The Ransomware Evolution: 32 χρόνια εξέλιξης & η απάντηση της Bitdefender

Ακούγοντας τα τελευταία χρόνια για αύξηση των κυβερνοεπιθέσεων, ακόμη και οι χρήστες βασικού επιπέδου έχουν την τάση πλέον να σκέφτονται την κρυπτογράφηση των δεδομένων τους, πέρα από την υποκλοπή των στοιχείων τους, φυσικά μη γνωρίζοντας πως ακριβώς λειτουργούν οι επιθέσεις αυτές, ενώ συχνά και οι έμπειροι επαγγελματίες του IT  συνδέουν τα ransomware με τις σύγχρονες απειλές.

Αθανασία Ρουσιά

Bitdefender Security Advisor

www.bitdefender.gr

Στην πραγματικότητα όμως, τα σημερινά ransomware κουβαλούν μαζί τους μια ιστορία εξέλιξης με αφετηρία το 1989, όταν ο εξελικτικός βιολόγος Joseph L. Popp, εκπαιδευόμενος του Χάρβαρντ, έστειλε 20.000 μολυσμένες δισκέτες με την ετικέτα “Πληροφορίες για το AIDS” σε συμμετέχοντες στο διεθνές συνέδριο του Παγκόσμιου Οργανισμού Υγείας για το AIDS. Η απειλή Trojan AIDS ή PS Cyborg, όπως ονομάστηκε, κρυπτογραφούσε τα δεδομένα έπειτα από 90 επανεκκινήσεις και ζητούσε 189$ σε Τ.Θ. του Παναμά για την επαναφορά τους. Την εποχή εκείνη, η σύλληψη του δρ. Popp ήταν εύκολη, παρότι κρίθηκε ακατάλληλος για δίκη.

Στα χρόνια που ακολούθησαν, τα ransomware σημείωσαν κλιμακούμενη εξέλιξη ακολουθώντας την εξέλιξη της τεχνολογίας και δρώντας ακόμη αθόρυβα, στις αρχές του 2000 με την μαζική διασύνδεση των υπολογιστών στο internet. Η επόμενη δεκαετία ήταν το εφαλτήριο για την σημερινή διάδοση των ransomware με σημεία σταθμούς : το 2006 οι εγκληματικές ομάδες άρχισαν να χρησιμοποιούν την πιο αποτελεσματική ασύμμετρη κρυπτογράφηση RSA, ενώ το 2008 με την εμφάνιση του Bitcoin, εκτοξεύθηκαν οι επιθέσεις, αφού τώρα οι παραλήπτες των λύτρων μπορούσαν να θωρακίσουν την ανωνυμία τους. Το πρώτο παράδειγμα δεν άργησε να έρθει με το Vundo το 2009 το οποίο είχε μεγάλη απήχηση λόγω της μεθόδου εξάπλωσης που χρησιμοποιούσε μέσω διαφημίσεων και της αξιοποίησης των κενών ασφαλείας (misconfigurations) κυρίως των browsers αλλά και εφαρμογών όπως η Java. Η επόμενη δεκαετία που μας φτάνει μέχρι το 2020, ανατέλλει με νέες καινοτομίες σ’ αυτή την κατηγορία απειλών και εξαπλώνονται ταχύτατα. Χαρακτηριστική είναι η άνοδος μεταξύ 2011 και 2015 όπου οι μετρήσεις κατέγραψαν εντοπισμό 20.000 νέων ransomware το πρώτο εξάμηνο του 11’ για να κλείσουν με ρεκόρ τα 200.000 νέα είδη ransomware το Q4 του 15’, με πιο γνωστό το Cryptolocker όπου είχε εξαιρετικά αδιάρρηκτη κρυπτογράφηση και εξασφάλισε 30 εκατομμύρια δολάρια στην διετία 13’-15’. Κι ενώ το βάρος της ευθύνης για τις επιτυχημένες επιθέσεις είχε αρχίσει να πέφτει στον ανυποψίαστο χρήστη, την άνοιξη του 2017 η καινοτομία του Wanna Cry, που αποτέλεσε την πρώτη ολοκληρωμένη παγκόσμιας εμβέλειας επίθεση χωρίς να χρειάζεται η συμμετοχή του χρήστη, αποτέλεσε ιστορικό σημείο αναφοράς για τις μετέπειτα εξελίξεις στην συγκεκριμένη κατηγορία κακόβουλου λογισμικού, την οποία ακολούθησαν ο Petya και ο Bad Rabbit την ίδια χρονιά, ξεπερνώντας τα 30 δις δολάρια σε συνολικά κέρδη για το 17’. To 2018 η οικογένεια του Can Grab πέτυχε την μεγαλύτερη διασπορά μέσω email κατακτώντας το 40% της αγοράς ransomware και κερδίζοντας 2.5 δις $. Την ίδια περίοδο, η ενσωμάτωση Machine Learning, Deep Learning & AI στους κακόβουλους αλγορίθμους, έδωσε στα ransomware την δυνατότητα να γίνουν ακόμη πιο πολυμορφικά και να ενταχθούν σε κάθε πιθανό συνδυασμό επιθέσεων. Ένα πρόσφατο χαρακτηριστικό παράδειγμα είναι το spear phishing. Ενώ το παραδοσιακό phishing προσφέρει ακρίβεια με χειροκίνητη στόχευση 5% – 14%, με συνδυασμό Machine Learning το spear phishing φτάνει 60% ακρίβεια. Έτσι οι επιθέσεις αυτές φτάνουν στον στόχο τους πλέον με links, emails, συνημμένα ή μολυσμένα sites, ενώ πρόσφατα η τεχνική του ex filtration που έχουν υιοθετήσει, δεν εξασφαλίζει στα θύματα καμία ασφάλεια για τα δεδομένα τους ακόμη κι αν πληρώσουν, καθώς οι εγκληματίες του κυβερνοχώρου μπορούν να εξασφαλίσουν πολλά περισσότερα πουλώντας τα στο Dark Web.

