În 2017, amenințările ransomware au evoluat rapid și spectaculos, iar autorii amenințărilor au vizat companii din toată lumea folosind o serie de atacuri distructive, al căror scop final rămâne un mister. Aceste atacuri includ WannaCry, din 12 mai, ExPetr, de pe 27 iunie, și BadRabbit, de la sfârșitul lunii octombrie. Toate au folosit exploit-uri create cu scopul de a compromite rețelele corporate. Companiile au fost vizate și de alte atacuri ransomware, iar Kaspersky Lab a reușit să prevină infectările cu ransomware a peste 240.000 de utilizatori corporate.
”Atacurile din 2017, care au atras atenția tuturor, sunt un exemplu dus la extrem al interesului tot mai mare pentru victime corporate”, spune Fedor Sinitsyn, Senior Malware Analyst la Kaspersky Lab. “Am observat această tendință în 2016, iar în 2017 s-a accentuat și nu dă semne de încetinire. Victimele din sectorul business sunt cu atât mai vulnerabile, pentru că li se poate cere o răscumpărare mai mare decât utilizatorilor individuali și sunt adesea dispuse să plătească pentru a menține afacerea funcțională. Noii vectori de atac centrați pe companii, precum sistemele desktop administrate de la distanță, sunt, de asemenea, în creștere.”
Alte tendințe ransomware în 2017
• În total, aproape 950.000 de utilizatori unici au fost atacați în 2017, comparativ cu aproximativ 1,5 milioane, în 2016. Diferența dintre ele reflectă, în mare, schimbări în metodologia de detecție (de exemplu, programele asociate adesea cu cryptomalware-ul sunt acum detectate mai bine prin tehnologii euristice, deci nu mai sunt clasificate împreună cu verdictele de ransomware colectate de instrumentele noastre de telemetrie).
• Cele trei atacuri majore, la fel ca și alte familii ransomware, mai puțin cunoscute, printre care AES-NI și Uiwix, au folosit exploit-uri sofisticate, publicate în mediul online în primăvara anului 2017 de grupul cunoscut ca Shadow Brokers.
• A existat un declin accentuat în ceea ce privește noile familii ransomware: 38 în 2017, în scădere față de 62, în 2016, dar cu o creștere a numărului de variante ale programelor ransomware existente (peste 96.000 noi variante detectate în 2017, comparativ cu 54.000, în 2016). Creșterea numărului de versiuni poate să reflecte încercările atacatorilor de a ascunde ransomware-ul, având în vedere că soluțiile de securitate se perfecționează în detectarea lor.
• Din T2 2017, mai multe grupuri și-au încheiat activitățile ransomware și au publicat cheile de decriptare a fișierelor. Printre acesta se numără AES-NI, xdata, Petya/Mischa/GoldenEye și Crysis. Mai târziu, Crysis a reapărut – posibil readus la viață de un alt grup.
• Există o tendință în creștere, de a infecta prin sisteme desktop administrate de la distanță, care a continuat și în 2017. Pe parcursul anului, această abordare a devenit una dintre cele mai importante metode de propagare pentru câteva familii de ransomware, printre care Crysis, Purgen/GlobeImposter și Cryakl.
• 65% dintre companiile care au fost afectate de ransomware în 2017 au declarat că au pierdut accesul la o parte semnificativă sau chiar la toate datele lor. În plus, una din șase companii care a plătit nu și-a mai recuperat vreodată datele. Aceste cifre sunt, în mare, similare cu cele din 2016.
Din fericire, inițiativa No More Ransom, lansată în iulie 2016, este și ea în dezvoltare. Proiectul aduce laolaltă organisme de aplicare a legii și furnizori de securitate pentru a urmări și a distruge familiile mari de ransomware, ca să îi ajute pe utilizatori să își recupereze datele și să scadă profitabilitatea acestui model de business de succes pentru infractori. Toate produsele Kaspersky Lab protejează utilizatorii de ransomware.