Está 2018, e profissionais de segurança em todo o mundo estão de prontidão, Aguardando a próxima grande onda de ataques ransomware para fazer a terra firme. De acordo com ransomware da Symantec 2017 relatório, o número de infecções ransomware continua a aumentar. Durante a primeira metade de 2017, 42% de ataques de ransomware direcionados a organizações – a partir de 30% no 2016.
Infelizmente, não existe uma fórmula universal que possa ser usada para impedir o aumento previsto de infecções por ransomware. Depois de tudo, a execução do ransomware geralmente é iniciada como resultado de erro humano. É de muitas maneiras um jogo de gato e rato. Assim sendo, devemos sempre tentar ficar à frente do jogo.
assim, quais desenvolvimentos provavelmente ocorrerão em 2018?
Ransomware-as-a-service (Raas)
Ransomware-as-a-service (Raas) oferece a hackers iniciantes a oportunidade de lançar seus próprios ataques de ransomware praticamente sem conhecimento técnico. Os criminosos em potencial podem fazer logon em um portal RaaS, geralmente na dark web, onde eles podem personalizar e configurar sua implantação. Foi dito que o aumento do RaaS foi o principal responsável pelo aumento nos ataques de ransomware no ano passado. Por exemplo, SonicWall relatou uma impressionante 638 milhões de ataques de ransomware em 2016. Isso é mais do que 167 vezes o número de ataques em 2015.
Ataques ao setor de saúde
UMA ataque recente de ransomware em Allscripts Healthcare Solutions Inc, que inclui 2,500 hospitais, custou um hospital milhares de dólares, e afetado 1,500 clientes. De acordo com um médico, "Realmente encerra as coisas em nossos escritórios". O setor de saúde ainda é o principal alvo dos cibercriminosos por várias razões. primeiramente, prestadores de serviços de saúde mantêm muitos dados pessoais valiosos. em segundo lugar, muitos hospitais têm orçamentos relativamente limitados e, portanto, não têm recursos para investir em treinar membros da equipe e manter seus sistemas atualizados.
De acordo com 2016 Relatório anual sobre segurança cibernética no setor de saúde, mais que 75% de todo o setor de saúde foi infectado com malware durante 2016. Além disso, de acordo com um artigo recente publicado pela Healthcaredive, o setor de saúde foi vítima de 88% de todos os ataques de ransomware nos EUA. Também foi sugerido que parte da razão pela qual o setor de saúde atrai muitos cibercriminosos é porque os prestadores de serviços tendem a ter mais chances de pagar o resgate do que em outros setores.
As infecções se espalharão mais rápida e facilmente
Se um invasor conseguir criptografar os arquivos no dispositivo da vítima, faria sentido extrair o máximo de dados possível do dispositivo antes de iniciar o processo de criptografia. É exatamente isso que as novas linhagens de ransomware fazem. Por exemplo, alguns tipos de ransomware examinam o dispositivo da vítima em busca de endereços de e-mail que podem ser usados para iniciar novos ataques. Alguns procuram roubar credenciais, extrair informações sobre o dispositivo – incluindo a chave do sistema operacional Windows – e envie essas informações de volta ao seu C&servidores C. Também houve ciberataques recentes em que o invasor conseguiu roubar credenciais para o TeamViewer, o que lhes permitiu estabelecer uma conexão remota com a rede para vazar informações ainda mais confidenciais. É provável que a maioria, se não todos os ataques de ransomware no futuro, tentará coletar o máximo de dados possível antes da criptografia.
A ascensão do ransomware Linux
Linux está se tornando um sistema operacional cada vez mais popular. Contudo, ele ainda captura uma participação relativamente pequena do mercado em comparação com o Windows. Assim sendo, até tempos recentes, O ransomware Linux era praticamente inexistente. À medida que mais empresas começam a usar o Linux, estamos vendo um aumento no número de cepas de ransomware do Linux, como hackers testam a água para ver que tipo de retorno pode ser alcançado.
Um exemplo recente de ataque de ransomware baseado em Linux ocorreu em junho 10, 2017, onde uma empresa de hospedagem sul-coreana chamada NAYANA, foi vítima de um ataque de ransomware que afetou 153 Servidores Linux. Essa variante de ransomware foi chamada “Érebo”, e é uma das muitas linhagens direcionadas ao sistema operacional Linux, incluindo Linux.Encoder, Encryptor RaaS, uma versão do KillDisk, Rex, Fairware, e KimcilWare.
