È 2018, e professionisti della sicurezza in tutto il mondo sono in stand-by, in attesa per la prossima grande ondata di attacchi ransomware per fare landfall. Secondo Symantec ransomware 2017 rapporto, il numero di infezioni ransomware è in continuo aumento. Durante la prima metà di 2017, 42% di ransomware organizzazioni attacchi mirati – dal 30% in 2016.
Sfortunatamente, non esiste una formula universale che può essere utilizzato per contrastare l'aumento atteso nelle infezioni ransomware. Dopotutto, l'esecuzione di ransomware è solitamente iniziata a seguito di errore umano. E 'per molti versi un gioco del gatto col topo. Come tale, dobbiamo sempre cercare di stare davanti al gioco.
Così, quali sviluppi sono suscettibili di traspirare in 2018?
Ransomware-as-a-service (RAAS)
Ransomware-as-a-service (RAAS) dà hacker alle prime armi l'occasione per lanciare i propri attacchi ransomware praticamente senza competenze tecniche. Gli aspiranti criminali possono accedere a un portale RaaS, di solito sul buio web, dove si possono personalizzare e configurare il loro impiego. E 'stato detto che l'aumento di RaaS era in gran parte responsabile per il picco di attacchi ransomware scorso anno. Per esempio, SonicWall ha riportato una sconcertante 638 milioni di attacchi ransomware in 2016. Questo è più di 167 volte il numero di attacchi in 2015.
Gli attacchi contro il settore sanitario
La recente attacco ransomware su Allscripts Healthcare Solutions Inc, che include 2,500 ospedali, è costato uno migliaia di dollari in ospedale, e colpiti 1,500 clienti. Secondo un medico, “E 'davvero praticamente chiuso le cose nei nostri uffici.” Il settore sanitario è ancora un obiettivo primario per i cyber-criminali per una serie di motivi. In primo luogo, fornitori di servizi sanitari in possesso di un sacco di dati personali importanti. In secondo luogo, molti ospedali hanno budget relativamente limitate e quindi non hanno le risorse per investire in personale formazione e mantenere i loro sistemi di up-to-date.
Secondo 2016 Industria Sanità Annual Cybersecurity Relazione, più di 75% di tutto il settore sanitario è stato infettato da malware durante 2016. Anche, secondo un recente articolo pubblicato da Healthcaredive, il settore sanitario è stato vittima di 88% di tutti gli attacchi ransomware negli Stati Uniti. E 'stato anche suggerito che una delle ragioni per cui il settore sanitario attira un sacco di cyber-criminali è perché i fornitori di servizi tendono ad essere più propensi a pagare il riscatto che in altri settori.
Le infezioni si diffonderanno più rapidamente e facilmente
Se un utente malintenzionato è in grado di crittografare i file presenti sul dispositivo della vittima, avrebbe senso per loro di estrarre prima quanti più dati possibile dal dispositivo prima di iniziare il processo di crittografia. Questo è esattamente ciò che i ceppi più recenti di ransomware do. Per esempio, alcuni tipi di ransomware scansione del dispositivo della vittima per gli indirizzi email che possono essere utilizzati per avviare ulteriori attacchi. Alcuni cercano di rubare le credenziali, estrarre le informazioni sul dispositivo – tra cui la chiave di sistema operativo Windows – e inviare queste informazioni di nuovo al loro C&Server C. Ci sono state anche recenti cyber-attacchi in cui l'attaccante è stato in grado di rubare le credenziali per TeamViewer, che ha permesso loro di creare un collegamento remoto con la rete per perdere informazioni ancora più sensibili. E 'probabile che la maggior parte, se non tutti gli attacchi ransomware in futuro, tenterà di raccogliere quanti più dati possibile prima di crittografia avviene.
L'ascesa di Linux ransomware
Linux sta diventando un sistema operativo sempre più popolare. Tuttavia, si coglie ancora una parte relativamente piccola quota di mercato rispetto a Windows. Come tale, fino a tempi recenti, Linux ransomware era praticamente inesistente. Mentre sempre più aziende iniziano a usare Linux, stiamo assistendo a un aumento del numero di ceppi ransomware Linux, come gli hacker testare l'acqua per vedere che tipo di rendimenti può essere raggiunto.
Un esempio recente di un attacco di ransomware basato su Linux ha avuto luogo nel giugno 10, 2017, in cui una società di hosting della Corea del Sud chiamato Nayana, cadde vittima di un attacco che ha colpito ransomware 153 server Linux. Questa variante ransomware è stato chiamato “Erebus”, ed è uno dei molti ceppi che colpiscono il sistema operativo Linux, tra cui Linux.Encoder, Encryptor RAAS, una versione di KillDisk, Rex, Fairware, e KimcilWare.
Ransomware verrà utilizzato come una cortina fumogena
attacchi Smokescreen sono utilizzati come esca per coprire anche le forme più sofisticate e dannose di attacco. Tradizionalmente, negazione del servizio (DDoS) gli attacchi sono stati utilizzati come cortine di fumo per distrarre l'attenzione mentre altre attività dannose hanno avuto luogo. Tuttavia, ransomware sta diventando sempre più favorevole per questo scopo.
