แรนซัมแวร์: ภัยคุกคามที่กำลังพัฒนา | การเปรียบเทียบ

แรนซัมแวร์: ภัยคุกคามที่กำลังพัฒนา | การเปรียบเทียบ

เกี่ยวกับผู้เขียน

Kelvin Murray เป็นนักวิจัยภัยคุกคามหลักที่ Webroot

Ransomware เป็นซอฟต์แวร์ที่เป็นอันตรายซึ่งมีการเรียกค่าไถ่ข้อมูลของคุณ ปัจจุบันมักเกี่ยวข้องกับการเข้ารหัสข้อมูลของเหยื่อก่อนที่จะขอเงิน (โดยปกติคือสกุลเงินดิจิทัล) เพื่อถอดรหัส Ransomware ได้ปกครองโลกของมัลแวร์ตั้งแต่ปลายปี 2013 แต่ในที่สุดมันก็ลดลงเมื่อปีที่แล้ว จำนวนมัลแวร์โดยรวมที่ลดลงรวมทั้งการปรับปรุงการป้องกันที่ทำโดยโลกไอทีโดยทั่วไป (เช่นการนำการสำรองข้อมูลไปใช้อย่างแพร่หลายมากขึ้น) เป็นปัจจัย แต่ยังทำให้ภัยคุกคามนี้มีความเฉพาะเจาะจงมากขึ้นและไม่หยุดยั้ง

วิธีการจัดส่ง

เมื่อซอฟต์แวร์ ransomware ปรากฏขึ้นครั้งแรกโดยทั่วไปจะแจกจ่ายผ่านแคมเปญอีเมลจำนวนมากและชุดปฏิบัติการ ผู้บริโภคและผู้ใช้ทางธุรกิจได้รับผลกระทบโดยไม่ต้องใช้ดุลพินิจ ทุกวันนี้อาชญากรแรนซัมแวร์จำนวนมากชอบเลือกเป้าหมายเพื่อเพิ่มผลกำไรสูงสุด การทำธุรกิจมีค่าใช้จ่ายในการแพร่เชื้อสู่ผู้คน ยิ่งกลุ่มคนที่คุณพยายามเข้าถึงมีขนาดใหญ่เท่าใดก็จะยิ่งมีราคาแพงมากขึ้นเท่านั้น

ชุดปฏิบัติการ

เพียงแค่เยี่ยมชมเว็บไซต์บางแห่งก็สามารถทำให้คุณติดเชื้อได้แม้ว่าคุณจะไม่ได้พยายามดาวน์โหลดอะไรก็ตาม โดยทั่วไปทำได้โดยการใช้ประโยชน์จากจุดอ่อนในซอฟต์แวร์ที่ใช้ในการท่องเว็บเช่นเบราว์เซอร์ Java หรือ Flash เครื่องมือพัฒนาและจัดการเนื้อหาเช่น WordPress และ Microsoft Silverlight เป็นแหล่งที่มาของช่องโหว่ทั่วไป แต่ซอฟต์แวร์และเว็บไซต์หลายแห่งมีส่วนเกี่ยวข้องกับการแพร่เชื้อด้วยวิธีนี้ งานนี้ส่วนใหญ่รวมอยู่ในชุดหาประโยชน์ที่อาชญากรสามารถเช่าเพื่อช่วยแพร่กระจายมัลแวร์ได้

การเช่าชุดปฏิบัติการอาจมีค่าใช้จ่าย 1,000 ยูโรต่อเดือน วิธีการจัดส่งนี้ไม่ใช่สำหรับทุกคน อาชญากรไซเบอร์ที่ได้รับการกระตุ้นและให้ทุนอย่างเพียงพอเท่านั้น

Eric Klonowski นักวิเคราะห์การวิจัยภัยคุกคามอาวุโสของ Webroot กล่าวว่า“ เนื่องจากต้นทุนการดำเนินงานสูงขึ้นอย่างมากในช่วงทศวรรษที่ผ่านมาเรายังคงเห็นว่าต้นทุนในการทำธุรกิจลดลงอย่างต่อเนื่องโดยใช้ระยะเวลา 0 วันในธรรมชาติ (ตาม การรั่วไหลของการแสวงหาประโยชน์ส่วนตัวที่เกี่ยวข้อง)

