Ransomware a continuat să fie cea mai importantă amenințare cibernetică cu care s-au confruntat organizațiile în 2021. Deși „bandele” de ransomware trec, în prezent, printr-o perioadă mai agitată, nu există nicio garanție că amenințările ransomware se vor diminua în 2022, deoarece situații similare din trecut au fost, de obicei, urmate de apariția de noi amenințări.
Conform documentelor publicate de Symantec Threat Hunter, atacurile ransomware targetate au continuat să aibă o tendință ascendentă în 2021, aproape triplându-se în ultimul trimestru al anului, comparativ cu primul.
Noi amenințări
Una dintre principalele caracteristici ale anului 2021 a fost dispariția actorilor consacrați ai amenințărilor tip ransomware și apariția unor noi grupuri care să le ia locul. Dintre principalele amenințări ransomware care operează la începutul anului 2021, doar Conti a continuat să fie activ la sfârșitul anului.
Pe parcursul anului 2021, o serie de atacuri ransomware foarte importante au dispărut. Printre acestea, sunt Leafroller (alias Sodinokibi, REvil), Coreid (Darkside și Blackmatter) și Avaddon.
Cu toate acestea, o serie de actori le-au luat locul. LockBit s-a extins rapid după îndepărtarea unora dintre rivalii săi, în timp ce mai multe amenințări noi precum Pinion (Hive) și Sirex (AvosLocker) au devenit destul de active.
TTP-uri în dezvoltare
Una dintre tendințele cheie observate în această cercetare este setul de instrumente, tactici și proceduri (TTPs) în continuă evoluție, folosit de atacatorii ransomware. Noi TTP-uri apar în mod regulat pe măsură ce atacatorii încearcă să fie cu un pas înaintea securității rețelei.
Grupurile de atacatori ransomware din prezent au la dispoziție un set de instrumente destul de diversificat, folosind un amestec de programe malware personalizate, software legitim și funcții ale sistemului de operare (cunoscute și sub numele de „living off the land”).
Folosirea de seturi de instrumente diversificate este evidentă în topul celor mai des folosite TTP-uri realizate de echipa Symantec Threat Hunter în urma investigațiilor. Cel mai des folosit astfel de instrument, PsExec, este o caracteristică a sistemului de operare Windows care este adesea utilizată de atacatori pentru a executa procese pe alte sisteme. Următorul din topul celor mai frecvent utilizate a fost Cobalt Strike, un malware aparent vândut ca instrument de testare a penetrației, dar cel mai frecvent, folosit în scopuri rău intenționate.
Printre noile TTP-uri descoperite în a doua jumătate a anului 2021 se numără VssAdmin, un proces Windows legitim care poate fi folosit pentru a gestiona sau șterge copiile „umbră” de pe mașinile Windows; aici se adaugă MSIExec, un program de instalare Windows legitim care poate fi folosit de atacatori pentru a încărca aplicații rău intenționate pe mașinile vizate.
Soluţiile Symantec de protecţie IT sunt distribuite în România de compania SolvIT Networks.