Η πανδημία των ransomware συνεχίζεται

in Ειδήσεις 04/06/2021, 14:19 0

“Ransomware Pandemic”: Τάσεις και Σχόλια σχετικά με το Ransomware Group που θεωρείται υπεύθυνο για την επίθεση στη JBS

Σε συνέχεια των ransomware επιθέσεων στις Massachusetts Streamline Authority και JBS, το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR) επικοινωνεί τα στοιχεία που έχει συλλέξει σχετικά με τη ρωσική ομάδα ransomware, Revil, που θεωρείται υπεύθυνη για τελευταίες ransomware επιθέσεις και τα τελευταία νούμερα όσον αφορά τις ransomware τάσεις στον κόσμο και την Ελλάδα.

  • Η Revil είναι γνωστή για τη χρήση της τεχνικής διπλού εκβιασμού και τη συνεργασία με χάκερς
  • Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR) ανακάλυψε σε ένα υπόγειο ρωσικό φόρουμ τους “κανόνες εργασίας” της Revil, που συμπεριλαμβάνουν απαγόρευση στόχευσης εντός της CIS (ΚΑΚ), συμπεριλαμβανόμενης της Ουκρανίας
  • Το 102% αγγίζει η παγκόσμια αύξηση σε οργανισμούς που επηρεάζονται από το ransomwareφέτος, σε σύγκριση με τις αρχές του 2020
  • 52% αύξηση παρουσιάζουν οι κυβερνοεπιθέσεις στην Ελλάδα φέτος, σε σύγκριση με τις αρχές του 2020

Στοιχεία για το Revil Group

Η ρωσική ομάδα ransomware Revil  είναι μια από τις πιο σημαντικές οικογένειες ransomware στον πλανήτη και είναι υπεύθυνη για δεκάδες σημαντικές παραβιάσεις από το 2019. Ένας από τους βασικούς παράγοντες που οδήγησαν στην επιτυχία της είναι η χρήση της τεχνικής Double Extortion, μια τεχνική όπου οι απειλητικοί παράγοντες κλέβουν δεδομένα από οργανισμούς και επιπλέον  προχωρούν σε κρυπτογράφηση αρχείων. Αυτό σημαίνει ότι, καθώς όχι μόνο απαιτούν λύτρα για την αποκρυπτογράφηση δεδομένων, αλλά μπορούν σε δεύτερο χρόνο να απειλήσουν με διαρροή  των κλεμμένων πληροφοριών, εάν δεν πραγματοποιηθεί εκ νέου πληρωμή.
Η Revil είναι επίσης γνωστή για τη συνεργασία της με εξελιγμένους χάκερς, οι οποίοι είναι υπεύθυνοι για την παραβίαση νέων στόχων, την εκροή δεδομένων και την κρυπτογράφηση δικτύων.  Με τη σειρά του, ο όμιλος Revil παρέχει σε αυτούς το ίδιο το ransomware, τον ιστότοπο διαρροής και όλα όσα σχετίζονται με τα χρήματα: από τη διαπραγμάτευση έως την πληρωμή. Σε ευρύτερη κλίμακα, η ομάδα ransvware Revil ανακοίνωσε τον Φεβρουάριο του 2021 ότι πρόσθεσε δύο στάδια στο σχήμα Double Extortion: επιθέσεις DDoS και τηλεφωνικές κλήσεις στους συνεργάτες των εταιρειών-θύματα και στα μέσα ενημέρωσης. Η ομάδα προσφέρει τώρα στους συνεργαζόμενους μαζί της χάκερς, επιθέσεις DDoS και φωνητικές κλήσεις VOIP σε δημοσιογράφους και συνεργάτες ως δωρεάν υπηρεσία, κάτι που έχει σχεδιαστεί για να ασκήσει περαιτέρω πίεση στην εταιρεία-θύμα για να ανταποκριθεί στις απαιτήσεις λύτρων εντός του καθορισμένου χρόνου.
Τον Απρίλιο του 2021, η Revil παρουσίασε τη χρήση αυτού που αποκαλούμε τεχνική Triple Extortion. Αυτή τη φορά η συμμορία παραβίασε με επιτυχία την Quanta Computer, μια εξέχουσα  κατασκευάστρια εταιρεία πρωτότυπου σχεδιασμού φορητών υπολογιστών (ODM) με έδρα την Ταϊβάν και επιχειρηματικού συνεργάτη της Apple. Μετά την ransomware επίθεση, της ζητήθηκε πληρωμή περίπου 50 εκατομμυρίων δολαρίων, μαζί με την προειδοποίηση ότι το ποσό θα διπλασιαστεί αν δεν καταβληθεί εγκαίρως. 
Δεδομένου ότι η εταιρεία αρνήθηκε να επικοινωνήσει  μαζί τους, οι επιτιθέμενοι προχώρησαν σε εκβιασμό της Apple απευθείας, απαιτώντας από αυτήν να επαναγοράσει σχέδια των προϊόντων της που βρέθηκαν στο δίκτυο της Quanta Computer. Περίπου μια εβδομάδα αργότερα, η Revil περιέργως αφαίρεσε τα σχέδια της Apple από τον επίσημο ιστότοπο της διαρροής δεδομένων. Μετά την ransomware επίθεση της DarkSide στην Colonial Pipeline και την διεθνή πίεση επιβολής του νόμου που την ακολούθησε, μεγάλες υπόγειες ρωσικές κοινότητες απαγόρευσαν τη μελλοντική προώθηση έργων θυγατρικών ransomware όπως η Revil. Κάτι που αναμένεται να δούμε πως θα επηρεάσει τις ransomware δραστηριότητες όπως της Revil στο μέλλον.

