Поредица от арести изглежда са свалили някои от най-известните групи за рансъмуер – купонът е почти свършил или нови операции просто ще се появят там, където други са паднали?
Ransomware се превърна в най-големия проблем за киберсигурността, пред който са изправени фирмите, правителствата и целия свят днес.
Специален доклад
Киберсигурност: Нека да тактически
Тъй като сложността, честотата и последствията от кибератаките продължават да се развиват и растат, частните компании и публичните агенции трябва да се адаптират.
Прочетете сегаПоредица от нашумели инциденти през последната година – като например Colonial Pipeline ransomware атака, на Kaseya ransomware атака, поредица от атаки срещу болници и здравеопазване, включително Ирландския здравен изпълнителен директор, и много други – причиниха проблеми на милиони.
Ransomware е ефективен, защото в много случаи жертвата ще се поддаде на изнудването от киберпрестъпниците и ще плати откупа, често милиони долари, за да получат ключ за дешифриране, за да възстановят мрежата си. В други случаи жертвите не плащат,
избират сами да възстановят мрежата, процес, който може да отнеме седмици или месеци – през цялото време оказва влияние върху техния бизнес или услуги. Такъв е хаосът, причинен от рансъмуера дори станат част от дискусията между световните лидери по време на международни срещи на върха.ВИЖ: Печеливша стратегия за киберсигурност(Специален доклад на ZDNet)
През втората половина на 2021 г. правоприлагащите органи по света разгласиха арести и сваляния свързани с ransomware групи и на тъмни уеб услуги които им позволяват да работят, като заподозрените са задържани в страни, включително Украйна, Южна Корея и Кувейт.
Но колкото и добре дошли тези арести да бяха за правоприлагащите органи, много от най-известните екипи на ransomware останаха на свобода. Това отчасти се дължи на факта, че много от тези киберпрестъпни операции се провеждат от Русия – и има консенсус сред експертите по киберсигурност че местните власти са склонни да си затварят очите за престъпните хакери, които насочват вниманието си към Запада.
Така че беше изненада, когато на 14 януари Федералната служба за сигурност на Русия (ФСБ) обяви, че е задържал заподозрени членове на бандата за рансъмуер REvil действащи от няколко региона на страната и са разбили операциите на групата.
REvil беше една от най-разрушителните групи за рансъмуер за 2021 г. Една от нашумелите кампании, които те проведоха, включваше атака срещу JBS, което доведе до производителя на храни плаща откуп от над 10 милиона долара.
Групата за рансъмуер беше обвинена и за атака срещу Kaseya, доставчик на софтуер за корпоративно ИТ управление. Атаката доведе до прекъсване на хиляди бизнеси по света – и в много случаи временно затворени, докато услугите отново бъдат онлайн, което не позволява на хората да могат да купуват стоки от местните си супермаркети в региони, вариращи от Швеция до Нова Зеландия.
Но ако една от най-големите, най-скандалните групи за рансъмуер внезапно се окаже, че изглежда е свалена от правоохранителните органи, това означава ли, че играта е готова за рансъмуер?
със сигурност членове на ъндърграунд форуми са взели под внимание, като някои изразиха притеснения, че е само въпрос на време правоохранителните органи да ги настигнат. „Всъщност едно е ясно, че тези, които очакват държавата да ги защити, ще бъдат силно разочаровани“, каза форумец. Някои членове на форума дори предложиха да преместят операциите в друга юрисдикция, въпреки че това е малко вероятно да е реалистична опция за мнозина.
Въпреки това, докато REvil е известен, групата беше в пауза няколко месеца преди действието на ФСБ – което означава, че въпреки че арестите на киберпрестъпници се приветстват, някои се съмняват дали това ще има някакво значително въздействие върху други големи ransomware екипажи. Също така не е ясно дали внезапният интерес на Русия към преследване на престъпленията с ransomware ще продължи; някои експерти от индустрията предполагат, че ангажираността на Русия може да е свързана с по-широката й геополитическа програма
ZDNET Препоръчва
- Най-добрите VPN услуги
- Най-добрите ключове за сигурност
- Най-добрият антивирусен софтуер
- Най-бързите VPN мрежи
Според Белия дом, един от заподозрените, арестуван като част от нападенията на REvil, беше човекът зад атаката с рансъмуер Colonial Pipeline, инцидентът, който доведе до недостиг на газ на източното крайбрежие на САЩ. Атаката - което видя Colonial да плаща откуп от 5 милиона долара – не беше от REvil, а от DarkSide, отделна, но тясно свързана група за рансъмуер.