“ ไม่ต้องสงสัยเลยว่านักแสดงของรัฐจะยังคงเก็บพวกเขาไว้เพื่อใช้ในเป้าหมายที่ทำกำไรได้มากที่สุด แต่พวกเขาหวังว่าการเกิดขึ้นของ Shadowbrokers จะยุติลง การรั่วไหลดังกล่าวน่าจะเป็นเครื่องมือปลุกพลังภายในที่ทรงพลัง คุณสามารถเข้าถึงยูทิลิตี้เหล่านี้ได้ (หรือบางทีอาจจะถูกทิ้งไว้ที่ใด) "

การดำเนินการที่มีวัตถุประสงค์เพื่อใช้โดยทั้งมัลแวร์และภัยคุกคามทางเว็บนั้นยากที่จะได้รับในปัจจุบันและด้วยเหตุนี้เราจึงเห็นจำนวนชุดปฏิบัติการลดลงและค่าใช้จ่ายในการดำเนินการที่เพิ่มขึ้นอย่างรวดเร็ว ภัยคุกคามนี้ไม่เกิดขึ้นที่ไหนเลย แต่มันกำลังลดลง

แคมเปญอีเมล

อีเมลขยะเป็นวิธีที่ดีในการแพร่กระจายมัลแวร์ เหมาะสำหรับอาชญากรเพราะสามารถตีเหยื่อได้หลายล้านคนในคราวเดียว อย่างไรก็ตามการข้ามตัวกรองอีเมลการสร้างข้อความฟิชชิ่งที่น่าสนใจการสร้าง eyedropper และการข้ามความปลอดภัยโดยรวมนั้นทำได้ยากในระดับที่ยิ่งใหญ่ การจัดการแคมเปญขนาดใหญ่เหล่านี้ต้องใช้เวลาและประสบการณ์ดังนั้นจึงมีราคาแพงเช่นเดียวกับชุดปฏิบัติการ

การโจมตีแบบกำหนดเป้าหมาย

ความเป็นไปได้ที่เป้าหมายจะจ่ายค่าไถ่และจำนวนเงินค่าไถ่นั้นขึ้นอยู่กับปัจจัยหลายประการ ได้แก่ :

เนื่องจากความน่าจะเป็นที่จะประสบความสำเร็จจะแตกต่างกันไปขึ้นอยู่กับสถานการณ์ของเป้าหมายสิ่งสำคัญคือต้องทราบว่ามีวิธี จำกัด การเลือกเป้าหมายโดยใช้ชุดหาประโยชน์หรือแคมเปญอีเมลให้แคบลง แต่การโจมตีเหล่านี้แพร่หลายมากกว่าการโจมตีแบบกำหนดเป้าหมายอื่น ๆ

โปรโตคอลเดสก์ท็อประยะไกล (RDP)

Remote Desktop Protocol (RDP) เป็นระบบ Microsoft ยอดนิยมที่ผู้ดูแลระบบใช้เป็นหลักเพื่อเชื่อมต่อกับเซิร์ฟเวอร์และปลายทางอื่น ๆ จากระยะไกล เมื่อเปิดใช้งานโดยการตั้งค่ารหัสผ่านและนโยบายที่ไม่ดีอาชญากรไซเบอร์สามารถแฮ็กได้อย่างง่ายดาย การละเมิด PDR ไม่ใช่เรื่องใหม่ แต่น่าเสียดายที่ชุมชนธุรกิจ (และโดยเฉพาะชุมชนธุรกิจขนาดเล็ก) เพิกเฉยต่อภัยคุกคามมาหลายปีแล้ว

เมื่อเร็ว ๆ นี้หน่วยงานรัฐบาลในสหรัฐอเมริกาและสหราชอาณาจักรได้เตือนถึงการโจมตีที่หลีกเลี่ยงได้ทั้งหมดนี้ อาชญากรไซเบอร์ที่มีความซับซ้อนน้อยสามารถซื้อการเข้าถึง RDP ไปยังเครื่องที่ถูกแฮ็กแล้วบนเว็บมืดได้ การเข้าถึงเครื่องที่สนามบินหลักมีให้เห็นในตลาดมืดในราคาเพียงไม่กี่ดอลลาร์