Εργασιακοί κανόνες της Revil

Μια ανάρτηση από τον Ιούλιο του 2019 που βρέθηκε σε υπόγεια ρωσικά φόρουμ από τη Revil αναφέρει τους κανόνες εργασίας σε αυτή, που συμπεριλαμβάνουν την απαγόρευση στόχευσης στην CIS (ΚΑΚ), συμπεριλαμβανομένης της Ουκρανίας.

https://media.kasperskycontenthub.com/wp-content/uploads/sites/43/2021/05/11120948/Ransomware_world_in_2021_04.png

Source: Kaspersky

Τρέχοντα Στοιχεία

Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPRδημοσιεύει τα τελευταία στοιχεία που αφορούν στις επιθέσεις τύπου ransomware παγκοσμίως, αναφέροντας παγκόσμια αύξηση 102% αγγίζει σε οργανισμούς που επηρεάζονται από το ransomwareφέτος, σε σύγκριση με τις αρχές του 2020

  • Νέα ransomware απειλή: Triple Extortion
  •  1,000 οργανισμοί impacted by ransomware each week on average in Q2 επηρεάζονται από το ransomware κάθε εβδομάδα – κατά μέσο όρο – το 2ο τρίμηνο του 2021
  • Οι κλάδοι που δέχτηκαν επίθεση ως επι το πλείστον είναι ηυγειονομική περίθαλψη (109 επιθέσεις / εβδομάδα κατά μέσο όρο), οι υπηρεσίες κοινής ωφελείας (59  επιθέσεις ανά εβδομάδα κατά μέσο όρο) και η ασφάλιση / νομική (34 επιθέσεις / εβδομάδα κατά μέσο όρο)
  • Οι περιοχές με τις περισσότερες επιθέσειςείναι οι AsiaPacific (APAC) χώρες (51 επιθέσεις / εβδομάδα κατά μέσο όρο), η Βόρεια Αμερική (29 επιθέσεις / εβδομάδα κατά μέσο όρο) και ακολουθεί η Ευρώπη (14 επιθέσεις / εβδομάδα κατά μέσο όρο)

To CPR εξέδωσε τα τελευταία δεδομένα και τις τάσεις σχετικά με την τρέχουσα παγκόσμια κατάσταση του ransomware, μετά την κυβερνοεπίθεση στον στον αγωγό αερίου Colonial
στις ΗΠΑ.

Το Ransomware επηρεάζει 1.000 οργανισμούς κάθε εβδομάδα

Από τις αρχές Απριλίου, το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR)  βλέπει κατά μέσο όρο πάνω από 1.000 οργανισμούς να επηρεάζονται από επιθέσεις τύπου ransomware κάθε εβδομάδα. Τα στατιστικά στοιχεία ακολουθούν τις σημαντικές αυξήσεις στον αριθμό των επηρεαζόμενων οργανισμών μέσα στο 2021 – 21% το πρώτο  τρίμηνο και 7% το δεύτερο τρίμηνο – καταλήγοντας στο εντυπωσιακό 102% συνολική αύξηση σε οργανισμούς που επηρεάζονται από τη Ransomware σε σύγκριση με τις αρχές του 2020

Περισσότερο βαλλόμενοι κλάδοι Υγειονομική περίθαλψη, Υπηρεσίες κοινής ωφελείας, Ασφάλιση

Οι τομείς που αντιμετωπίζουν επί του παρόντος τον υψηλότερο όγκο επιθέσεων τύπου ransomware παγκοσμίως από τον Απρίλιο είναι η υγειονομική περίθαλψη, με μέσο όρο 109  επιθέσεις ανά οργανισμό κάθε εβδομάδα, ακολουθούμενη από τις εταιρείες κοινής ωφέλειας με 59 και τις ασφάλειες / νομικές με 34.