Тази ситуация илюстрира един от проблемите, които усложняват прекъсването на ransomware – групите, които ги управляват, не действат като обикновени компании с ясни длъжности. Вместо това различните групи могат да се припокриват и отделните киберпрестъпници могат да се движат между различни групи.
Ако една група бъде свалена от правоприлагащите органи, останалите разработчици на ransomware и други членове на операция може да използва уменията си другаде, подпомагайки съществуващи партньорски схеми за ransomware или помагайки за създаване на нова.
Партньорски схеми за рансъмуер като услуга позволяват на киберпрестъпниците, които искат да извършват атаки с рансъмуер, без да се налага сами да създават рансъмуер, за да се включат в действието – обикновено с разработчиците на продукта, които вземат част от печалбите, получени от откупи.
През годините хората, които управляват партньорските схеми, идват и си отиват, или след като са били затворени, след временно прекъсване, понякога се връща след ребрандиране, или в някои случаи просто се оттеглят от бизнеса с ransomware. Но за тези, които искат да бъдат част от схема за рансъмуер като услуга, все още има много налични опции като продължават да се появяват нови операции.
И така, докато арестите и свалянето са ефективни инструменти срещу тези, които разработват рансъмуер, търсенето от тези по-ниско надолу по веригата, съчетано с квалифицирани автори на рансъмуер, използващи уменията си за нови операции, вероятно означава, че нови операции на рансъмуер ще продължат да се появяват дори след като падения.
ВИЖ: Ransomware: Това е „златна ера“ за киберпрестъпниците – и може да се влоши, преди да се подобри
Малко вероятно е последният кръг от арести внезапно да спре рансъмуера завинаги. Но те показват на групите за рансъмуер и на киберпрестъпниците около тях, че не са имунизирани срещу проследяване свалени и техните активи са придобити и исканията за откуп са конфискувани, особено след като се извършват все повече и повече арести.
„Все още е доходоносно, така че има много причини да го правите, все още не е особено рисково в относително отношение, но от гледна точка на налагане на разходи, разходите за правене на бизнес са намалели нагоре“, казва Киарън Мартин, професор по практика в Училището по управление Блаватник към Оксфордския университет – и бивш директор на Националната киберсигурност на Обединеното кралство Център.
„Може би те не са основните оператори, може би са само частични играчи, но това все още има въздействие и мисля, че все още премахва малко по-добре усещането за безнаказаност на ransomware“, той добавя.
Както се вижда от дискусиите в тъмната мрежа след арестите, действията срещу групите за рансъмуер също могат да всеят съмнение в съзнанието на онези, които стоят зад кибератаките.
Не само може да е по-вероятно да се притесняват от идеята правоприлагащите органи да се разбият по вратата им, но това може да насади идеята, че хората в рансъмуера на екосистемата не може да се вярва – може да се окаже, че правоприлагащите органи са проникнали във форум или виден член внезапно е бил принуден да помага на властите с техните разследване.
„Доверието между различните части на тези мрежи вероятно е ерозирано“, казва Мартин.
И ако има съмнение сред общностите на рансъмуер в тъмната мрежа, това издига друга бариера, която прави кампаниите малко по-трудни за провеждане.
Арестуването на киберпрестъпници е добре дошло, това е нещо, което премахва основен проблем с киберсигурността, пред който са изправени организациите днес и показва, че има потенциални последици за извършване на киберпрестъпления – но проблемът с ransomware няма изведнъж да изчезне в 2022.
„В никакъв случай не е свършило“, казва Мартин. „Части от него станаха малко по-добри, но това все още е най-важният проблем на киберсигурността на нашето време.“
ПОВЕЧЕ ЗА КИБЕР СИГУРНОСТТА
- Нападателите на рансъмуер са се насочили към тази компания. Тогава защитници откриха нещо любопитно
- Шефовете смятат, че сигурността е погрижена: CISO не са толкова сигурни
- Рансъмуер: Въпрос на време е умният град да стане жертва и трябва да предприемем действия сега
- Мошеници продават достъп до хакнати мрежи. Най-големите им клиенти са бандите за рансъмуер
- Тази компания беше засегната от ransomware, но не трябваше да плаща. Ето как го направиха