ฟิชชิ่ง

หากคุณทราบเป้าหมายของคุณคุณสามารถปรับแต่งอีเมลโดยเฉพาะเพื่อให้เข้าใจผิดได้ สิ่งนี้เรียกว่าฉมวกและเป็นเทคนิคที่มีประสิทธิภาพอย่างมากที่ใช้ในแรนซัมแวร์หลายกรณี

มัลแวร์แบบแยกส่วน

มัลแวร์แบบแยกส่วนโจมตีระบบในขั้นตอนต่างๆ เมื่อรันบนเครื่องแล้วงานลาดตระเวนจะเสร็จสิ้นก่อนที่มัลแวร์จะกลับมาสื่อสารกับฐานของมันและดาวน์โหลดเพย์โหลดเพิ่มเติม

กลโกง

เรายังได้เห็น Trojan Trickbot Modular Banking Trojan Deposit Ransomware เช่น Bitpaymer บนเครื่อง เมื่อเร็ว ๆ นี้มันถูกใช้เพื่อทดสอบมูลค่าของ บริษัท ก่อนที่จะอนุญาตให้ผู้โจมตีใช้เครื่องมือการเข้าถึงระยะไกลและ Ryuk (ransomware) เพื่อเข้ารหัสข้อมูลที่มีค่าที่สุด นักแสดงที่อยู่เบื้องหลังแคมเปญ Trickbot / Ryuk นี้ติดตามเฉพาะเป้าหมายที่ยิ่งใหญ่และร่ำรวยที่พวกเขารู้ว่าสามารถทำให้พิการได้

Trickbot มักจะถูกละทิ้งโดยโปรแกรมมัลแวร์โมดูลาร์อื่น Emotet

ตามที่ระบุไว้การใช้ ransomware อาจลดลงเนื่องจากการป้องกันที่เพิ่มขึ้นและการรับรู้ภัยคุกคามที่เพิ่มขึ้น แต่แนวโน้มที่กว้างขึ้นและเห็นได้ชัดเจนคือการกำหนดเป้าหมายอย่างระมัดระวังมากขึ้น เลือกแล้ว ส่วนขยาย RDP เป็นแหล่งที่มาของการเรียก ransomware ที่ใหญ่ที่สุดไปยังทีมสนับสนุนของเราในช่วง 2 ปีที่ผ่านมา พวกเขาสร้างความเสียหายอย่างมากต่อผู้ที่ได้รับผลกระทบซึ่งเป็นสาเหตุที่มักจะมีการจ่ายค่าไถ่

มัลแวร์แบบแยกส่วนเกี่ยวข้องกับการมองหาเป้าหมายก่อนที่จะตัดสินใจว่าจะทำงานหรือไม่และภัยคุกคามนี้ได้กลายเป็นภัยคุกคามในช่วงหกเดือนที่ผ่านมา

ระบบอัตโนมัติ

เมื่อเราพูดถึงการกำหนดเป้าหมายคุณมีแนวโน้มที่จะคิดว่ามีบุคคลที่เกี่ยวข้อง แต่เท่าที่จะทำได้การโจมตีจะถูกเข้ารหัสเพื่อปลดปล่อยพนักงาน โดยทั่วไปโปรแกรมที่เป็นอันตรายจะตัดสินใจไม่ทำงานหากอยู่ในสภาพแวดล้อมเสมือนจริงหรือหากติดตั้งเครื่องมือสแกนไว้ในคอมพิวเตอร์ Trickbot และ Emotet ใช้ระบบอัตโนมัติที่ไร้รอยต่อเพื่อให้เครือข่ายซอมบี้ทำงานและแพร่กระจายด้วยความช่วยเหลือของข้อมูลประจำตัวที่ถูกขโมย การละเมิด RDP ทำได้ง่ายกว่าที่เคยเนื่องจากกระบวนการอัตโนมัติที่กำหนดเป้าหมายเพื่อใช้งานบนอินเทอร์เน็ต คาดว่าจะมีระบบอัตโนมัติที่ชาญฉลาดมากขึ้นของ ransomware และมัลแวร์อื่น ๆ ในอนาคต

ฉันจะทำอย่างไร?

Kelvin Murray เป็นนักวิจัยภัยคุกคามหลักที่ Webroot


คุณอาจสนใจ...