Περιοχές που επλήγησαν περισσότερο

Οι οργανισμοί στις AsiaPacific (APAC) χώρες  βιώνουν επί του παρόντος τον υψηλότερο όγκο επιθέσεων ransomware, όπως φαίνεται στον παρακάτω πίνακα, με 51 επιθέσεις / εβδομάδα κατά μέσο όρο. Στη δεύτερη θέση είναι η Βόρεια Αμερική, με 29 επιθέσεις / εβδομάδα κατά μέσο όρο ανά οργανισμό, ακολουθούμενη από την Ευρώπη και τη Λατινική Αμερική με 14 και την Αφρική με κατά μέσο όρο 4 εβδομαδιαίες επιθέσεις ανά οργανισμό.

Νέα απειλή RansomwareTriple Extortion Οι επιθέσεις που έχουν πραγματοποιηθεί στα τέλη του 2020 και στις αρχές του 2021 οδηγούν σε μια νέα σειρά επιθέσεων – ουσιαστικά στην επέκταση της τεχνικής ransomware διπλού εκβιασμού που ενσωματώνει μια πρόσθετη, ιδιαίτερη απειλή στη διαδικασία – που ονομάζουμε Triple Extortion.

Πώς να αποτρέψετε μια επίθεση Ransomware

  1. Αυξήστε την ασφάλειά σας κατά το σαββατοκύριακο και την περίοδο διακοπών
  2. Προχωρήστε στις τελευταίες ενημερώσεις κώδικα
  3. Εγκαταστήστεanti-ransomware
  4. Εκπαιδεύστε τους συνεργάτες σας
  5. Προσοχή στο κακόβουλο λογισμικό που επιτρέπι την είσοδο στο ransomware

ΓΕΝΙΚΑ ΣΤΟΙΧΕΙΑ ΚΥΒΕΡΝΟΕΠΙΘΕΣΕΩΝ ΣΤΗΝ ΕΛΛΑΔΑ

  • Ένας οργανισμός δέχεται επίθεση κατά μέσο όρο 477 φορές την εβδομάδα τους τελευταίους 6 μήνες στην Ελλάδα
  • Σε σύγκριση με τον Μάιο του 2020, παρατηρούμε αύξηση 52% στον αριθμό των κυβερνοεπιθέσεων στην Ελλάδα
  • Το κορυφαίο κακόβουλο λογισμικό στην Ελλάδα είναι το Agenttesla, επηρεάζοντας το 176% των οργανισμών.

Δήλωση του Βασίλη Νικολόπουλου Security Engineering Team Leader στην Check Point SoftwareTechnologies: «Πέρυσι, επινοήσαμε τον όρο cyber pandemic για αυτό που πιστεύαμε ότι θα ήταν ένα κύμα επιθέσεων που θα ακολουθούσε την πανδημία του κοροναϊού. Με την άφιξή της διαπιστώνουμε πως ήρθε με τη μορφή του ransomware και ότι είμαστε σαφώς στα μισά μιας «πανδημίας ransomware». Μέχρι τώρα, οι επιθέσεις διαδέχονται η μια την άλλη και κυριαρχούν στα πρωτοσέλιδα, από το case της Colonial Pipeline, έως αυτό της JBS και το πρόσφατο Massachusetts Steamhip Authority. Οι χάκερ επιτίθενται στα πάντα, από υποδομές φυσικού αερίου μέχρι και μεγάλα καταστήματα εστίασης  και φοβάμαι πως η κατάσταση απλά θα επιδεινωθεί, καθώς οι επιθέσεις τύπου ransomware φτάνουν σε μεγάλα νούμερα. Όσο οι οργανισμοί πληρώνουν τα λύτρα, τόσο περισσότερο χρηματοδοτούν τις R&D προσπάθειες ενός χάκερ για πιο εξελιγμένες επιθέσεις. Oι χάκερ πλέον xρησιμοποιούν την τεχνική του τριπλού εκβιασμού, και απειλούν όχι μόνο τους στόχους τους, αλλά τους πελάτες και τους συνεργάτες αυτού. Είναι ασφαλές να πούμε ότι το ransomware είναι πλέον μία από τις μεγαλύτερες απειλές που μπορεί να αντιμετωπίσει μια χώρα στις υποδομές της, όπως για παράδειγμα στην ενέργεια, στην ύδρευση κ.α.»

Tagged with:

Leave a Reply

Your email address will not be published. Required fields are marked *

*