O ransomware será usado como cortina de fumaça
Os ataques de cortinas de fumaça são usados como um engodo para encobrir formas de ataque ainda mais sofisticadas e maliciosas. Tradicionalmente, negação de serviço (DDoS) ataques foram usados como cortinas de fumaça para distrair a atenção enquanto outras atividades maliciosas aconteciam. Contudo, ransomware está se tornando cada vez mais favorável para esse fim.
A ascensão do ransomware Fileless
O ransomware sem arquivo está se tornando cada vez mais popular. O que torna o ransomware Fileless tão problemático é que é muito difícil detectar o uso de software antivírus, sandboxing, AI, ou qualquer outro método baseado em assinatura, como o programa ransomware não está gravado no disco. Em vez de, ele é gravado na memória usando ferramentas de linha de comando nativas, como o PowerShell. Essa técnica permite que criminosos cibernéticos usem o programa malicioso para coletar o máximo de dados possível sem serem notados, antes de criptografar os arquivos da vítima.
Ataques de ransomware na Internet das Coisas (Internet das coisas)
É provável que o número de ataques a dispositivos IoT aumente em 2018. Há um número crescente de dispositivos de IoT entrando no mercado, variando de smartwatches a alimentadores de animais de estimação, carros inteligentes, e lava-louças. Contudo, os hackers provavelmente se concentrarão em dispositivos industriais de IoT, como dispositivos médicos, sensores de tráfego, e até redes elétricas. Muitos desses dispositivos não armazenam grandes quantidades de informações pessoais, e eles podem ser redefinidos facilmente caso os dados sejam criptografados com ransomware; Contudo, ataques a esses dispositivos podem ser potencialmente muito perturbadores.
A principal diferença entre o ransomware IoT e o ransomware tradicional é que os invasores se concentrarão em impedir que um dispositivo funcione em um momento crítico. Ao fazê-lo, o hacker pode solicitar que um pagamento seja feito dentro de um curto espaço de tempo, para permitir que o dispositivo funcione novamente.
De acordo com pesquisa realizada pela Tech Pro em 2016, 38% das empresas entrevistadas disseram que estavam usando dispositivos IoT, e outro 30% disseram que estavam planejando adotar dispositivos de IoT em um futuro próximo.
Das empresas que atualmente usam dispositivos de IoT, a maioria já usa vários métodos de segurança (incluindo criptografia) para proteger os dados armazenados nesses dispositivos. Os dispositivos IoT mais populares são sensores ambientais, quais empresas usam para coletar dados para melhorar seus produtos e monitorar a alocação de recursos.
A ameaça de divulgação pública
Como tenho certeza que você pode imaginar, para algumas pessoas, a ameaça de divulgação pública aumentará muito as chances de eles pagarem o resgate. As pessoas são naturalmente conscientes das informações que armazenam em seus dispositivos, que pode incluir fotos pessoais, vídeos, e mensagens. Mas não são apenas as pessoas que provavelmente pagam o resgate devido à ameaça de divulgação pública, mas também muitas organizações.
De acordo com uma pesquisa de 150 Profissionais de TI que foram vítimas de um ataque de ransomware, só 5% dos entrevistados afirmam que pagaram o resgate. Isso se deve principalmente ao fato de muitas organizações fazerem backups regulares de seus dados confidenciais. Isso sugere que provavelmente haverá um aumento no número de ataques de ransomware que carregam a ameaça de divulgação pública, para aumentar a chance de as empresas pagarem o resgate.
Maior adoção do software de detecção e prevenção de ransomware
Com os ataques de ransomware evoluindo e aumentando em regularidade, Espero ver muito mais interesse em 2018 em software de detecção e prevenção. Infelizmente, como ransomware é principalmente para erro humano, é difícil impedir que o ransomware entre em seus sistemas. Contudo, existem maneiras de limitar o dano que esse ataque pode causar. Anos se passaram, esse software era muito caro e complexo para a maioria das organizações de pequeno e médio porte.
agradecidamente, os tempos mudaram, e existem inúmeras soluções no mercado que visam detectar o ransomware espalhado em seus servidores de arquivos. Tal Programas utiliza alertas baseados em limites para informá-lo quando um grande número de alterações ocorre durante um pequeno período de tempo (o que poderia ser um indicador de arquivos sendo criptografados). Um script definido pelo usuário pode ser executado automaticamente após a detecção desse evento para executar inúmeras ações, incluindo desligar o servidor envolvido.
Nota do editor:
De tempos em tempos, O SensorsTechForum apresenta artigos de convidados de líderes e entusiastas de segurança cibernética e infosec, como este post. As opiniões expressas nestas mensagens de hóspedes, Contudo, são de inteira responsabilidade do autor contribuindo, e podem não refletir as de SensorsTechForum.
