Ce este ransomware-ul?

Ransomware-ul există în două forme principale: ransomware-ul criptografic și ransomware-ul cu blocare, iar acestea sunt împărțite în continuare în mai multe subtipuri.

Ransomware criptografic
Într-un atac ransomware criptografic, atacatorul criptează datele sau fișierele confidențiale ale unei persoane, astfel încât acesta să nu le poată accesa decât dacă plătește răscumpărarea solicitată. Teoretic, odată ce victima plătește, atacatorul îi dă o cheie de decriptare care oferă acces la fișiere sau date, însă nu există nicio garanție. Multe organizații au pierdut definitiv accesul la fișierele lor chiar și după plata răscumpărării.

Ransomware cu blocare
În ransomware-ul cu blocare, actorii rău intenționați blochează accesul victimei la un dispozitiv și îi prezintă o notă de răscumpărare pe ecran cu instrucțiuni despre cum să plătească o răscumpărare pentru a redobândi accesul. Această formă de ransomware nu implică de obicei criptarea, așadar, după ce victima redobândește accesul la dispozitivul său, toate fișierele și datele confidențiale sunt păstrate. Ransomware-ul cu blocare este utilizat de obicei pe dispozitive mobile.

Aceste două forme principale de ransomware se încadrează în următoarele subtipuri:

Software de intimidare
Software-ul de intimidare utilizează frica pentru a face oamenii să plătească o răscumpărare. În aceste tipuri de atacuri cibernetice, actorii rău intenționați se prezintă ca o agenție de aplicare a legii și trimit un mesaj către victimă, acuzând-o de săvârșirea unei infracțiuni și solicitând o amendă.

Doxware
În cazul doxware, actorii rău intenționați fura informații personale și amenință să le dezvăluie public dacă nu este plătită o răscumpărare.

Ransomware cu extorcare dublă
În situații de ransomware cu extorcare dublă, atacatorii nu doar criptează fișiere, ci fură și date confidențiale și amenință că le publică dacă nu este plătită răscumpărarea.

Wiper
În cazul ransomware-ului de tip wiper, victima este amenințată că i se vor distruge datele dacă nu plătește răscumpărarea.

Majoritatea atacurilor ransomware urmează un proces în trei pași.

1. Obținerea accesului
Actorii rău intenționați utilizează diverse metode pentru a obține acces la datele confidențiale ale unei firme. Una dintre cele mai întâlnite metode este phishingul, prin care infractorii cibernetici utilizează e-mailul, sms-urile sau apelurile telefonice pentru a-i păcăli pe utilizatori să-și comunice acreditările sau să descarce malware. De asemenea, actorii rău intenționați vizează angajații și alți utilizatori cu site-uri web rău intenționate care utilizează ceea ce se numește kit de exploatare pentru a descărca și a instala automat malware pe dispozitivul victimei.

2. Criptarea datelor
După ce atacatorii ransomware obțin acces la datele confidențiale, le copiază și distrug fișierul original, împreună cu toate copiile backup pe care le-au putut accesa. Apoi criptează copia și creează o cheie de decriptare.

3. Solicitarea unei răscumpărări
După ce datele devin inaccesibile, atacatorul ransomware livrează un mesaj printr-o casetă de avertizare care explică faptul că datele au fost criptate și solicită bani, de obicei în criptomonede, în schimbul cheii de decriptare. De asemenea, actorii rău intenționați din spatele acestor atacuri ar putea amenința să publice datele dacă victima refuză să plătească.

Dincolo de întreruperea imediată a operațiunilor, consecințele unui atac ransomware pot include pierderi financiare semnificative, daune de reputație și provocări operaționale pe termen lung.

Implicații financiare
Costul plății unei răscumpărări poate fi substanțial, adeseori ajungând la milioane de dolari și nu există nicio garanție că atacatorii vor furniza cheia de decriptare sau că aceasta va funcționa.

Chiar și atunci când organizațiile refuză să plătească răscumpărarea, pot exista în continuare costuri financiare mari. Întreruperea cauzată de un atac ransomware poate duce la perioade prelungite de nefuncționare, afectând productivitatea și ducând potențial la pierderi de venituri. Recuperarea după un atac implică cheltuieli suplimentare, inclusiv costurile investigațiilor judiciare, taxele legale și investițiile în măsuri de securitate îmbunătățite.

Deteriorarea reputației
Clienții și partenerii își pot pierde încrederea într-o firmă care a fost compromisă, ducând la o scădere a fidelității clienților și la pierderea potențială a afacerilor viitoare. Atacurile cu impact ridicat atrag adesea atenția presei, ceea ce poate deteriora reputația unei firme și imaginea mărcii.

Provocările operaționale
Chiar și cu copiile de rezervă, există riscul de pierdere sau deteriorare a datelor, care poate afecta continuitatea activității și eficiența operațională. De asemenea, este posibil ca firmele să se confrunte cu pedepse legale și de reglementare pentru că nu reușesc să protejeze datele confidențiale, mai ales dacă sunt supuse reglementărilor privind protecția datelor, cum ar fi Regulamentul general privind protecția datelor în Uniunea Europeană sau Legea privind confidențialitatea consumatorilor din California.

