През последното десетилетие криптовирусите и свързаните с тях изнудвания за възстановяване, обединени под общото име рансъмуер, на достъпа до шифрованите данни се превърнаха в един от най-опасните видове атаки, засягайки организации от всякакъв размер по целия свят. Киберпрестъпниците бързо се адаптираха към новите бизнес модели, като в момента в сферата оперират добре организирани групи и дори се предлагат услуги.
Според Агенцията на Европейския съюз за киберсигурност (ENISA) рансъмуерът представлява най-значителната заплаха за бизнесите през последните години. Ръстът в сферата е експоненциален за последното десетилетие и се очаква да достигне 10 млрд. долара до 2025 г. Към момента тези атаки са се превърнали в отработен бизнес модел, с разпределение на труда, като на криптовирусите може да се гледа като на стока.
Съдържание на статията:
В края на юли ENISA публикува доклад, озаглавен Threat Landscape for Ransomware Attacks, изследващ ситуацията с тези киберинциденти. За целта са използвани реални данни, събирани от май 2021 до юни 2022 г. Основната констатация е, че моделът се адаптира и еволюира, ставайки по-ефективен и причинявайки по-опустошителни щети.
Видове рансъмуер
Допреди десетина години фокусът на този тип атаки бе върху едно-две действия. Това улесни групирането на рансъмуер в прости категории. В момента обаче тези програми вече не се поддават на толкова лесно групиране. Това се усложнява допълнително на липсата на хомогенност за това какво точно се включва в термина рансъмуер от страна на индустрията по киберсигурност. Например в тази група влизат и криптовируси, които просто шифроват данни, без да правят нищо друго. В същото време английският дума ransomware подразбира наличието на изнудване (ransom - англ. откуп).От ENISА заключват, че са налице четири основни действия, които рансъмуерът може да изпълнява: заключване, шифроване, изтриване и кражба. Такова зловредно приложение може да препятства достъпа до даден актив, като например да заключи екрана или да блокира достъпа до конкретно приложение. То може да криптира актив, правейки го недостъпен за ползване. Може да и открадне актив (дори без да го криптира на заразения компютър), компрометирайки неговата поверителност. И не на последно място, може да изтрие актив, с което го прави постоянно недостъпен.

Активите представляват всичко ценно за дадена организация. Най-често срещаните целеви активи за рансъмуера са файлове и директории. Повечето активи технически представляват файлове в повечето операционни системи, следователно трябва да направи разлика между криптовируси, които например шифроват всички файлове в дадена цел, и такива, които криптират само части от файл с код за стартиране на уеб сървър.
Вариантите в тази посока са много. Други целеви активи могат да включват бази данни, уеб услуги, системи за управление на съдържанието, екрани, записи за начално зареждане (master boot records) и др.
На базата на действията и целевите активи от ENISA са съставили таблица на съвременния рансъмуер. Подчертава се, че тя е по-скоро илюстративна, тъй като са възможни още комбинации. Не трябва да се забравя и че средата търпи развитие.
Как протича една атака
Жизненият цикъл на рансъмуера остана непроменен до около 2018 г., когато към него започнаха да се добавят повече функционалности, а техниките за изнудване станаха по-зрели. Идентифицират се пет етапа на една такава атака: първоначален достъп, изпълнение, действие по целите, изнудване и преговори за откуп. Тези етапи не следват строго последователна последователност - тя може да варира.Обикновено е трудно да се определи какви са били използваните техники за първоначален достъп. Според анализаторите проблемът се дължи на недостатъчното докладване за инциденти от страна на компрометирани организации, което води до намалено споделяне на информация и извлечен опит. Често такава информация не се споделя, защото може да не е известна или защото жертвите се страхуват от по-нататъшни действия от страна на атакуващите, или най-често защото желаят да избегнат евентуални репутационни щети.