Μπορούμε να αντιληφθούμε ότι τα ransomware δεν είναι μια απειλή που θα κάνει τον κύκλο της, αλλά που θα εξελίσσεται όσο εξελίσσεται η τεχνολογία και μεγαλώνει το εύρος εφαρμογής της. Αποτελούν μια εξαιρετικά προσοδοφόρα αγορά με μέσο όρο κέρδους 25 εκατομμύρια δολάρια ανά επίθεση, με τις «οικογένειες» των κατασκευαστών να ανταγωνίζονται μεταξύ τους με τρόπαιο όχι μόνο τα χρήματα, αλλά τα δεδομένα χιλιάδων επιχειρήσεων, ιδιωτών, κυβερνητικών φορέων… Η παροχή τους σαν υπηρεσία (RAS), κάνει τον πολλαπλασιασμό τους πιο εύκολο από ποτέ. Κι εμείς ; Τι μπορούμε να κάνουμε ;

Ακολουθώντας την βασική αρχή της ασφάλειας : Γιατί ; Τι ; Πώς ;

Γιατί : Σύμφωνα με προβλέψεις, το 2021 θα εξελίσσεται 1 επίθεση ransomware κάθε 11’’. Η αύξηση των επιθέσεων υπολογίζεται σε 365%. Το ετήσιο κόστος απ’ τις επιθέσεις υπολογίζεται σε 6 τρις $.

Τι : Το Ransomware είναι ένας τύπος κακόβουλου λογισμικού που έχει σχεδιαστεί για να αποτρέπει ή να μειώνει την πρόσβαση ενός χρήστη στη συσκευή, το λειτουργικό σύστημα ή τα αρχεία του και εμφανίζεται με δύο κυρίως μορφές το locker ransomware όπου κλειδώνει την οθόνη του υπολογιστή/κινητού και δεν επιτρέπει στον χρήστη την πρόσβαση και το crypto-ransomware όπου κρυπτογραφεί τα αρχεία. Πολλές προκλήσεις καθιστούν δύσκολη την ανίχνευση ransomware. Η heuristic-based προσέγγιση φαίνεται επικίνδυνη εξαιτίας της ταχύτητας που εξελίσσονται τα ransomware. Λύσεις χωρίς προηγμένη χρήση AI, δεν αποτελούν πια λύσεις, ενώ απαιτούνται πολλαπλοί μηχανισμοί για να σταματήσουν τις εξελιγμένες μορφές που δρουν σε διαφορετικά επίπεδα χρησιμοποιώντας συχνά anti-fill τεχνολογία που τις καθιστά μη ανιχνεύσιμες απ’ τους κοινούς anti-malware μηχανισμούς.

