Cyberprzestępcy rozpoczęli stosowanie nowych technik w atakach ransomware. Szyfrują tylko część danych i prowadzą ataki bezplikowe, dzięki czemu mogą dłużej unikać wykrycia, wyjaśnia Rick Vanover, dyrektor ds. strategii produktowej w Veeam. Aby zwiększyć presję na zapłacenie okupu celują też w tworzone przez firmy kopie zapasowe danych. Po włamaniu do sieci ofiary hakerzy sprzedają dostęp do niej kolejnym grupom prowadzącym ataki ransomware – w ubiegłym roku takich ofert pojawiło się na forach cyberprzestępczych ponad 1300.
Po przedostaniu się do firmowej sieci przestępcy muszą wykraść i zaszyfrować jak najwięcej danych, zanim zostaną wykryci. Szyfrowanie zasobów ofiary wymaga jednak czasu, a im dłużej atakujący są w sieci, tym większe ryzyko, że zostaną namierzeni. Dlatego stosują nową technikę przerywanego szyfrowania. Na celownik biorą tylko wycinki danych – wystarczająco małe, żeby utrzymywać niskie zużycie procesora i uniknąć namierzenia, ale na tyle duże, aby z plików nie dało się korzystać bez klucza deszyfrującego. Aby zyskać na czasie, zmieniają pory dnia i ilość szyfrowanych zasobów, dzięki czemu ich działania nie są wychwytywane przez zautomatyzowane mechanizmy ochronne. Jednocześnie mogą szybciej uszkadzać pliki ofiary, zwiększając presję na zapłacenie okupu.
Aby zwiększyć swoją skuteczność oraz utrudniać firmom reagowanie, przestępcy łączą też w jednym skoordynowanym ataku kilka technik: spam, phishing, spoofing (podszywanie się pod kogoś w celu zyskania zaufania) i inne socjotechniczne mechanizmy manipulacyjne. W unikaniu wykrycia pomagają ataki bezplikowe, które polegają na infekowaniu urządzeń oprogramowaniem ransomware bez umieszczania na nich jakichkolwiek plików, z wykorzystaniem jedynie znanych, zaufanych narzędzi. W ten sposób często atakowane są instytucje państwowe – przestępcy mogą pozostać niewykryci, jeśli unikają używania nazw procesów lub skrótów plików, które zostały wcześniej przez zespół IT oznaczone jako niebezpieczne.
Cyberprzestępczość stała się usługą, zaznacza ekspert Veeam. Hakerzy, którzy włamują się do sieci firmy jako pierwsi, sprzedają następnie dostęp do jej systemu i danych kolejnym grupom ransomware, a sami koncentrują się na wymuszaniu okupu. Jak podaje firma Kela,w 2021 roku na najważniejszych monitorowanych forach cyberprzestępczych pojawiło się ponad 1300 takich ofert.
Wielu cyberprzestępców po udanym ataku nie tylko szyfruje, ale też wykrada i niszczy dane oraz ich kopie zapasowe dostępne online lub słabo zabezpieczone. Celem tego typu ataków są często firmy z branży finansowej, medycznej i instytucje sektora publicznego, w przypadku których atak może wpłynąć na działanie infrastruktury krytycznej.
Celem przestępców coraz częściej staje się również backup, dlatego szczególnie ważna staje się weryfikacja strategii tworzenia kopii zapasowych, które odpowiednio zabezpieczą dane. Według raportu Veeam Data Protection Trends Report 2022, nawet 9 na 10 firm nie jest w stanie odzyskać przynajmniej części skradzionych zasobów.