Microsoft upozorava da ransomware bande u napadima koriste ukradene lozinke, lažna ažuriranja softvera i nezakrpljene ranjivosti

Vesti, 06.02.2023, 12:30 PM

Više od 100 bandi sajber kriminalaca sprovodi napade ransomwarea, koristeći više od 50 različitih ransomwarea.

Ove brojke su rezultat analize Microsoft Security Intelligence tima, koji primećuje da neki od najistaknutijih napada ransomwarea u poslednje vreme uključuju LockBit, BlackCat, Vice Society i Royal ransomware.

Napadi su potpomognuti načinom na koji grupe funkcionišu nudeći drugim kriminalcima šemu ransomware-as-a-service (RaaS), što znači da sajber kriminalci ne moraju da imaju vlastiti ransomware da se uključe u akciju.

Pristup RaaS šemama se prodaje na hakerskim forumima, pružajući ambicioznim napadačima sve alate koji su im potrebni za sprovođenje i upravljanje napadima i iznuđivanje otkupnine. U mnogim slučajevima, autor ransomwarea uzima deo svih uplata otkupa koje napadači dobiju.

Neke od najrazornijih napada ransomwarea izveli su napadači u partnerskim šemama. Takozvane “napade visokog profila” koji uključuju ransomware poput Conti i LockBit takođe sprovode "filijale".

Prema Microsoftu, fišing napadi su najčešći način da napadači dobiju početni pristup mrežama. Krađa korisničkih imena i lozinki sa fišing emailovima ili napadima grubom silom omogućava sajber kriminalcima pristup mrežama, jer ako koriste legitimne akreditive manje je verovatno da će izazvati sumnju. Sajber kriminalcima je postalo lakše da pristupe mrežama na ovaj način od početka pandemije kada su mnoge kompanije uvele rad na daljinu.

Napadači se mogu kretati po mreži, mogu koristiti kompromitovani nalog za vršenje fišing napada na druge korisnike, dobijajući dozvole potrebne da kompromituju što veći deo mreže pomoću ransomwarea, pre nego što na kraju pokrenu proces šifrovanja, zaključavanja fajlova i servera i zahtevaju isplatu otkupnine.

Iako je fišing najčešći metod koji koriste ransomware bande za pristup mrežama, on nije jedini.

Na primer, Microsoft upozorava na porast zlonamernog reklamiranja kao početne faze napada, gde sajber kriminalci kupuju onlajn reklame - obično da bi reklamirali preuzimanje lažnog softvera - koji će, ako se preuzme i instalira, zaraziti korisnika trojanskim malverom koji napadači zatim koristite za distribuciju ransomwarea. Sajber kriminalci koji koriste Royal ransomware koriste upravo ovaj metod napada.

Lažna ažuriranja softvera takođe su postala uobičajeno sredstvo za isporuku ransomwarea. Ova lažna upozorenja, koja tvrde da vaš softver treba da se ažurira, pokreću preuzimanja koja se dešavaju u pozadini bez znanja korisnika. Cilj lažnih upozorenja o ažuriranju je da uplaše žrtve koje misle da rade pravu stvar da zaštite svoj sistem dok zapravo preuzimaju malver.

Sajber kriminalci takođe koriste isproban metod zloupotrebe nezakrpljenih ranjivosti za pristup mrežama.

„Čak i dok se razvijaju, napadi ransomwarea nastavljaju da se oslanjaju na uobičajene bezbednosne slabosti koje im omogućavaju da uspeju“, kažu iz Microsofta. Microsoft preporučuje da računare i mreže ažurirate najnovijim bezbednosnim zakrpama kako bi se sprečilo da sajber kriminalci iskoriste poznate ranjivosti za pristup mrežama.

Takođe je važno da se bezbednosne ispravke preuzimaju samo sa zvaničnih sajtova, kako bi se izbegla mogućnost da lažno ažuriranje softvera zarazi računar ransomwareom.

Fišing napade je moguće sprečiti tako što će nalozi biti zaštićeni jakim, jedinstvenim lozinkama i višefaktorskom autentifikacijom. Ovaj dodatni sloj zaštite može pomoći u sprečavanju napadača da pristupe nalozima, čak i ako su dobili pristup korisničkom imenu i lozinki.

Naslovna fotografija: cottonbro studio, Pexels