Scéna ransomvéru je plná chaosu: útoky rastú, zločinci sa medzi sebou bijú a polícia pritvrdzuje. Napriek nárastu aktivít sa vyplatené výkupné znížilo, no riziko pre firmy neklesá. Pozreli sme sa na aktuálne čísla, taktiky útočníkov aj to, čo z trendov vyplýva pre obranu.
Ako sa útočníci zdokonaľujú
Gangy investujú do nástrojov, ktoré majú vyradiť ochranu na koncových staniciach. Vyvíjajú tzv. EDR “killery”, často so zneužitím zraniteľných ovládačov, ktoré si do systému sami prinesú a cez ne vypnú detekciu a odozvu. Rovnako radi zneužívajú nástroje na vzdialenú správu a monitoring – buď prinesú vlastné, alebo použijú tie, ktoré už v sieti obete bežia, aby získali prehľad a šírili sa ďalej.
Viditeľný je aj príklon k útokom bez šifrovania: útočníci “iba” kradnú dáta a vyhrážajú sa ich zverejnením. Pre obete to znamená reputačné riziko a potenciálne pokuty, pre útočníkov menej práce a rýchlejší tlak na zaplatenie. Tento posun neznižuje škody, skôr zvyšuje tlak na prevenciu únikov. Základom je obmedziť prístupy, sledovať anomálie a mať pripravené postupy na incidenty.
Zásahy, rivalita a nové hviezdy podsvetia
Polícia zasiahla proti veľkým hráčom ako LockBit a BlackCat a ich stránky na dark webe boli prelepené oznamami o zásahu. Samotné gangy dopad zľahčovali, no stratili dôveru “affiliate” partnerov, ktorí ich ransomware kupujú a nasadzujú. Aktivita LockBitu klesla oproti vrcholom, BlackCat to vzdal úplne a na stránkach s únikmi to vidno poklesom až na nulu. Aj keď zásahy neznamenajú koniec hrozby, ukazujú, že koordinovaná akcia má zmysel.
Medzitým vystrelil RansomHub, ktorý si získaval partnerov priaznivejšími podmienkami: afilianti inkasujú výkupné a službe odvádzajú 10 %, kým LockBit mal bežne 20 %. Bola to reakcia na predošlé “exit” podvody, keď si prevádzkovatelia nechali celé výkupné, čo podlomilo dôveru. Do bojov zasiahol aj Dragon Force, ktorý útočil na konkurenčné stránky, zverejňoval dáta a spustil otvorené spory – po jeho zásahu sa RansomHub nespamätal a vyzerá, že na ňom mohol pracovať jediný človek. Záver pre obranu je jasný: hoci sa gangy bijú a zásahy polície fungujú (niekedy až po získanie dešifrovacích kľúčov), ransomvér nikam neodchádza – preto aktualizujte systémy, robte spoľahlivé zálohy, školte používateľov a nasadzujte kvalitnú ochranu koncových staníc a EDR, ktoré útočníkom evidentne prekáža.