Πώς : Σύμφωνα με την CISA, το FBI και τον HHS, το Patching σε λειτουργικά, browsers και εφαρμογές, αλλά και ο τακτικός έλεγχος για τυχόν Misconfigurations (Risk management), η χρήση 2 παραγόντων ταυτοποίησης όπου είναι δυνατό, η συχνή αλλαγή των passwords δίκτυα και λογαριασμούς, η απενεργοποίηση των RDP, ο έλεγχος των εφαρμογών που επιτρέπεται να εγκατασταθούν (Application control), ο έλεγχος γνησιότητας και νομιμότητας των νέων λογαριασμών που δημιουργούνται, ενημερωμένο endpoint security λογισμικό, συντήρηση back up στο μοντέλο 3-2-1, τουλάχιστον 3 back up των σημαντικών αρχείων, σε 2 διαφορετικούς τύπους, τουλάχιστον 1 offline, είναι μερικά από τα βήματα που μπορούν να εξασφαλίσουν σ’ έναν οργανισμό τις μέγιστες πιθανότητες αποφυγής μιας ransomware επίθεσης.

Η Bitdefender, παγκόσμια διακεκριμένος κατασκευαστής λύσεων ασφαλείας, διαθέτοντας το μεγαλύτερο intelligence network με περισσότερες από 500 εκατομμύρια εγκαταστάσεις, είναι σε θέση να προβλέπει τις μελλοντικές ανάγκες στην ψηφιακή ασφάλεια, χρησιμοποιώντας τεχνολογίες αιχμής, διαθέτει 30 zero trust μηχανισμούς προστασίας, ικανούς να προστατέψουν τις εταιρικές εγκαταστάσεις απ’ τις εξελιγμένες απειλές. Η ευχρηστία της ενιαίας Cloud κονσόλας με ενσωματωμένο Risk Management, Application & Device Control και δυνατότητα Patch Management για περισσότερες από 2,5k εφαρμογές αλλά και η επιλογή Sandbox Analyzer και Premium cloud Email Security στην ίδια κονσόλα, μπορούν να εξασφαλίσουν ορατότητα και έλεγχο των τυφλών σημείων ακόμη και χωρίς EDR. Διαθέτοντας μηχανισμούς όπως το Advance Threat Defense (διαρκής παρακολούθηση των εφαρμογών που εκτελούνται, εμποδίζοντας τυχόν συμπεριφορά κρυπτογράφησης αρχείων), Online Threat Prevention (αναλύση του traffic σε  HTTP & HTTPS, αποκλείοντας ιστότοπους που εμπεριέχουν phishing, fraud, scams και ransomware), Network Attack Defence (μπλοκάροντας μια επίθεση προτού ξεκινήσει και αποτρέποντας την εκμετάλλευση ευπαθειών του συστήματος). Ransomware Mitigation (αποτροπή της κρυπτογράφησης και αναίρεση των ενεργειών που πραγματοποιήθηκαν σε περίπτωση επιτυχούς επίθεσης), η πλατφόρμα ασφαλείας Bitdefender μπορεί να εξασφαλίσει την μέγιστη προστασία σε κάθε μέγεθος εγκατάστασης.

Για περισσότερες πληροφορίες επισκεφθείτε το : www.bitdefender.gr επικοινωνήστε μαζί μας στο info@bitdefender.gr ή καλέστε μας στο 215-5353030 από Ελλάδα η στο 357-22008296 από Κύπρο.