Ransomware đã có một năm quảng cáo vào năm 2016. Các bệnh viện , hệ thống vận chuyển công cộng , khách sạn , và các văn phòng chính phủ đều trở thành nạn nhân của các vụ lây lan ransomware lan rộng đã làm suy giảm đáng kể sự sống còn của họ Khả năng và giữ dữ liệu của mình trong một khoảng thời gian đáng kể. Đáp lại, cộng đồng an ninh tiếp tục cam kết các nguồn lực quan trọng để chống lại mối đe dọa gia đình này và đang bắt đầu tạo ra một số kết quả đầy hứa hẹn. Tuy nhiên, mặc dù những khoản đầu tư và tiến bộ này, ransomware vẫn tiếp tục phát triển và phát triển với tốc độ gia tăng, đưa vào khoảng 201.000.000 USD vào năm 2016.
Mặc dù khó có thể tiên đoán được sự tiến triển của ransomware, việc xem xét các xu hướng gần đây về ransomware, malware và toàn bộ ngành công nghiệp máy tính cung cấp những hiểu biết hữu ích về tương lai có thể giữ gìn và cho phép chúng ta chuẩn bị tốt hơn cho những tiến bộ sắp tới.
Như chúng ta đã viết năm ngoái khi tiết lộ sự tồn tại của một phiên bản mới của TeslaCrypt, ransomware đã mở rộng đến một đối tượng rộng hơn nhiều so với những năm trước. Các chiến dịch spam lan rộng và các download do các gói khai thác tạo ra đã giúp các kẻ tấn công bắt đầu ước tính khoảng 638 triệu cuộc tấn công ransomware vào năm 2016, tăng đáng kể từ 3,8 triệu cuộc tấn công vào năm 2015.
Mục tiêu Hệ điều hành
Mặc dù các ransomware trên nền tảng Mac và Linux đã được phát hiện trong tự nhiên, đa số ransomware đều dựa trên nền Windows, vì nó vẫn là hệ điều hành chiếm ưu thếcho người sử dụng máy tính cá nhân. Các kẻ tấn công Ransomware sẽ tiếp tục nhắm mục tiêu phần mềm cho Windows cho đến khi các hệ điều hành khác bắt kịp thị phần, như trường hợp đã từng xảy ra với phần mềm độc hại nói chung. Ransomware di động là mối đe dọa tiềm ẩn đang phát triển, nhưng Apple và Google chủ yếu giữ nó trong kiểm tra bằng cách giữ cho hệ điều hành của họ được cập nhật thường xuyên và xem xét các bài nộp cho các cửa hàng ứng dụng tương ứng.
Ransomware nhắm vào Internet of Things (IoT) là một lĩnh vực tiềm năng tăng trưởng khác. Hầu hết các thiết bị gia dụng điện tử hiện có kết nối mạng không dây. Máy ép viên nước , cân nặng , tủ lạnh , và nhà vệ sinh nằm trong số các thiết bị hiện đang có kết nối và do đó có khả năng bị xâm nhập vào mạng gia đình của bạn . Mặc dù kết nối dường như cung cấp các chức năng mở rộng có giá trị, các thiết bị này sẽ mở rộng mạng lưới của bạn và có thể dễ bị lợi dụng hơn so với laptop và điện thoại di động của bạn.
Khai thác các bộ dụng cụ thả xuống Các khoản thanh toán của Ransomware
Bộ dụng cụ khai thác đã được sử dụng trong hơn một thập kỷ , nhưng những kẻ tấn công sử dụng chúng đã bắt đầu thay đổi chiến thuật của họ do tiềm năng lợi nhuận dễ dàng và nhanh chóng. Trước khi mục tiêu cuối cùng của kẻ tấn công sử dụng bộ công cụ khai thác có thể là cài đặt các phần mềm botnet và / hoặc các công cụ truy cập từ xa (RAT) để theo dõi người dùng và thu thập thông tin / thông tin nhận dạng cá nhân (PII), ransomware đang được phục vụ như dự định Tải trọng cho các bộ dụng cụ với tần suất ngày càng tăng . Ví dụ, vào tháng 2 năm 2016, trang web của một bệnh viện ở Ontario đã bị tấn công và sau đó được sửa đổi để gây nhiễm cho người dùng với một biến thể của TeslaCrypt thông qua bộ khai thác Angler.
Khi các bộ dụng cụ khai thác mới tiếp tục bật lên và tách ra hoặc thay thế các bộ dụng cụ cũ hơn, kẻ tấn công có thể sẽ tiếp tục sử dụng các biến thể ransomware như một phần của payloads để duy trì nguồn thu nhập ổn định do thiếu tương đối phức tạp. Nếu kẻ tấn công phải lựa chọn giữa việc triển khai ransomware và thu thập thông tin và thông tin cá nhân, họ có thể sẽ tiếp tục thích kịch bản tấn công nhanh hơn và nhanh hơn của ransomware so với con người bảo thủ lâu hơn.
Mặc dù đây không phải là một mối đe dọa mới , nhưng ransomware mã hóa, thay thế hoặc làm giảm các vùng ổ đĩa riêng lẻ (thay vì hoặc thêm vào các tệp cá nhân) như Master Boot Record (MBR) hoặc Master File Table (MFT) Sử dụng nhiều cho đến năm 2016. Hầu hết các biến thể của ransomware đều nhắm đến các tài liệu người dùng (ví dụ như DOC, PDF, XLS) trong khi tránh các tập tin thực thi quan trọng của hệ thống (ví dụ như EXE, DLL, SYS) để giữ cho hệ điều hành ổn định và bán công. Điều này cho phép nạn nhân đánh giá đúng thiệt hại và sau đó trả tiền chuộc của họ để lấy các hồ sơ của họ.
Một phiên bản của gia đình ransomware đĩa thô HDDCryptor đã được sử dụng trong vụ tấn công vào Cơ quan Vận tải Thành phố San Francisco vào cuối tháng 11 năm 2016.
Chú ý và Hướng dẫn của Petya Ransomware Ransom
Các gia đình chuộc lại sau đây nhắm mục tiêu các khu vực ổ đĩa thô đều được phát hiện vào năm 2016:
- HDDCryptor / Mamba (Tháng 1 năm 2016)
- Petya (Tháng 3 năm 2016)
- Satana (tháng 6 năm 2016)
Phần kết luận
Đối với những gì mong đợi, sẽ có nhiều sự phát triển hơn nữa về ransomware cho MacOS, Linux, các nền tảng điện thoại di động và các thiết bị IoT. Các gói khai thác, bộ dụng cụ ransomware, ransomware như một dịch vụ và ransomware mã nguồn mở sẽ tiếp tục được tận dụng bởi những kẻ tấn công tinh vi ít hơn và giúp họ phát triển các doanh nghiệp tội phạm đang nảy nở của họ. Ransomware không có Fileless sẽ thấy nhiều cách sử dụng hơn khi kẻ tấn công cố gắng trốn tránh các cơ chế bảo vệ thiết bị đầu cuối. Ransomware Offline sẽ tiếp tục được sử dụng bởi những kẻ tấn công muốn giảm thiểu dấu chân của họ. Và cuối cùng, nhưng chắc chắn không kém, mong đợi để xem ransomware tiên tiến hơn nhằm mục đích MBR, MFT, và các khu vực ổ đĩa thô khác.
