Sus 2018, y profesionales de la seguridad en todo el mundo están a la espera, Esperando la siguiente oleada de ataques ransomware que toque tierra. De acuerdo con ransomware de Symantec 2017 informe, el número de infecciones ransomware sigue aumentando. Durante la primera mitad de 2017, 42% de las organizaciones de los ataques dirigidos ransomware – desde 30% en 2016.
Desafortunadamente, no existe una fórmula universal que puede ser utilizado para frustrar el aumento esperado en las infecciones ransomware. Después de todo, la ejecución de ransomware se inicia generalmente como resultado de errores humanos. Es en muchos aspectos, un juego del gato y el ratón. Tal como, siempre hay que tratar de mantenerse por delante del juego.
Así, ¿Qué desarrollos son propensos a ocurrir en 2018?
Ransomware-as-a-service (RAAS)
Ransomware-as-a-service (RAAS) da a los hackers novatos la oportunidad de lanzar sus propios ataques ransomware prácticamente sin conocimientos técnicos. Los aspirantes a los delincuentes pueden iniciar sesión en un portal de RaaS, por lo general en la web oscura, donde pueden personalizar y configurar su despliegue. Se ha dicho que el aumento de RaaS fue en gran parte responsable de la subida de los ataques ransomware año pasado. Por ejemplo, SonicWall informó un asombroso 638 millones de ataques en ransomware 2016. Eso es más de 167 veces el número de ataques en 2015.
Ataques a la industria de la salud
La reciente ataque ransomware en Allscripts Healthcare Solutions Inc, que incluye 2,500 hospitales, ha costado a uno miles de dólares de hospital, y afectados 1,500 clientela. De acuerdo con un médico, “Es realmente más o menos cerrada cosas en nuestras oficinas.” La industria de la salud sigue siendo un objetivo prioritario para los ciberdelincuentes para una serie de razones. Primeramente, proveedores de servicios de cuidado de la salud tienen una gran cantidad de valiosos datos personales. En segundo lugar, Muchos hospitales tienen presupuestos relativamente limitados y por lo tanto no tienen los recursos para invertir en formación y miembros del personal de mantenimiento de sus sistemas de hasta al día.
De acuerdo con la 2016 Anual de la Industria Salud Informe sobre Ciberseguridad, más que 75% de toda la industria de la salud ha sido infectado con malware durante 2016. También, de acuerdo con un reciente artículo publicado por Healthcaredive, la industria de la salud fue víctima de 88% de todos los ataques ransomware en EE.UU.. También se ha sugerido que parte de la razón por la cual la industria de la salud atrae a muchos de los ciberdelincuentes se debe a que los proveedores de servicios tienden a ser más propensos a pagar el rescate que en otras industrias.
Las infecciones se extenderán más rápida y fácilmente
Si un atacante es capaz de cifrar los archivos en el dispositivo de la víctima, que tendría sentido para ellos para extraer primera tantos datos como sea posible desde el dispositivo antes de iniciar el proceso de cifrado. Esto es exactamente lo cepas nuevas de ransomware hacen. Por ejemplo, algunos tipos de ransomware análisis del dispositivo de la víctima para direcciones de correo electrónico que se pueden utilizar para iniciar nuevos ataques. Algunos tratan de robar las credenciales, extraer información sobre el dispositivo – incluyendo la clave del sistema operativo Windows – y enviar esta información a sus C&Servidores C. También ha habido recientes ataques cibernéticos donde el atacante fue capaz de robar las credenciales de TeamViewer, lo que les permitió establecer una conexión remota con la red con el fin de filtrar información aún más sensible. Es probable que la mayoría, si no todos los ataques ransomware en el futuro, intentará cosechar tantos datos como sea posible antes de la encriptación se lleva a cabo.
El aumento de ransomware Linux
Linux se está convirtiendo en un sistema operativo cada vez más popular. Sin embargo, todavía capta una parte relativamente pequeña del mercado en comparación con Windows. Tal como, hasta tiempos recientes, ransomware Linux era prácticamente inexistente. A medida que más empresas comienzan a utilizar Linux, estamos viendo un aumento en el número de cepas ransomware Linux, ya que los hackers analizan el agua para ver qué tipo de beneficios se puede lograr.
Un ejemplo reciente de un ataque basado en Linux ransomware se llevó a cabo de junio 10, 2017, donde una empresa de alojamiento de Corea del Sur llama nayana, fue víctima de un ataque que afectó ransomware 153 servidores Linux. Esta variante se llamó ransomware “Tinieblas Eternas”, y es una de las muchas cepas que se dirigen al sistema operativo Linux, incluyendo Linux.Encoder, Encryptor RAAS, una versión de KillDisk, Rex, Fairware, y KimcilWare.
