Ruch lateralny najczytelniejszym znakiem ataku ransomware

Przeczytaj także: Edukacja pod ostrzałem cyberprzestępców

Najważniejsze wnioski z raportu:

• Prawie połowa (44%) rozwijających się ataków ransomware została wykryta podczas ruchu lateralnego.
• Ponad jeden na pięć (21%) incydentów ransomware w ciągu ostatnich 12 miesięcy dotknął sektora ochrony zdrowia.
• Szczegółowe analizy ransomware 8Base i PLAY pokazują, że atakujący celują w niechronione urządzenia i ukrywają złośliwe pliki w folderach z filmami i muzyką.

Krajobraz zagrożeń ransomware w latach 2023/24

Badacze Barracuda, firmy, która jest producentem rozwiązań z obszaru bezpieczeństwa IT, przeanalizowali 200 incydentów zgłoszonych od sierpnia 2023 do lipca 2024, dotyczących 37 krajów i 36 różnych grup ransomware. 21% incydentów dotknęło organizacje ochrony zdrowia (18% rok wcześniej), 15% – sektor produkcji, a 13% – firmy technologiczne. O połowę spadła liczba ataków na placówki edukacyjne, z 18% do 9%.

Ransomware na wynajem

Najczęściej występującymi grupami ransomware były te dostępne w modelu Ransomware-as-a-service (RaaS). Należy do nich LockBit – w ciągu ostatnich 12 miesięcy odpowiadał za 18% ataków, w których znana była tożsamość atakującego. Ransomware ALPHV/BlackCat stał za 14% ataków, a Rhysida, stosunkowo nowa grupa ransomware, za 8%.

Ataki oparte na modelu Ransomware-as-a-service mogą być trudne do wykrycia i powstrzymania. Różni przestępcy mogą używać różnorodnych narzędzi i taktyk do przeprowadzenia ataku i implementacji złośliwego oprogramowania. Większość atakujących polega jednak na sprawdzonych działaniach, takich jak skanowanie, ruch lateralny i pobieranie złośliwego oprogramowania. Mogą one wywołać alerty bezpieczeństwa, które dają zespołom ds. bezpieczeństwa kilka okazji do wykrycia, powstrzymania i złagodzenia incydentów ransomware, zanim zdążą się one w pełni rozwinąć. Jest to szczególnie ważne w środowiskach IT, w których nie wszystkie urządzenia są wystarczająco zabezpieczone – wyjaśnia Mateusz Ossowski, CEE Channel Manager w Barracuda Networks.

Najważniejsze narzędzia i zachowania wykryte w 2024 roku

Dane dostarczone przez Barracuda Managed XDR Endpoint Security pokazują, że w pierwszych sześciu miesiącach 2024 roku aktywność ransomware obejmowała przede wszystkim:

• Ruch lateralny: Prawie połowa (44%) ataków ransomware została wykryta przez systemy monitorujące ruch lateralny (czyli działania cyberprzestępców, którzy po uzyskaniu dostępu do jednego urządzenia w sieci próbują rozszerzyć swoje uprawnienia i uzyskać dostęp do innych systemów).
• Modyfikacje plików: Jedna czwarta (25%) została wykryta przez system, który rejestruje, kiedy pliki są zapisywane lub modyfikowane, i analizuje je, aby sprawdzić, czy pasują do znanych sygnatur ransomware lub podejrzanych wzorców.
• Zachowania odbiegające od normy: 14% incydentów zostało wychwyconych przez system wykrywania, który identyfikuje nieprawidłowe zachowania w systemie lub sieci. System ten uczy się typowego zachowania użytkowników, procesów i aplikacji. Gdy wykrywa odchylenia (takie jak nietypowy dostęp do plików, manipulowanie składnikami systemu operacyjnego lub podejrzana aktywność sieciowa), wywołuje alert.

Badacze Barracuda szczegółowo przeanalizowali także zneutralizowany atak ransomware PLAY, skierowany na firmę zajmującą się technologiami zdrowotnymi, oraz incydent 8Base, który dotknął firmę z branży automotive. Z analizy tej wynika, że atakujący starają się zdobyć przyczółki na niechronionych urządzeniach, aby rozpocząć kolejną fazę swojego ataku i ukryć złośliwe pliki w rzadko używanych folderach z muzyką i filmami.

Obrona przed ransomware

Walka z aktywnymi zagrożeniami, takimi jak ransomware, wymaga wielu warstw wykrywania.

Atakujący często wykorzystują narzędzia dostępne komercyjnie i legalnie używane przez zespoły IT. Dodatkowo mogą w czasie rzeczywistym dostosowywać swoje zachowania i taktyki do aktualnej sytuacji. To dlatego najskuteczniejsza okazuje się dziś wielowarstwowa ochrona wspomagana przez sztuczną inteligencję. Jest ona kluczowa dla wykrywania i neutralizowania zaawansowanych ataków. Co ważne, uzupełniać ją powinny silne mechanizmy uwierzytelniania, kontrola dostępu, stosowanie łatek bezpieczeństwa oraz regularne szkolenia pracowników z zakresu świadomości bezpieczeństwa – podsumowuje Mateusz Ossowski.