Wiadomości

O reagowaniu na incydent mówimy, gdy ma miejsce zdarzenie związane z naruszeniem bezpieczeństwa i firmy wzywają zespół specjalistów w celu ograniczenia szkód lub zapobiegnięcia rozprzestrzenianiu się ataku. W firmie Kaspersky reagowanie na incydenty jest zarezerwowane dla średnich i dużych firm i zajmuje się nim specjalny dział - Global Response Emergency Team (GERT). Od stycznia do listopada 2021 r. niemal co drugi incydent obsługiwany przez zespół GERT był powiązany z oprogramowaniem ransomware (prawie 50% wszystkich zgłoszeń) - co stanowi wzrost o niemal 12% w porównaniu z 2020 r.

Jeśli chodzi o cyberbezpieczeństwo, oprogramowanie ransomware stało się w tym roku niekwestionowanym "bohaterem" nagłówków medialnych. Operatorzy ransomware udoskonalili swój arsenał, koncentrując się na mniejszej liczbie ataków na duże organizacje. Powstał nawet cały podziemny ekosystem wspierający działania cybergangów.

W pierwszych jedenastu miesiącach bieżącego roku odsetek incydentów związanych z ransomware, którymi zajmował się zespół GERT firmy Kaspersky, stanowił 46,7% wszystkich obsługiwanych zdarzeń (dla porównania: w 2020 i 2019 r. stanowił odpowiednio 37,9% i 34%). Najczęstsze cele tego rodzaju ataków stanowił sektor rządowy i przemysłowy. Łącznie ataki na te dwa sektory odpowiadały w 2021 r. za niemal połowę wszystkich zgłoszeń związanych z oprogramowaniem ransomware. Inne popularne cele obejmowały instytucje IT oraz finansowe.

Jednak gdy operatorzy ransomware zaczęli żądać wyższych okupów oraz atakować znane cele, spotkali się z rosnącą presją ze strony polityków oraz organów ścigania - co zmusiło ich do zwiększenia skuteczności ataków. W efekcie eksperci z firmy Kaspersky zaobserwowali dwa istotne trendy, które zyskają na popularności w nadchodzącym roku. Po pierwsze, gangi ransomware będą prawdopodobnie częściej tworzyły linuksowe kompilacje ransomware w celu zmaksymalizowania powierzchni ataków. Miało to już miejsce w przypadku takich ugrupowań jak RansomExx czy DarkSide. Ponadto operatorzy ransomware zaczną koncentrować się w większym stopniu na "szantażu finansowym". Ma on miejsce wtedy, gdy operatorzy ransomware grożą ujawnieniem informacji na temat firm, które są w trakcie krytycznych procesów finansowych (np. dokonywanie fuzji lub przejęcia, planowanie wejścia na giełdę), w celu zaniżenia wartości ich udziałów. Firmy, które znajdują się w tak wrażliwej sytuacji finansowej, są bardziej skłonne zapłacić okup.

W 2020 roku zaczęliśmy mówić o tzw. ransomware 2.0. Rozwój sytuacji w 2021 r. wskazuje na to, że ta nowa era ransomware nabiera rozpędu. Operatorzy ransomware nie ograniczają się do szyfrowania danych - zamiast tego kradną je dużym organizacjom o krytycznym znaczeniu i grożą ujawnieniem danych, jeśli nie dostaną okupu. Co więcej, ransomware 2.0 nie zniknie w przyszłym roku - powiedział Władimir Kuskow, szef działu badań związanych z cyberzagrożeniami w firmie Kaspersky.

Jednocześnie, po tym jak ataki ransomware trafiły do nagłówków mediów, organy ścigania ciężko pracują nad rozbijaniem tego rodzaju cyberugrupowań - co mogliśmy obserwować w tym roku w przypadku ugrupowań DarkSide oraz Revil. Cykl życia takich ugrupowań ulega skróceniu, co oznacza, że będą one zmuszone udoskonalić swoje taktyki w 2022 r. w celu utrzymania dochodowości swoich działań, zwłaszcza gdy pewne rządy zdelegalizują płacenie okupów - o czym już się dyskutuje - dodał Fiedor Sinicyn, ekspert ds. cyberbezpieczeństwa w firmie Kaspersky.

źródło: Kaspersky