Întrucât ransomware-urile țintite continuă să bântuie business-urile din întreaga lume, nu se poate să nu analizăm mai detaliat operațiunile anumitor bande de ransomware. Acest lucru ajută la o mai bună înțelegere a lor și la dezvoltarea unor soluții mai avansate de protecție împotriva amenințărilor pe care le reprezintă.
Cercetătorii Kaspersky au acordat o atenție sporită și au analizat un specimen curios (sau, mai corect, niște specimene) aparținând grupului JSWorm, care și-a demonstrat agilitatea atunci când vine vorba despre modernizarea setului de instrumente. Grupul, care s-a concentrat anterior pe operațiuni de masă, a reușit să se adapteze rapid și să evolueze către operațiuni foarte țintite în doar doi ani, dezvoltând peste opt „nume de brand” de malware diferite.
Fiecare variantă „rebranded” avea aspecte diferite ale codului, extensii de fișiere redenumite, scheme criptografice și chei de criptare modificate. Împreună cu schimbările de nume, dezvoltatorii acestui ransomware și-au refăcut codul și au încercat diferite abordări ale distribuției, ceea ce arată că sunt foarte adaptabili și au resurse vaste la îndemână.
JSWorm a fost detectat pe tot globul – din America de Nord și de Sud (Brazilia, Argentina, SUA) până în Orientul Mijlociu și Africa (Africa de Sud, Turcia, Iran), Europa (Italia, Franța, Germania) și APAC (Vietnam), mai mult de o treime (39%) dintre toate companiile mari și persoanele fizice vizate de acest grup, în anul 2020, fiind situate în APAC.
Când vine vorba despre industriile vizate, este clar că această familie de ransomware țintește infrastructura critică și sectoarele majore din întreaga lume. Aproape jumătate (41%) din atacurile JSWorm au fost împotriva companiilor din producție și inginerie. Energia și utilitățile (10%), Finanțele (10%), Serviciile profesionale și pentru consumatori (10%), Transporturile (7%) și Sănătatea (7%) au fost, de asemenea, în fruntea listei lor.
„Operațiunile JSWorm și capacitatea sa de a se adapta și de a dezvolta noi programe malware atât de repede reflectă o tendință importantă și îngrijorătoare – bandele de ransomware au la dispoziție resurse mai mult decât suficiente pentru a-și rafina operațiunile și pentru a-și actualiza seturile de instrumente cu o viteză îngrijorătoare, abordând din ce în ce mai mult organizații din întreaga lume. O astfel de adaptabilitate ridicată se observă de obicei în rândul grupărilor APT, dar bandele de ransomware nu se limitează la ținte specifice, vor ataca orice companie pe care consideră că ar putea să o infecteze. Acest lucru demonstrează că, pentru a-și proteja propria organizație, echipele de securitate cibernetică trebuie să devină și mai rapide, mai atente și mai adaptabile atunci când vine vorba de instalarea măsurilor de securitate”, spune Fedor Sinitsyn, cercetător în securitate la Kaspersky.
Citiți raportul complet despre diferitele versiuni ale JSWorm pe Securelist. Aflați mai multe despre ecosistemul ransomware din raportul Ransomware world in 2021: who, how and why.
Pentru a rămâne protejat împotriva JSWorm și a altor tipuri de ransomware, Kaspersky recomandă:
• Nu expuneți serviciile desktop la distanță (cum ar fi RDP) rețelelor publice, cu excepția cazului în care este absolut necesar și folosiți întotdeauna parole puternice pentru acestea.
• Asigurați-vă că soluțiile VPN comerciale și alte programe software de pe server sunt întotdeauna actualizate, deoarece exploatarea acestui tip de software este un vector comun de infecție pentru ransomware. Păstrați întotdeauna actualizate și aplicațiile din partea clienților.
• Concentrați-vă strategia de apărare pe detectarea mișcărilor laterale și exfiltrarea datelor pe internet. Acordați o atenție specială traficului de ieșire pentru a detecta conexiunile cibernetice. Faceți backup în mod regulat. Asigurați-vă că îl puteți accesa rapid în caz de urgență atunci când este necesar. Utilizați cele mai recente informații Threat Intelligence pentru a fi la curent cu TTP-urile reale utilizate de actorii de amenințare.
• Utilizați soluții precum Kaspersky Endpoint Detection and Response și serviciul Kaspersky Managed Detection and Response pentru a ajuta la identificarea și oprirea unui atac în primele etape, înainte ca atacatorii să își atingă obiectivele finale.
• Educați-vă angajații. Sesiunile de training dedicate, cum ar fi cele furnizate prin intermediul Kaspersky Automated Security Awareness Platform vă pot ajuta.
• Utilizați o soluție fiabilă de securitate la nivel endpoint, cum ar fi Kaspersky Endpoint Security for Business. KESB are mecanisme de autoapărare, care pot preveni eliminarea acestuia de către infractorii cibernetici.