Ransomware será utilizado como una cortina de humo
ataques cortina de humo se utilizan como señuelo para encubrir formas aún más sofisticados y maliciosos de ataque. Tradicionalmente, negación de servicio (DDoS) ataques fueron utilizados como cortinas de humo para distraer la atención mientras que las actividades se llevaron a cabo más maliciosos. Sin embargo, ransomware se está convirtiendo cada vez más favorable para este fin.
El aumento de ransomware sin archivo
ransomware sin archivo se está convirtiendo cada vez más popular. Lo que lo hace sin archivo ransomware tan problemático es que es muy difícil de detectar el uso de software antivirus, caja de arena, AI, o cualquier otro método basados en firmas, como el programa de ransomware no se escribe en el disco. En lugar, se escribe en la memoria utilizando las herramientas nativas de línea de comandos como PowerShell. Esta técnica permite a los ciberdelincuentes a utilizar el programa malicioso para cosechar tantos datos como sea posible sin hacerse notar, antes de cifrar archivos de la víctima.
ransomware ataques en Internet de las Cosas (Yate)
Es probable que el número de ataques en los dispositivos IO se levantará en 2018. Hay un número creciente de dispositivos IO entrar en el mercado, que van desde smartwatches para acariciar alimentadores, coches inteligentes, y lavavajillas. Sin embargo, hackers probablemente se centrarán en los dispositivos IO industriales tales como dispositivos médicos, sensores de tráfico, e incluso las redes eléctricas. Muchos de estos dispositivos no almacenan grandes cantidades de información personal, y pueden ser fácilmente restablecer los datos debe ser encriptado con ransomware; sin embargo, ataques a estos dispositivos podrían ser potencialmente muy perjudicial.
La diferencia clave entre la IO ransomware y ransomware tradicional es que los atacantes se centrarán en la prevención de un dispositivo funcione en un punto crítico en el tiempo. Al hacerlo, el hacker puede solicitar que el pago se realiza dentro de un marco de tiempo corto, con el fin de permitir que el dispositivo funcione de nuevo.
De acuerdo a investigación llevado a cabo por Tech Pro en 2016, 38% de las empresas entrevistadas dijeron que actualmente estaban usando dispositivos IO, y otro 30% dijeron que estaban planeando adoptar dispositivos de IO en un futuro próximo.
De las empresas que actualmente utilizan los dispositivos IO, la mayoría ya utilizan varios métodos de seguridad (incluyendo cifrado) para proteger los datos almacenados en estos dispositivos. Los dispositivos IO que son los más populares son los sensores ambientales, que las empresas utilizar para recopilar datos con el fin de mejorar sus productos y controlar la asignación de recursos.
La amenaza de la divulgación pública
Como estoy seguro de que se pueda imaginar, para algunas personas la amenaza de la divulgación pública aumentará en gran medida las posibilidades de que el pago del rescate. La gente es naturalmente consciente de la información que almacenan en sus dispositivos, que puede incluir fotos personales, vídeos, y mensajes. Pero no son sólo los individuos que son propensos a pagar el rescate debido a la amenaza de la divulgación pública, pero también muchas organizaciones.
Según una encuesta de 150 Los profesionales de TI que han sido víctima de un ataque ransomware, sólo 5% de los encuestados afirman que pagaron el rescate. Esto se debe en gran parte al hecho de que muchas organizaciones están tomando copias de seguridad de sus datos sensibles. Esto sugiere que es probable que haya un aumento en el número de ataques ransomware que llevan la amenaza de la divulgación pública, con el fin de aumentar la posibilidad de que las empresas pagarán el rescate.
una adopción más amplia de la detección ransomware y software de prevención
Con ataques ransomware evolucionando y creciendo en la regularidad, Espero ver mucho más interés en 2018 en el software de detección y prevención. Desafortunadamente, como ransomware se debe principalmente a un error humano, la prevención de ransomware que no penetren en sus sistemas es difícil. Sin embargo, hay maneras de limitar el daño que un ataque de este tipo puede causar. Años pasados, dicho software era demasiado caro y complejo para la mayoría de las medianas y pequeñas del mercado.
Afortunadamente, los tiempos han cambiado, y hay numerosas soluciones en el mercado que tienen como objetivo detectar ransomware propagación en sus servidores de archivos. Tal software utiliza alertas basadas en umbrales para hacerle consciente de cuándo se producen un gran número de cambios durante un pequeño periodo de tiempo (lo que podría ser un indicador de archivos que se están encriptados). Una secuencia de comandos definidos por el usuario puede ser ejecutado de forma automática después de la detección de este evento para realizar innumerables acciones, incluyendo el cierre del servidor involucrados.
Nota del editor:
De vez en cuando, SensorsTechForum cuenta con artículos de la huésped de la seguridad cibernética y los líderes infosec y entusiastas como este post. Las opiniones expresadas en estos artículos como invitado, sin embargo, son exclusiva responsabilidad de su autor que contribuye, y pueden no reflejar las de SensorsTechForum.
