Infractorii cibernetici trec de la atacuri in masa impotriva utilizatorilor individuali la atacuri impotriva corporatiilor

Cercetătorii Kaspersky Lab au descoperit o tendință îngrijorătoare: din ce în ce mai mulți infractori cibernetici își îndreaptă atenția de la atacuri împotriva utilizatorilor individuali, către atacuri ransomware cu țintă precisă împotriva companiilor.

Au fost identificate cel puțin opt grupuri de infractori implicați în dezvoltarea și distribuirea de programe ransomware care criptează. Atacurile au lovit în primul rând organizații financiare globale. Experții Kaspersky Lab au întâlnit cazuri în care cererile de plată ajungeau la peste jumătate de milion de dolari.

Printre cele opt grupuri identificate se numără autorii PetrWrap, care au atacat organizații financiare globale, grupul Mamba și șase grupuri neidentificate care au țintit tot utilizatori corporate. Trebuie remarcat că aceste șase grupuri au fost anterior implicate în atacuri care vizau în special utilizatori individuali și au folosit program afiliate. Acum, ele și-au concentral eforturile pe rețele corporate.

Conform cercetătorilor Kaspersky Lab, cauza acestei tendințe este clară: infractorii consideră că atacurile ransomware cu țintă precisă împotriva companiilor sunt potențial mai profitabile decât atacurile în masă împotriva utilizatorilor individuali. Un atac ransomware împotriva unei companii poate să oprească procesele de business pentru mai multe ore sau chiar zile, determinându-i pe deținătorii companiilor afectate să plătească răscumpărarea.

În general, tacticile, tehnicile și procedurile folosite de aceste grupuri sunt foarte similare. Ele infectează cu malware organizația pe care o vizează, prin servere vulnerabile sau prin e-mailuri de phishing. Apoi, rămân în rețeaua victimelor și identifică resursele corporate valoroase, pe care să le cripteze, ulterior cerând o răscumpărare în schimbul decriptării. În afară de similitudini, unele grupuri au și câteva caracteristici specifice.

De exemplu, grupul Mamba folosește propriul său malware de criptare, bazat pe programul open source DiskCryptor. De îndată ce atacatorii controlează rețeaua, ei instalează programul de criptare în ea, folosind o utilitară pentru Windows remote control. Această abordare face ca acțiunile lor să pară mai puțin suspecte pentru ofițerii de securitate ai organizațiilor vizate. Cercetătorii Kaspersky Lab au întâlnit cazuri în care valoarea răscumpărării ajungea până la 1 bitcoin (aproximativ 1000 de dolari, la sfârșitul lunii martie 2017) pentru decriptarea unui punct de lucru.

Un alt exemplu de instrumente unice folosite în atacurile ransomware cu țintă precisă vine de la PetrWrap. Acest grup vizează, în general, companii mari, care au un număr mare de noduri de rețea. Infractorii selectează atent țintele pentru fiecare atac, care poate să dureze destul de mult: PetrWrap a fost prezent în rețea în jur de 6 luni.

”Trebuie să fim conștienți că amenințarea atacurilor ransomware cu țintă precisă asupra companiilor este în creștere, aducând pierderi financiare serioase”, spune Anton Ivanov, Senior Security Researcher, Anti-Ransom la Kaspersky Lab. Tendința este alarmantă, pentru că autorii ransomware sunt în căutarea unor victime noi și mai profitabile.”

Sursa: agora.ro