L'ascesa del ransomware Fileless
Fileless ransomware sta diventando sempre più popolare. Ciò che rende Fileless ransomware così fastidioso è che è molto difficile da individuare utilizzando il software antivirus, sandboxing, AI, o qualsiasi altro metodo basate sulle firme, come il programma ransomware non è scritto su disco. Invece, è scritto nella memoria utilizzando gli strumenti della riga di comando native come PowerShell. Questa tecnica permette di cyber-criminali per utilizzare il programma maligno di raccogliere quanti più dati possibili, senza farsi notare, prima della cifratura dei file della vittima.
attacchi ransomware in Internet delle cose (IoT)
E 'probabile che il numero di attacchi sui dispositivi IoT salirà in 2018. C'è un numero crescente di dispositivi IoT entrare nel mercato, che vanno da smartwatches al PET alimentatori, auto intelligenti, e lavastoviglie. Tuttavia, hacker probabilmente concentrerà su dispositivi internet degli oggetti industriali come dispositivi medici, sensori di traffico, e anche le reti elettriche. Molti di questi dispositivi non immagazzinare grandi quantità di dati personali, e possono essere facilmente ripristinare i dati dovrebbe essere criptato con ransomware; tuttavia, attacchi a tali dispositivi potrebbero potenzialmente essere molto dirompente.
La differenza fondamentale tra IoT ransomware e ransomware tradizionale è che gli aggressori si concentrerà sulla prevenzione un dispositivo di funzionare in un punto critico nel tempo. In tal modo, l'hacker può richiedere che il pagamento viene effettuato entro un breve lasso di tempo, al fine di permettere al dispositivo di funzionare nuovamente.
Secondo ricerca effettuata da Tech Pro in 2016, 38% delle aziende intervistate hanno dichiarato di essere attualmente utilizzano dispositivi IoT, e un altro 30% hanno detto che stavano progettando di adottare dispositivi di internet degli oggetti in un prossimo futuro.
Tra le aziende che attualmente utilizzano dispositivi IoT, la maggior parte già utilizzare più metodi di sicurezza (tra cui la crittografia) per proteggere i dati memorizzati su questi dispositivi. I dispositivi di internet degli oggetti che sono i più popolari sono sensori ambientali, che le aziende utilizzare per raccogliere i dati al fine di migliorare i propri prodotti e monitorare l'allocazione delle risorse.
La minaccia di comunicazione al pubblico
Come sono sicuro che si possa immaginare, per alcune persone la minaccia di comunicazione al pubblico aumenterà notevolmente le probabilità di loro che pagano il riscatto. Le persone sono naturalmente consapevole circa le informazioni che memorizzano sui propri dispositivi, che possono includere foto personali, video, e messaggi. Ma non sono solo gli individui che rischiano di pagare il riscatto a causa della minaccia di comunicazione al pubblico, ma anche molte organizzazioni.
Secondo un sondaggio di 150 I professionisti IT che sono stati vittima di un attacco di ransomware, solo 5% degli intervistati affermano che hanno pagato il riscatto. Ciò è in gran parte dovuto al fatto che molte organizzazioni stanno prendendo regolarmente il backup dei propri dati sensibili. Questo suggerisce che ci sarà probabilmente un aumento del numero di attacchi ransomware che portano la minaccia di comunicazione al pubblico, al fine di aumentare la probabilità che le aziende pagheranno il riscatto.
Più ampia adozione di rilevamento ransomware e software per la prevenzione
Con attacchi ransomware in evoluzione e sempre più nella regolarità, Mi aspetto di vedere molto più interesse a 2018 nel software di rilevamento e prevenzione. Sfortunatamente, come ransomware è dovuto principalmente ad errori umani, impedendo ransomware da ottenere sempre nei vostri sistemi è difficile. Tuttavia, ci sono modi per limitare i danni che un tale attacco può provocare. Anni passati, tale software era troppo costoso e complesso per la maggior parte delle organizzazioni mid-market e piccole.
Per fortuna, i tempi sono cambiati, e ci sono numerose soluzioni sul mercato che mirano a rilevare la diffusione ransomware nel file server. Come software utilizza avvisi di soglia-based per rendervi consapevoli di quando un gran numero di cambiamenti si verificano nel corso di un piccolo periodo di tempo (che potrebbe essere un indicatore di file che vengono crittografati). Uno script definito dall'utente può essere eseguito automaticamente al rilevamento di questo evento per eseguire innumerevoli azioni, tra cui spegnere il server coinvolti.
Nota del redattore:
Di tanto in tanto, SensorsTechForum dispone ospite articoli di sicurezza informatica e leader INFOSEC e gli appassionati, come questo post. Le opinioni espresse in questi guest post, tuttavia, sono del tutto quelle dell'autore contribuire, e non può riflettere quelle di SensorsTechForum.