Multe dintre cele mai mari atacuri ransomware operate de oameni sunt efectuate de grupuri de ransomware, care operează utilizând un model de afaceri ransomware ca serviciu.

 

• De la apariția sa în 2019, LockBit a vizat diverse sectoare, inclusiv servicii financiare, servicii medicale și industrie. Acest ransomware este cunoscut pentru capacitatea sa de auto-propagare în cadrul rețelelor, făcându-l deosebit de periculos. Afiliații LockBit au fost responsabili pentru numeroase atacuri cu impact ridicat, utilizând tehnici sofisticate pentru a cripta datele și a solicita răscumpărări. 
• Atacurile BlackByte implică adesea extorcare dublă, prin care infractorii cibernetici criptează și fură date, amenințând că publică datele furate dacă răscumpărarea nu este plătită. Acest ransomware a fost utilizat pentru a viza sectoare de infrastructură critice, inclusiv servicii guvernamentale și financiare.
• Grupul din spatele ransomware-ului Hive, care a fost activ între iunie 2021 și ianuarie 2023, a utilizat extorcare dublă și a vizat de obicei instituții publice și infrastructură critică, inclusiv unități medicale. Într-o victorie semnificativă împotriva infracțiunilor cibernetice, în 2022, FBI a reușit să infiltreze rețeaua Hive, capturând cheile de decriptare și împiedicând solicitări de răscumpărare în valoare de peste 130 de milioane USD. 
• Ransomware-ul Akira este un malware sofisticat care a fost activ de la începutul anului 2023 și vizează atât sistemele Windows, cât și sistemele Linux. Actori rău intenționați utilizează Akira pentru a obține acces inițial prin vulnerabilități din serviciile VPN, în special cele fără autentificare multifactor. De la apariția sa, Akira a afectat peste 250 de organizații și a revendicat aproximativ 42 de milioane USD în venituri din ransomware.

 

Dacă deveniți victima unui atac ransomware, există opțiuni pentru îndepărtarea și eliminarea acestuia.

Izolați datele infectate
De îndată ce reușiți, izolați datele compromise, pentru a împiedica ransomware-ul să se răspândească în alte zone din rețea.

Rulați un program antimalware
După ce ați izolat toate sistemele infectate, utilizați un program antimalware pentru a elimina ransomware-ul.

Decriptarea fișierelor sau restaurarea copiilor de rezervă
Dacă este posibil, utilizați instrumentele de decriptare furnizate de agențiile de aplicare a legii sau de agențiile de securitate pentru a decripta fișierele fără a plăti răscumpărarea. Dacă decriptarea nu este posibilă, restaurați fișierele din copiile backup.

Raportați atacul
Contactați agențiile locale sau federale de aplicare a legii pentru a raporta atacul. În Statele Unite ale Americii, acestea sunt filiala locală FBI, IC3 sau Serviciul Secret. Deși acest pas probabil nu va rezolva niciuna dintre preocupările dvs. imediate, este important, deoarece aceste autorități urmăresc și monitorizează în mod activ diferite atacuri. Furnizarea de detalii despre experiența dvs. ar putea fi utilă în eforturile lor de a găsi și a urmări în justiție un infractor cibernetic sau un grup infracțional cibernetic.

Fiți precaut în legătură cu plata răscumpărării
Deși poate fi tentant să plătiți răscumpărarea, nu există nicio garanție că infractorii cibernetici se vor ține de cuvânt și vă vor acorda acces la datele dvs. Experții în securitate și agențiile de aplicare a legii recomandă ca victimele atacurilor ransomware să nu plătească răscumpărarea solicitată, deoarece acest lucru ar putea lăsa victima descoperită în fața amenințărilor viitoare și ar susține în mod activ o industrie infracțională.

Cercetătorii din domeniul securității se așteaptă ca ransomware-ul să continue să crească în frecvență și complexitate în următorii ani. Progresele din inteligența artificială ajută infractorii cibernetici să automatizeze și să îmbunătățească rapid ransomware-ul. Și tot mai multe persoane cu abilități tehnice limitate intră în joc, deoarece pot cumpăra instrumente ransomware bazate pe inteligența artificială de pe dark web sau pot deveni parteneri cu o organizație de tip ransomware ca serviciu.

Organizațiile mai mari și mai sofisticate, inclusiv actorii statali, vizează din ce în ce mai mult infrastructura critică și lanțurile de aprovizionare, ceea ce duce la întreruperi semnificative ale operațiunilor de afaceri și municipale. Aceste entități vizează adesea guverne, sisteme de transport și organizații medicale, cu scopul de a le paraliza serviciile.

Pentru a contracara aceste amenințări în continuă dezvoltare, organizațiile adoptă inteligență artificială pentru securitatea cibernetică, pentru a le ajuta să detecteze și să răspundă la atacuri ransomware rapid și eficient. Aceste tehnologii analizează volume mari de date pentru a identifica modele și anomalii care ar putea indica un atac ransomware. Multe dintre aceste soluții pot răspunde automat și la amenințările detectate, reducând timpul necesar pentru a atenua un atac.

Modelul de securitate Zero-Trust câștigă, de asemenea, teren ca modalitate de a îmbunătăți securitatea cibernetică și de a limita extinderea ransomware-ului și a altor activități rău intenționate.