20 czerwca 2022

Postępująca profesjonalizacja działalności ransomware

Rzeczywistość ransomware AD2022? Nowy atak ma miejsce średnio co 11 sekund, a cyberatak kosztujący przestępców ok. 30 dolarów może im przynieść zyski na poziomie nawet 25 tysięcy. Branża szkodliwego oprogramowania rozwija się niezwykle dynamicznie, tworząc coraz bardziej ustrukturyzowany, hierarchiczny i profesjonalny ekosystem.

Szacuje się, że „równoległa gospodarka” jest warta prawie 1,5 miliarda dolarów rocznie. Jej rozwój rodzi konsekwencje także dla sektora cyberbezpieczeństwa, którego wartość w 2026 roku może osiągnąć ponad 40 mld Euro. Jednym z głównych zagadnień w tym obszarze są ataki ransomware.

Ekosystem ransomware w praktyce

Sektor cyberprzestępczości coraz bardziej przypomina tradycyjny rynek, z własnymi kanałami komunikacji i dystrybucji, mechanizmami podaży i popytu oraz konkurencyjnymi procesami przetargowymi. Jak w wielu sektorach oficjalnej gospodarki następuje transformacja polegająca na przejściu od filozofii „produktów i narzędzi” do zorientowania na usługi i tworzenia rozwiązań – w tym przypadku złośliwych kampanii, wręcz „pod klucz”. Grupy cyberprzestępcze stosują techniki komercyjne przypominające te używane przez prawdziwe firmy.

Żyjemy w erze Ransomware-as-a-Service i Malware-as-a-Service. Dane karty kredytowej można nabyć za 10 dolarów, identyfikatory logowania są dostępne w cenach od 100 do 1000 dolarów, a złośliwe oprogramowanie za kilkadziesiąt lub setki dolarów. Topowym towarem są np. wady dnia zerowego, które mogą zmienić właściciela za niebagatelną cenę od 500 000 do 2 milionów dolarów. Oczywiście ceny są pokłosiem potencjalnych zysków, jakie można uzyskać. Co więcej możliwe jest wykupienie subskrypcji na regularny dostęp do poszczególnych metod ataków. Oferowane są zniżki i promocje, takie jak na przykład: „kup 11 miesięcy, jeden gratis”, których uzupełnieniem jest obsługa posprzedażowa

Aleksander Kostuch
ekspert Stormshield

Przeprowadzając wystarczającą liczbę prostych ataków – pociągających za sobą stosunkowo minimalne koszty operacyjne i infrastrukturalne – cyberprzestępcy mogą osiągnąć duże zyski. Według Deloitte, cyberatak kosztujący 34 dolary miesięcznie, może przynieść zysk w wysokości nawet 25 000 dolarów. Ogromna dysproporcja nakładów i korzyści przekłada się na rosnące możliwości przestępców, którzy nie stronią od działań skierowanych do pracowników firm, o których myślą jako o potencjalnych ofiarach swoich działań. W 2021 r. członkowie grupy LAPSUS$ regularnie zamieszczali w sieci Reddit oferty łapówek skierowanych do grup pracowników, którzy potencjalnie mogliby zarabiać w zamian za udostępnienie możliwości dostępu do sieci wewnętrznych ich organizacji.

Jak się bronić?

W odpowiedzi na coraz bardziej zorganizowane i wręcz uprzemysłowione zagrożenia, firmy i instytucje muszą szukać skutecznych środków zaradczych. Zdaniem ekspertów niezmiennie najlepszym możliwym rozwiązaniem, jest stawianie barier przed atakującymi w celu ich „zniechęcenia” oraz uświadomienie, że koszty cyberataku przewyższą jego potencjalne korzyści. Jednak nawet rosnąca wśród przedsiębiorców świadomość konieczności wdrażania rozwiązań zapewniających bezpieczeństwo nie sprawi, że problem ransomware zniknie.

W tym kontekście budzącą dyskusję i wątpliwości kwestią jest płacenie okupów. We Francji, zgodnie z oficjalnym stanowiskiem władz francuskich, agencja ANSSI zaleca by nie płacić okupów. Ale ta zasada nie zawsze jest łatwa do przestrzegania w praktyce. Według doniesień jednej z francuskich gazet, w 2020 r. żandarmeria narodowa zaangażowała się w negocjacje dotyczące okupu oczekiwanego przez przestępców od międzynarodowej firmy transportowej.

Firma będąca ofiarą, stojąc wobec perspektywy utraty milionów euro w efekcie zatrzymania jej działalności operacyjnej, zdecydowała się zapłacić. Dzięki informacjom zebranym przez policję podczas negocjacji udało się schwytać sprawców

Aleksander Kostuch
ekspert Stormshield

Okup to podstawowe narzędzie w rękach przestępców. Czy zatem w takiej sytuacji jednym z zawodów przyszłości będzie „negocjator cyberokupów”, który w sytuacji ataku ransomware pełniłby rolę pośrednika między firmami, a cyberprzestępcami? Jego rola nie ograniczałaby się jedynie do negocjowania z hakerami. Istotnym elementem byłaby pomoc ofiarom w koordynowaniu działań podejmowanych w reakcji na atak, tak aby ułatwić im przejście przez to doświadczenie.

Rozważania wśród ekspertów zajmujących się tematyką cyberbezpieczeństwa obejmują również ten aspekt. Negocjacje z cyberprzestępcami są bardzo kontrowersyjne. Tworzą ułudę, że nasza pozycja jest mocniejsza, a w rzeczywistości wszystkie atuty posiada druga strona

Aleksander Kostuch
ekspert Stormshield

Czy negocjacje powinny być zakazane? Próbując odpowiedzieć na to pytanie, prokuratura w Paryżu powołała sekcję ds. cyberprzestępczości, której celem jest uniemożliwienie takim pośrednikom czerpania korzyści z ransomware, jak wyjaśnił kapitan Paul-Alexandre Gillot podczas forum FIC 2021. Kwestia ich zakazu została postawiona wtedy… i od tamtego czasu to pytanie cały czas jest stawiane.

Warto cały czas pamiętać, że nie ma czegoś takiego jak maksymalne cyberbezpieczeństwo systemu, w którym nie można zhakować witryny, a wady są wykrywane z wyprzedzeniem. Dlatego cały czas musimy podejmować wysiłki, by stawiać jak najlepsze bariery chroniące sieci i zasoby organizacji. Celem tego działania jest jak największe zniechęcenie przestępców i dążenie do sytuacji, w której koszt cyberataku pozostanie wyższy niż jego potencjalne korzyści

Aleksander Kostuch
ekspert Stormshield

Piotr Zielaskiewicz
product manager STORMSHIELD

Masz pytania?
Skontaktuj się ze mną:
zielaskiewicz.p@dagma.pl
32 259 11 38