Атакуващите пък, след като открият ценни активи, често предприемат действия, за да се гарантира правилната работа на рансъмуера, като например: спиране на софтуера за защита, спиране на програми като бази данни, които могат да попречат на записа, спиране функциите за възстановяване на системи и др.
Самото криптиране се случва едва след това и може да е автоматизирано. Редно е да се отбележи, че няма как да има гаранции за това, че криптирането е извършено правилно и че файловете могат да бъдат дешифрирани след евентуално плащане на откуп. Това е още една причина, поради която плащането не е препоръчителен подход, подчертават от ENISA.
По отношение на изнудването се забелязва постепенно изместване от лична към по-публична комуникация. Ако преди на жертвата е било изпращано съобщение за искания откуп и инструкции за действие, сега често атакуващите групи дават публичност на постиженията си, публикувайки включително информация за засегнатите активи и исканията за откуп.
Еволюират и отправените заплахи. В момента организациите биват заплашвани от частично или пълно изтичане на данни, изтриване на активи и препродажба на данни на предложилия най-висока цена (често - конкуренти). Жертвите могат да бъдат заплашвани и от с DDoS атаки до плащане на откупа. Интересно е, че исканията може и да не са финансови. Има случаи на натиск върху компании за добавяне или премахване софтуерни функции в техни продукти или за заразяване на други хора, като на жертвата се обещават безплатни ключове за дешифриране.
Преговорите за откуп обикновено са лична комуникация, ако има такава, между жертвата и участниците в атаката. Експертите отново подчертават, че това не е препоръчителна стъпка. Трудно е да се състави статистика за платените откупи, тъй като информацията от страна на жертвата обикновено не се афишира. Данните на престъпниците пък няма как да бъдат считани за надеждни източници.

Анализ и статистика
В анализа си си от ENISA разглеждат 623 инцидента с рансъмуер по целия свят със специален фокус върху Европа, Обединеното кралство и Съединените щати. Тези инциденти са избрани от новинарски репортажи, доклади на компании за ИТ сигурност, правителствени доклади, както и оригиналните сайтове за рансъмуер.В 288, т.е. 46,2% от споменатия общ брой инциденти, са открити доказателства за изтичане на данни. Общо откраднати данни за всички инциденти са 136,3TB със средно 518GB на инцидент и средно 10TB на месец. Максималният обем на откраднатите данни при една атака е 50TB - от Министерството на здравеопазването на Бразилия (MoH), като зад атаката стои хакерската група Lapsus$.
Два са основните начини за изтичане на данни при инцидент с рансъмуер. Те могат да бъдат частично публикувани от участници в заплаха, за да докажат, че те действително са откраднали информация, с цел оказване на натиск за плащане на искания откуп. Друг вариант е в резултат на неуспешни преговори атакуващите да пуснат всичките откраднати данни.
От 623-те анализирани инцидента са открити доказателства за частично изтекли данни в 62 инцидента (9,95% от общия брой). Доказателства за пълно изтичане пък са открити 236 инцидента (37,88%). Общо в почти половината от случаите (47,83%) е налице публикуване на открадната информация.
В 31% от инцидентите нападателите предоставят представа за вида на откраднатите данни, които често включват лична и бизнес информация.
58,2% от всички откраднати данни, разгледани от ENISA, съдържат лични данни, обхващани от GDPR. Те варират от защитена здравна информация, номера на паспорти и визи до адреси и COVID статус.
33% от откраднатите данни включват лични данни на служители, а 18,3% включват лични данни на клиенти. Само 0,4% от откраднатите данни включват лична защитена информация на служители, а 3,8% - такава за клиенти.
Освен това 41,7% от откраднатите данни съдържат нелични данни. Нелични данни са всяка информация, която не е свързана с физически лица, които могат да бъдат идентифицирани. Тези данни обаче могат да съдържат информация, която пряко влияе върху бизнеса, като финансова информация, чертежи, застраховки, пазарни проучвания, данни за вътрешна мрежа и др.
