Nul
Sidste år, høj-profil hændelser, som WannaCry ransomware udbrud gjorde fil-kryptering malware internet fjende nummer et.
WannaCry var ikke alene, selvfølgelig: NotPetya angreb, der blev fulgt på blot få uger senere, og dette blev fulgt op af en tredje — omend meget mindre — ransomware udbrud døbt Dårlig Kanin, der ramte Rusland og Østeuropa i September.
Og alle, mens andre, mindre høj-profil ransomware angreb har fundet sted på en regelmæssig basis, skaber problemer for organisationer rundt om i verden, som Locky ransomware, som forstyrrede netværk på et hospital. Andre ransomware, som Cerber ransomware, der var til rådighed “as-as-service’ for at næsten alle, der ønskede at tjene penge på denne måde.
Men som 2017 gik på virkningen af ransomware er skrumpet ind. Fund af Locky, Cerber og andre længerevarende ransomware familier massivt afvist.
Ja, Kaspersky Lab ‘ s nyeste Kaspersky Security Network-rapporten hævder, at ransomware som helhed er “hurtigt ude” med en 30% nedgang i ransomware angreb mellem April 2017 og Marts 2018 sammenlignet med samme periode det foregående år.
Og en nylig trussel rapport fra McAfee Labs også tyder på et fald i afsløring af ransomware angreb — at sætte fald på 32 procent. Der synes at være en klar tendens er her, at antallet af ransomware angreb, og antallet af ransomware familier er ved at slippe ud.
“For et år siden, at vi nok havde fire store grupper, der beskæftiger sig med ransomware, distribution af sig selv eller at køre en affiliate model, men vi har set de store grupper til at gå væk. Der er et par tilbage, men det er ikke helt så dramatisk i løbet af 2017,” Keith Jarvis, senior security researcher på Secureworks fortalte ZDNet.
En afgørende faktor bag faldet er anledning af cryptocurrency minedrift malware og lav-niveau cyber-kriminelle at flytte deres opmærksomhed på, at ‘cryptojacking’ som et enklere, mindre risikabel måde ulovligt at tjene penge.
Disse cryptojacking angreb omfatter fjernangribere at inficere en PC med malware, som hemmeligt bruger processorkraft til mine cryptocurrency — normalt forholdsvis simpel at mine Monero — som er deponeret i deres egen tegnebog.
I modsætning til ransomware, det er snigende og så længe infektionen ikke er opdaget, vil det fortsætte med at levere den angriber en konstant strøm af indkomst. Den subtile karakter af angreb har øget populariteten af cryptojacking hele 2018.
Se også: Ransomware: executive-guide til en af de største trusler på nettet
Så er det over for ransomware? Måske ikke.
Ransomware er stadig en trussel — som det fremgår af en Marts angreb på Byen Atlanta, som krypterede data og førte til, at lukke ned for et stort antal af online-tjenester. Byen havde ikke betale løsepenge, men konsekvenserne af angrebet forventes at koste Atlanta mindst $2,6 m.
Atlantas angrebet kom som et resultat af SamSam, en familie af ransomware, som har været i drift siden 2015. I modsætning til spray-and-pray en taktik, der benyttes af nogle af sine commericialised kolleger, potentielt sårbare mål er specielt efterspurgt for at sikre, at ransomware kan indstilles til at sprede sig på tværs af netværket når hackere aktivere angreb.
En SamSam løsesum venligst på et inficeret system.
Billede: Secureworks
Det er dokumenteret succes med ofrene ofte betale tusindvis af dollars for at hente deres filer: i januar et hospital udbetalt en $55,000 bitcoin løsepenge, der efter en SamSam infektion — på trods af at have sikkerhedskopier findes, fordi at betale op blev anset for at være den hurtigste måde at få systemer online.
Er det, fordi den er så vellykket-og at hele operationen kræver et niveau af ekspertise til at køre — at ransomware som SamSam er fortsat en trussel mod virksomheder.
“Der er et stærkt menneskeligt element til at installere det, bare ikke på kompromis, og det indledende angreb, men at implementere ransomware,” Jérôme Segura, sikkerhedsekspert hos Malwarebytes fortalte ZDNet.
“Der er helt sikkert flere kræfter, der går ind implementering af denne ransomware, men det giver mening, fordi det er ikke bare en masse shotgun tilgang, det er en meget mere målrettet tilgang, der søger ofre, der har meget mere på spil, når de er inficeret, og vil potentielt betale en masse mere penge til at låse deres filer end gennemsnittet brugere.”
Endnu et vellykket ransomware variant er GandCrab, som tilbyder en affiliate model, der først dukkede op i januar og har modtaget opdateringer lige siden.
“GandCrab er ved hjælp af agile teknologi, fordi de er ved hjælp af teknikker, der er ligesom software-industrien. De er patching deres ransomware på en næsten daglig basis, de rette fejl, når de går sammen-det er en rigtig fin tilgang,” Yaniv Balmas, malware research team leader hos Check Point, fortalte ZDNet.
“Det fortæller os, at disse fyre er sofistikerede, at de ved, hvad de laver, de lægger en masse kræfter i. Det er en af grundene til, at du ikke kan sige ransomware er gået: folk arbejder stadig på det, og lægger en masse kræfter i det,” sagde han.
GandCrab løsesum note.
