Седем предвиждания за състоянието на рансъмуер сцената през 2017

[You must be registered and logged in to see this image.]

Крипторансъмуер заплахите отново бяха кошмар за онлайн потребителите през миналата година. Всъщност увеличение в пъти на атаките с помощта на криптовируси вече се измерват на тримесечна база, а приходите, които генерират престъпниците се равняват на стотици милиони. Антивирусната индустрия не се справя с проблема, обикновените потребители често пренебрегват базисни правила за превенция в киберпространството, а атакуващите измислят все по-иновативни схеми за доставяне на зловредните програми.

В края на миналата година McAfee смело предрекоха в своя обзорен доклад за 2016, че тази година ще видим спад в атаките, посочвайки за това все по-добрите методи за справяне с атаките на антивирусните компании, налаганото обучение на персонала и по-голямата бдителност на средностатистическия жител на Мрежата. Документът привлече вниманието на мнозина, които се осмелиха да подложат на съмнение предвижданията на американската компания. Една от тези страни бяха и Recorded Future, като на свой ред дават прогноза за състоянието на рансъмуер сцената през тази година. Автор на анализа е Алън Лиска, който прави седем предвиждания за рансъмуер атаките през 2017.

Рансъмуер заплахите ще влязат в арсенала на киберпрестъпниците под формата на стандартен инструмент

Лиска предвижда, че разпространителите на зловреден софтуер ще включат криптовирусите в комплекта от инструменти, които използват всекидневно – за разлика от тези, които са се специализирали единствено в доставянето на криптовируси и искащи откуп. Вече има атаки, заявява Лиска, при които умели киберпрестъпни групи да компрометират мрежи, да свършват зловредната си дейност и да оставят след себе си рансъмуер. Тази тактика заблуждава жертвата, че всичко, което са направили престъпниците е да криптират данните в системата, а не да откраднат информация, например. Но освен това, тези престъпници се нуждаят и от пари, а атаката с помощта на крипторансъмуер е начин за генерирането на бърз и непроследим доход.

Атаките, целящи да „засрамят“ жертвата ще зачестят

Става дума за атаки, които не само търсят финансова изгода, но и да компрометират по някакъв начин репутацията на жертвата – като например към транспортната система на Сан Франциско от миналата година, при която атакуващата страна иска да покаже на широката публика, че системата на MUNI е била компрометирана. Всяка компания поддържаща киоск системи, изложени публично, като компютъризирани билборд системи, банкомати и разплащателни системи, които се поддържат от остарели версии на Windows. Този тип атаки също така ще са ефективни, тъй като компаниите, поддържащи тези обекти ще бъдат подложени на обществен натиск да се справят с проблема възможно най-бързо.

Атаките с неизпълними файлове ще намерят по-голямо разпространение

Лиска споделя, че вече имаме примери за подобни атаки – с Ransom32, който е разработен изцяло с помощта на JavaScript и PowerWare. Този тип зловредни програми използват комбинация от скриптови езици и отправени заявки към Microsoft API, за криптиране на данните.

„Този тип рансъмуер семейства успяват да избегнат засичане от много традиционни решения за сигурност защото те се възолзват от легитимни процеси на системата, така че всичко изглежда „легитимно“, пише Лиска.

Сигурността на уебмейл доставчиците ще станат цел на рансъмуер спам кампаниите

Докато имейл системите за идентифициране на зловредни съобщения не са така ефективни, то комерсиалните имейл услуги, като например тези, които доставят компании, като Google, Microsoft и Yahoo са доста успешни в регистрацията на спам писма и се борят ефективно с тях, пращайки ги в папката с нежелана поща. Това започва да се превръща в проблем за организаторите на тези кампании и вероятността да започнат да търсят слабости в защитните механизми на тези доставчици е голяма. Всъщност, наскоро бе открита опасна уязвимост в имейл системата на Yahoo от независим разработчик, като за щастие тя не е била използвана досега.

Няма да има рансъмуер атаки към IoT системите

Противно на мнението на много специалисти, че скоро може да видим рансъмуер атака към свързаните смарт вещи, Лиска е убеден, че с такава няма да се сблъскаме. Основната причина за това е, че подобни системи разчитат на облака и възстановяването им не е проблем за администриращи си ги. В този смисъл, мошениците няма да получат финансова полза от атаките към тях. Освен това машините, обработващи процесите и заявките към и от IoT устройствата са изградени на основата UNIX или някакъв вид специализирана операционна система. Тези системи не са подходящи за масово компрометиране с рансъмуер. Също така, на много Windows системи, управляващият ги често има администраторски права и това помага на разпространителите на рансъмуер.

„Linux/UNIX системите действат по различен начин. Потребителят има достъп само до своите файлове, не до всички файлове на системата. Дори и без да иска да инсталира рансъмуер, той ще може да криптира само потребителските файлове, а не всички файлове на системата“, обяснява Лиска, допълвайки, че, за да успее все пак, потребителят ще трябва да се е вписал като root или заедно с рансъмуера да е пакетиран експлойт за уязвимост, позволяващ повишение на привилегиите.И освен, че е напълно необоснована от финансова гледна точка една такава атака, инсталирането на рансъмуер на UNIX система не е толкова лесна работа, както и портирането на заплахата от Windows към друга система. Лиска доуточнява, че трябва да се прави разлика между потребителските IoT устройства, като рутери и уеб камери и сложните SCADA системи, които които контролират градското осветление и светофарите, да речем.

Така и няма да видим ботнет с размерите на Mirai, който да инсталира рансъмуер

Още едно успокояващо предвиждане. Спомняте ли си Mirai? Ботнетът от хиляди наблюдателни камери, рутери, DVR устройства и други свързани смарт вещи прекъсна достъа на стотици до любимите им сайтове през миналата година, нарушавайки работата на DNS сървърите на Dyn. Едва ли ще видим такова масово заразяване с рансъмуер на IoT обекти, не само заради споменатото в миналото предвиждане, но и защото тези устройства – били рутери или наблюдателни камери – са лесни за подмяна.

Ако има спад в рансъмуер атаките, това ще е благодарение на правоохранителните органи

Тази година станахме свидетели на закриването на мащабни киберпрестъпни организации, като тези зад комплекта за експлоатиране на уязвимости Angler и мрежата на Avalanche – и двете, виновни за заразяването на милиони системи с рансъмуер и кражбата на стотици хиляди долари. Правоохранителните органи все по-често се възползват от ползите на трансграничното сътрудничество и добрата комуникация между различните институции, но освен това и осъществявана връзка с частни компании за сигурност. И макар Лиска да признава, че принципно дупката, оставена от една криминална група, бързо да бива запълвана от друга, то именно работата на службите може да ги накарат да помислят преди да излязат на светло.

„От друга страна, тези престъпници е нужно да вземат в предвид цената на времето, което ще прекарат в затвора, като част от цената за действията си, което може да помислят пак“, завършва Лиска.


/kaldata.com