Daniel ne aduce astăzi în atenție câteva lucruri elementare despre cea mai mare amenințare cibernetică a anului trecut la nivel global – atacurile de tip ransomware, precum și conexiunile acestora cu partea nevăzută a Internetului, Dark Web-ul.
Ce înțelegem prin Ransomware?
Un ransomware este un tip de software malițios prin intermediul căruia, un atacator poate bloca accesul unui utilizator asupra propriilor fișiere. Odată ce sistemul a fost blocat, atacatorul îl șantajează pe utilizator, promițându-i redarea accesului în schimbul plății unei sume de bani în bitcoin sau alte criptomonede.
Deși nu putem vorbi de o noutate atunci când discutăm despre ransomware, acest vector de atac produce daune din ce în ce mai mari atât în rândul companiilor private cât și în cel al instituțiilor de stat. Dacă ne uităm în retrospectivă către anul 2019, observăm o creștere alarmantă a frecvenței atacurilor de tip ransomware, acestea afectând peste 900 de agenții guvernamentale SUA și provocând daune de peste 7 miliarde de dolari. Pe lângă pagubele financiare, o campanie ransomware poate fi ușor catalogată ca o breșă de securitate națională atunci când siguranța cetățenilor este pusă în pericol. În SUA, blocajul provocat asupra sistemelor informatice în urma unor astfel de campanii, a avut efecte devastatoare, ducând de la întreruperea serviciilor de urgență 911, până la incapacitatea efectuării intervențiilor chirurgicale în spitalele afectate.
Atât aceste incidente din SUA, cât și atacurile împotriva sistemelor din administrația publică din Europa plasează ransomware pe primul loc în rândul amenințărilor cibernetice în anul 2019.
Pentru a înțelege această creștere în frecvență a atacurilor de tip ransomware trebuie să înțelegem modelul de business din spatele acestor campanii. Intensificarea eforturilor internaționale în combaterea criminalității informatice aduce de la sine creșterea efortului depus de atacatori în dezvoltarea de software capabil să susțină un atac. Urmărind această logică, de ce vedem o creștere constantă în numărul de atacuri? Un potențial răspuns ar putea fi apariția de servicii de tip Ransomware as a Service oferite pe Dark Web.
Ce este Dark Web și ce înțelegem prin Ransomware as a Service?
Cu toții știm de site-uri precum Facebook, Google, Youtube etc. Acestea fac parte din informația indexată pe motoarele de căutare și deci accesibilă publicului larg, reprezentând doar 10% din informația existentă pe internet. Prin Dark Web, înțelegem multitudinea de site-uri neindexate aflate în spatele unei rețele criptate. Pentru a accesa aceste site-uri un utilizator trebuie sa folosească browsere speciale ce oferă funcționalități de anonimizare precum I2P sau, cel mai comun, The Onion Router – Tor.
Dată fiind anonimitatea de care beneficiază cei ce folosesc acest serviciu, mediul Dark Web este cunoscut pentru activitățile ilegale întreprinse pe unele site-uri din spatele rețelei Tor. Unul din cele mai notorii site-uri asociate cu rețeaua de anonimizare este marketplace-ul virtual Silk Road. Închis în 2013 de către FBI, acesta era cunoscut pentru traficul de arme și substanțe ilegale pe care îl facilita.
Acum că avem o imagine de ansamblu asupra capabilităților rețelei Tor și a activităților întreprinse în spatele unor site-uri din această rețea, putem răspunde la întrebarea pusă în discuție mai sus: De ce în ciuda investițiilor substanțiale în tehnologiile și strategiile de apărare cibernetică, încă înregistrăm un număr record de campanii ransomware?
Folosind modelul legitim de business Software as a Service, grupările de hackeri își pun la dispoziție serviciile, oferind în stil franciză platforme prin care un utilizator fără cunoștințe excesive în domeniu, poate lansa, contra cost, un atac de tip ransomware asupra unei organizații. Cerber, Satan, Atom sau Hostman sunt doar câteva din exemplele de platforme ce pot fi folosite de orice utilizator gata sa plătească licența. De remarcat că majoritatea campaniilor ransomware folosesc ca vector principal de atac e-mail-urile de tip phishing prin intermediul cărora atacatorul maschează software-ul malițios în spatele unui e-mail care la prima vedere pare legitim.
Cum ne protejăm de această amenințare?
- Instalarea și actualizarea unui software anti-malware.
- Ignorarea și raportarea oricărui e-mail care conține link-uri sau atașamente suspecte.
- Menținerea și actualizarea frecventă a unui backup pentru datele din sistemul personal.
Fiind o amenințare care se bazează în mare parte pe greșeala sau neatenția utilizatorului, bătăile de cap provocate de o campanie ransomware pot fi evitate prin urmarea acestor măsuri de prevenție. Respectând aceste directive, contribuim activ la scăderea incidenței unor astfel de tipuri de atac.
Autor: Daniel Leu (analist securitate informatică)
Sursă foto: maz-online.de
