Noll
Förra året uppmärksammade händelser som WannaCry ransomware utbrott gjorde fil-kryptering malware internet fiende nummer ett.
WannaCry var inte ensam förstås: NotPetya attacken följde bara några veckor senare, och detta följdes av ett tredje-om än mycket mindre — ransomware utbrott dubbade Dålig Kanin som drabbade Ryssland och Östra Europa i September.
Och allt medan andra, mindre uppmärksammade ransomware attacker har skett på en regelbunden basis, vilket orsakar problem för organisationer runt om i världen, som Locky ransomware som störde nätverk av sjukhus. Andra ransomware, som Cerber ransomware, var finns ‘som-som-tjänst” till nästan vem som helst som ville tjäna pengar på detta sätt.
Men som 2017 gick på effekterna av ransomware minskat. Upptäckter av Locky, Cerber och andra långvariga ransomware familjer kraftigt minskat.
Ja, Kaspersky Lab ‘ s senaste Kaspersky Security Network rapport hävdar att ransomware som helhet är “snabbt försvinnande” med en 30-procentig minskning av ransomware attacker mellan April Mars 2017 och 2018 jämfört med samma period föregående år.
Och en nyligen hot rapport från McAfee Labs föreslår också en droppe i upptäckt av ransomware attacker — att sätta nedgång på 32 procent. Det verkar vara en tydlig trend här-att antalet av ransomware attacker och antal ransomware familjer är att släppa ut.
“För ett år sedan hade vi säkert fyra stora grupper handlar i ransomware, distribuera sig eller kör en affiliate modell, men vi har sett att dessa stora grupper går bort. Det finns ett par kvar, men det är inte riktigt så dramatisk under 2017,” Keith Jarvis, högre säkerhet forskare vid Secureworks berättade ZDNet.
En viktig faktor bakom tillbakagången är ökningen av cryptocurrency gruv-malware och låg-nivå cyber brottslingar att flytta sin uppmärksamhet till “cryptojacking” som en enklare, mindre riskfyllt sätt att olagligt att tjäna pengar.
Dessa cryptojacking attacker innebär angripare infekterar en DATOR med skadlig kod som i hemlighet använder processorkraft till gruvan för cryptocurrency — vanligtvis relativt enkelt-att-min Monero — som är insatta i sin egen plånbok.
Till skillnad från ransomware, det är smygande och så länge infektionen inte upptäckt att det kommer att fortsätta att leverera angriparen en stadig ström av inkomst. Den subtila typen av angrepp har ökat populariteten av cryptojacking hela 2018.
Se även: Ransomware: En verkställande guide till en av de största hot på webben
Så är det hela över för ransomware? Kanske inte.
Ransomware är fortfarande ett hot-som framgår av Mars attack på Staden Atlanta, som krypterade data och ledde till att stänga av ett stort antal online-tjänster. Staden ville inte betala lösen, men effekten av attacken beräknas kosta Atlanta minst $2,6 mkr.
Atlanta attacken kom som en följd av SamSam, en familj av ransomware som har varit i drift sedan år 2015. Till skillnad från spray-and-pray taktik som används av några av sina commericialised motsvarigheter, potentiellt sårbara mål är speciellt sökt sig för att se till att den ransomware kan vara inställd på att sprida sig över nätet när hackare aktivera attack.
En SamSam gisslan anteckning på ett infekterat system.
Bild: Secureworks
Det är bevisat framgångsrik med offren ofta betala tiotusentals dollar för att hämta sina filer: i januari ett sjukhus betalat ut $55,000 bitcoin lösen efter en SamSam infektion — trots att säkerhetskopior som finns, eftersom att betala upp var som anses vara det snabbaste sättet att få system online igen.
Det är för att det är så framgångsrik — och att hela verksamheten kräver en nivå av expertis att köra — som ransomware som SamSam är fortfarande ett hot mot företagen.
“Det är en stark human element för att använda det, inte bara i den kompromiss och första attack, men för att distribuera ransomware,” Jérôme Segura, säkerhet forskare vid Malwarebytes berättade ZDNet.
“Det är definitivt mer ansträngning som går åt till att distribuera denna ransomware men det är logiskt eftersom det är inte bara en massa hagelgevär synsätt, det är en mycket mer inriktning på strategi letar efter offer som har en mycket mer som står på spel när infekterade och kommer eventuellt betala en hel del mer pengar för att låsa upp sina filer än genomsnittlig användare.”
En annan framgångsrik ransomware variation är GandCrab, som erbjuder en affiliate modell, som först dök upp i januari och har fått uppdateringar sedan dess.
“GandCrab använder agile teknik, eftersom de är med hjälp av tekniker som är som mjukvaruindustrin. De är lapp deras ransomware på en nästan daglig basis, de rätta fel när de går längs — det är en riktigt trevlig inställning,” Yaniv Balmas, malware research team leader på Check Point, berättade ZDNet.
“Det säger oss att dessa killar är sofistikerade, de vet vad de gör, de sätter en hel del ansträngning. Det är en av anledningarna till att man inte kan säga ransomware är borta: människor är fortfarande jobbar på det och lägger mycket möda på det,” sade han.
GandCrab lösen not.