Billede: Malwarebyes
En tredje form for ransomware, som stadig er årsag til masser af problemer er en ny kid på blokken — DataKeeper, som opstod i februar, og dem, der står bag det er alvorlige nok til, at de overvåger forskning blogs der nævner det.
“De er at anvende en masse tekniske bedste praksis, de er en aktiv modstander. Vi ser DataKeeper fyre kigger på forskning i sikkerhed blogs og udledning af registrerings-og snart noget er udgivet, for en meget kort tid senere, de er ved at ændre og opdatere deres ting,” James Lyne, global forskning rådgiver hos Sophos, fortalte ZDNet.
Men på trods af effektiviteten af disse kampagner, de er ikke i samme omfang som tidligere ransomware angreb. Sammenlignet med den store masse af Locky e-mails, der blev sendt ud til organisationer, — snesevis af millioner kunne blive sendt i løbet af timer-disse ransomware angreb kan se relativt lille i omfang, så det er lettere at ignorere.
“Det er en bivirkning af de mængder, som Locky kampagne. Der var ekstremt høj lydstyrke, snesevis af millioner af e-mails går ud og hundreder af tusinder af inficerede maskiner-det er i dit ansigt og fremtrædende og påvirker en masse forskellige mennesker,” siger Jarvis.
I SamSam er tilfældet, kan det kun målet et par ofre en dag.
“Du har meget lavere mængder af blot en håndfuld om dagen, og når den slår til, er den sidste ting, som disse mindre virksomheder, der ønsker at gøre, er at tale om det-de vil undgå, at den offentlighed, der er forbundet med angrebene. De er ødelæggende angreb, men de er lavere volumen, så de flyver under radaren,” Jarvis sagde.
Se også: Hvad er malware? Alt, hvad du behøver at vide om virus, trojanske heste og ondsindede software
Ransomware kan ikke længere være smag af måneden, men det er stadig en betydelig trussel. På kort sigt skader betyder, at virksomheden kan ikke gøres samtidig med at filer er krypteret, mens der på længere sigt kan resultere i tab af tillid fra kunder og brugere, som ikke føler, at offeret kan have tillid til, at holde deres data er sikre.
Der er også den mulighed, at et offer, der betaler den løsesum, der kunne nemt blive smittet igen som angribere klar over, at de har fået et let mål på deres hænder. For cyberkriminelle ransomware stadig tilbyder en stor payday, hurtigt, i modsætning til skadelig cryptocurrency minedrift, der kræver tålmodighed at realisere et pay-off.
Bag meget af styrken af ransomware er den EternalBlue SMB sårbarhed, der må WannaCry, NotPetya og andre ransomware angreb til selv at forevige omkring netværk.
Det er over et år siden, at NSA sårbarhed blev lækket af hackere, men der er masser af organisationer, der, på trods af den klare demonstrationer af skader angreb, der udnytter EternalBlue kan gøre, stadig ikke har lappet deres netværk.
“Hvis muligheden byder sig, kunne vi stadig se i stor skala af ransomware. Vi venter stadig på at se, om vi kommer til at opleve en anden WannaCry eller NotPetya — der kan stadig ske,” sagde Segura.
“Vi er stadig oplever alle, at infrastruktur udsat for, EternalBlue SMB sårbarhed, der er en masse virksomheder, der er stadig udsat, så det er stadig muligt.”
Det betyder, at der er masser af muligheder for en cyber-kriminelle drift, skal det vælge at gøre det, implementere ransomware på samme måde som WannaCry. Med et mere effektivt middel til at indsamle løsepenge betalinger, de kunne potentielt gøre millioner — i modsætning til lidt over $130.000, at dem, der står bag WannaCry udbetalt.
Alt dette er grunden til, at cyber-kriminelle er stadig implementering af ransomware-fordi det fortsætter med at gøre dem penge.
“Hvis du har en maskine, der er inficeret, hvad er den nemmeste og hurtigste måde at tjene penge på det? I lang tid var det at slippe ransomware der og håber, at andelen af ofre, der har betalt vil hjælpe dig med at tjene penge,” sagde Jarvis.
“Det er en grundlæggende it-sikkerhed problem, der ikke kommer til at være løst, men vi kommer ikke til pludselig at løse det, til enhver tid snart, så det er bare at fortsætte.”
Det betyder, at organisationer er nødt til at være parat til at møde enhver cyber trussel, selv dem, der tilsyneladende er ude af mode.
“Jeg har hørt en masse af støj fra mennesker, der taler om ransomware som en ting af fortiden, og som det er nu alt om cryptocurrency minedrift. Den vigtigste lektie vi skal lære, er, at dette er ikke sandt: ransomware er stadig derude og stadig meget en trussel,” sagde Balmas.
“Situationen kan ændre sig når som helst, enhver dag-det afhænger af så mange faktorer, og det er så skrøbelige. Vi kunne varme op i næste uge, og ransomware kunne være en stor deal igen, så at sænke forsvar mod det ikke er en smart ting at gøre. Vi bør behandle det som en stor trussel, som vi gjorde sidste år”.
LÆS MERE OM IT-KRIMINALITET
WannaCry ransomware krise, et år på: Er vi klar til den næste globale cyber-angreb? Undgå ransomware betalinger ved at etablere et solidt data backup plan (TechRepublic)Cryptocurrency minedrift malware nu er så indbringende som ransomware for hackere OS bebrejder Nordkorea for WannaCry cyberattack (CNET)WannaCry ransomware rapport: NHS er stadig ikke klar til den næste store angreb
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0