19% от разгледаните откраднати данни съдържат финансова информация. Финансовата информация се отнася до бизнес данни, свързани конкретно с финансовите аспекти на бизнеса. Те могат да включват бюджети на отдели, разписки, декларации за доходи, финансови отчети и др.
Над 24% от откраднатите данни съдържат бизнес информация. Бизнес информацията се отнася до данни, които са важни за бизнеса на компанията, като производствени данни, административни документи, правни досиета, търговски регистрации, договори за конфиденциалност (NDA) др.
Анализаторите подчертават, че е трудно да се разбере дали жертвите са платили откупи, тъй като повечето не споделят тази информация публично и в много страни е незаконно да се плаща. Понякога жертвата иска да платят по-малка сума откуп, но нападателят отказва и данните така или иначе изтичат.
От всички анализирани инциденти не е било възможно да се потвърди дали е платен откуп в 588 случая (94,2%). От останалите инциденти 8 са платили откупа и 58 не са платили искания откуп.
Допълва се, че при предишния подобен анализ е установено, че данните на 37,88% от жертвите са публикувани изцяло в интернет. Според организаторите това може би предполага, че около 62,12% от инцидентите може действително да са платили откуп.

Съвети
- Разполагайте с качествен и проверен архив на всичките си критични за бизнеса файлове и лични данни и го поддържайте актуализиран и изолиран от мрежата.
- Приложете правилото 3-2-1 за архивиране - 3 копия, 2 различни носителя за съхранение, 1 копие на друга локация.
- Съхранявайте личните данни криптирани в съответствие с разпоредбите на GDPR и с помощта на подходящи контроли, в съответствие с риска.
- Стартирайте софтуер за сигурност на вашите крайни устройства, който може да открие повечето криптовируси.
- Поддържайте своята осведоменост за сигурността, политиката за сигурност и политиката за защита на поверителността актуални и работете върху вашите информационни системи и активи, за да постигнете желаната хигиена според най-добрите практики в индустрията, като мрежово сегментиране, актуални корекции, редовно архивиране и т.н.
- Извършвайте редовни оценки на риска и обмислете сключването на застраховка срещу рансъмуер въз основа на тази оценка.
- Ограничете административните привилегии: бъдете внимателни, когато раздавате такива, тъй като администраторският акаунт има достъп до всичко, включително промяна на конфигурации или заобикаляне на критични настройки за сигурност.
- Информирайте се за местните правителствени агенции, които предоставят помощ при инциденти с рансъмуер и дефинират протоколи, които да следвате в случай на атака.
Отговор при атака:
- Свържете се с националните органи за киберсигурност или правоприлагащите органи за това как да се справите и как да се справите с инцидента.
- Не плащайте откупа и не преговаряйте със заплахите.
- Карантинирайте засегнатите системи: препоръчва се прекъсване на засегнатите системи от мрежата, за да се ограничи инфекцията и да се спре разпространението на криптовируса.
- Посетете The No More Ransom Project, инициатива на Европол, която може да дешифрира 162 варианта на рансъмуер.
- Заключете достъпа до системите за архивиране, докато инфекцията не бъде премахната.
През последното десетилетие криптовирусите и свързаните с тях изнудвания за възстановяване, обединени под общото име рансъмуер, на достъпа до шифрованите данни се превърнаха в един от най-опасните видове атаки, засягайки организации от всякакъв размер по целия свят. Киберпрестъпниците бързо се адаптираха към новите бизнес модели, като в момента в сферата оперират добре организирани групи и дори се предлагат услуги.
Според Агенцията на Европейския съюз за киберсигурност (ENISA) рансъмуерът представлява най-значителната заплаха за бизнесите през последните години. Ръстът в сферата е експоненциален за последното десетилетие и се очаква да достигне 10 млрд. долара до 2025 г. Към момента тези атаки са се превърнали в отработен бизнес модел, с разпределение на труда, като на криптовирусите може да се гледа като на стока.