ransomware kan een enorme deal weer, dus het verlagen van de verdediging tegen het niet een slimme ding om te doen. We moeten behandelen het als een grote bedreiging als we vorig jaar”.
LEES MEER OVER CYBER CRIME
WannaCry ransomware crisis, een jaar op: Zijn we klaar voor de volgende wereldwijde cyber-aanval? Vermijd ransomware betalingen door de oprichting van een solide data back-up plan (TechRepublic)Cryptocurrency mijnbouw malware nu zo lucratief als ransomware voor hackers die ONS beschuldigt van Noord-Korea voor WannaCry cyberaanval (CNET)WannaCry ransomware rapport: NHS is nog niet klaar voor de volgende grote aanval
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0