Bild: Malwarebyes
En tredje form av ransomware som orsakar fortfarande massor av problem är en new kid på blocket — DataKeeper, som uppstod i februari och de som står bakom det är tillräckligt allvarliga för att de bevakar forskningen bloggar som nämner det.
“De kommer att använda en hel del tekniska best practice, de är en aktiv motståndare. Vi ser DataKeeper killar tittar på säkerhet, forskning, bloggar och pressmeddelanden för upptäckt — och fort något är släppt, en mycket kort tid senare de är föränderlig och uppdatera sina grejer,” James Lyne, global research rådgivare på Sophos, berättade ZDNet.
Men trots att effektiviteten av dessa kampanjer, de är inte på samma skala som tidigare ransomware attacker. Jämfört med den stora massan av Locky e-post som skickades ut till organisationer — tiotals miljoner kan skickas inom loppet av timmar — dessa ransomware attacker kan se relativt liten skala, så det är lättare att ignorera.
“Det är en bieffekt av de volymer som Locky kampanj. Det var extremt hög volym, tiotals miljoner e-postmeddelanden för att gå ut och hundratusentals infekterade maskiner-det är i ditt ansikte och framträdande och påverkar en hel del olika människor,” sade Jarvis.
I SamSam är fallet, det kan bara rikta in några offer en dag.
“Du har mycket lägre volymer av bara en handfull per dag och när det slår till den sista sak i dessa mindre företag som vill göra är att prata om det-de vill undvika publicitet i samband med attackerna. De är skadliga attacker, men de är lägre volym, så att de flyger under radarn,” sade Jarvis.
Se även: Vad är malware? Allt du behöver veta om virus, trojaner och skadlig programvara
Ransomware kan inte längre vara smak av månaden, men det är fortfarande ett betydande hot. Kort-sikt skada som innebär att företag inte kan göras medan filerna krypterade medan de längre sikt kan resultera i förlust av förtroende från kunder och användare som kanske inte känner sig som offer kan man lita på att hålla sina uppgifter säkra.
Det finns också möjlighet att ett offer som betalar lösen kan lätt bli smittade igen som angripare inser att de har ett lätt mål på sina händer. För cyberbrottslingar ransomware erbjuder fortfarande en stor vinst, snabbt, till skillnad från skadlig cryptocurrency mining som kräver tålamod att förverkliga en pay-off.
Bakom mycket av styrkan av ransomware är EternalBlue SMB sårbarhet som gjorde WannaCry, NotPetya och andra ransomware attacker att själv föreviga kring nätverk.
Det är över ett år sedan NSA sårbarhet läckte av hackare, men det finns gott om organisationer som, trots tydliga demonstrationer av skada attacker som utnyttjar EternalBlue kan göra, har fortfarande inte lappade sina nät.
“Om tillfälle presenterar sig själv, vi kan fortfarande se storskalig utbyggnad av ransomware. Vi väntar fortfarande på att se om vi kommer att uppleva en annan WannaCry eller NotPetya — det kan fortfarande hända,” sa Segura.
“Vi är fortfarande på plats för att se allt som infrastruktur utsatt, EternalBlue SMB sårbarhet, det finns en hel del företag som fortfarande utsätts för, så detta är fortfarande möjligt.”
Det innebär att det finns gott om möjligheter för en cyber kriminella verksamheten, bör man väljer att göra så, distribuera ransomware på samma sätt som WannaCry. Med en mer effektiv metod för att samla in lösen betalningar, de skulle kunna tjäna miljontals — i motsats till lite över $130,000 att de bakom WannaCry tas ut.
Allt detta är anledningen till att cyberkriminella är fortfarande utbyggnaden av ransomware — eftersom det fortsätter att göra dem pengar.
“Om du har en maskin som är smittade, vilket är det enklaste och snabbaste sättet att tjäna pengar från det? För en lång tid var det släppa ransomware på det och hoppas att den andel av offren som betalade skulle hjälpa dig att tjäna pengar,” sade Jarvis.
“Det är en grundläggande datasäkerhet problem som inte kommer att lösas, vi kommer inte att plötsligt lösa det någon gång snart, så det är bara att fortsätta.”
Det betyder att organisationer måste vara beredda att möta några cyber hot, även de som till synes av mode.
“Jag har fått höra en hel del av ljudet av människor som talar om ransomware som en sak av det förflutna och att det är nu allt om cryptocurrency gruvdrift. Den viktigaste lärdomen vi bör dra är att detta inte är sant: ransomware är fortfarande ute och fortfarande mycket av ett hot,” sade Balmas.
“Situationen kan ändra vilken minut som helst, vilken dag som helst-det beror på så många faktorer och det är så bräcklig. Vi kunde vakna upp nästa vecka och ransomware kan vara en stor affär igen, så att sänka försvaret mot det är inte en smart sak att göra. Vi bör behandla det som ett stort hot som vi gjorde förra året”.
LÄS MER OM IT-RELATERAD BROTTSLIGHET
WannaCry ransomware krisen, ett år: Är vi redo för nästa globala it-attack? Undvik ransomware betalningar genom att skapa en solid data backup plan (TechRepublic)Cryptocurrency gruv-malware nu lika lukrativ som ransomware för hackare OSS anklagar Nordkorea för WannaCry cyberattack (CNET)WannaCry ransomware rapport: NHS är fortfarande inte redo för nästa stora attack
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0