Fortra. Ποια είναι η σχέση του ransomware με το phishing;
Το ransomware (λυτρισμικό) και το phishing (ηλεκτρονικό ψάρεμα) συνήθως τοποθετούνται σε δύο ξεχωριστές κατηγορίες όταν συζητάμε για μεθοδολογίες κυβερνοεπιθέσεων. Παρόλα αυτά, οι χειριστές ransomware αξιοποιούν ολοένα και περισσότερο τις τακτικές ηλεκτρονικού ψαρέματος για να προωθήσουν και να αξιοποιήσουν τα κακόβουλα φορτία τους και, ως αποτέλεσμα, η πιθανότητα παραβιάσεων αυξάνεται.
Ransomware και Phishing – το καταστροφικό ζευγάρι
Το phishing είναι το νούμερο ένα όχημα παράδοσης ransomware, αναφέρει η εταιρεία διαχείρισης κινδύνων Deloitte. Εκπρόσωποι του κλάδου συμφωνούν με το phishing να αναγνωρίζεται ως το βασικό όχημα για το ransomware στην Τριμηνιαία Έκθεση Ransomware για το 4ο τρίμηνο του 2020 της Coveware. Το phishing ξεπέρασε το RDP (Remote Desktop Protocol) ως τον κορυφαίο φορέα της αρχικής επίθεσης με την ταχύτατη υϊοθέτηση της απομακρυσμένης εργασίας το 2020 εξαιτίας της πανδημίας του νέου κορωνοϊού. Από τότε, το phishing «ανελίχθηκε» στην παγκόσμια κατάταξη ως ο ταχύτερος τρόπος λήψης κακόβουλου κώδικα από έναν οργανισμό.
Σε μία πρόσφατη έρευνα, αποκαλύφθηκε ότι ένα εκπληκτικό 78% των οργανισμών υπέστη μία ή περισσότερες επιθέσεις ransomware το 2021. Από τους οργανισμούς που έπεσαν θύματα, το 68% δήλωσε ότι η επίθεση προήλθε από ένα άμεσο φορτίο μηνύματος ηλεκτρονικού ταχυδρομείου, από την παράδοση κακόβουλου λογισμικού δεύτερου σταδίου (ένα συνημμένο) ή από παρόμοια αιτία. Την ίδια χρονιά, η μελέτη Cyber Resilient Organization της IBM επισήμανε ως τις τρεις κορυφαίες αιτίες ransomware τα μέσα κοινωνικής δικτύωσης (19%), της κακόβουλες ιστοσελίδες (22%) και το phishing (45%).
Η λογική; Τα μηνύματα ηλεκτρονικού ψαρέματος (phishing emails) είναι εύκολο να σταλούν και να δελεάσουν ένα ανυποψίαστο θύμα που έχει ελάχιστη επίγνωση μίας επίθεσης. Ως ένα προσεκτικά σχεδιασμένο όπλο μίας μηχανορραφίας κοινωνικής μηχανικής, τα μηνύματα ηλεκτρονικού ταχυδρομείου είναι προσαρμοσμένα σε συγκεκριμένους στόχους και έχουν τεχνηέντως σχεδιαστεί για να φαίνεται ότι προέρχονται από νόμιμους, ακόμη και οικείους, αποστολείς. Αντιμέτωποι με δύσκολα διαχειρίσιμους όγκους email, ακόμη και οι άλλοτε προσεκτικοί χρήστες αποτυγχάνουν να ελέγξουν σωστά την εισερχόμενη αλληλογραφία τους και να διακρίνουν τις μικρές αλλαγές που διαφορετικά θα αποτελούσαν «κόκκινη σημαία» και θα τους φαίνονταν ύποπτες. Μόλις το θύμα ανοίξει ένα μήνυμα ηλεκτρονικού ταχυδρομείου από την -υποτίθεται- «τράπεζα» του ή τον «πάροχο υπηρεσιών διαδικτύου» του και επιβεβαιώσει μερικά στοιχεία λογαριασμού -ή κάνοντας απλώς κλικ στην κακόβουλη διεύθυνση ιστοτόπου που έχει λάβει– το φορτίο «πυροδοτείται» ξεκινώντας άμεσα τη διαδικασία της κλοπής ή/και της κρυπτογράφησης ευαίσθητων δεδομένων. Μόλις ολοκληρωθεί αυτή η διαδικασία, οι χρήστες κλειδώνονται και εμφανίζεται ένα μήνυμα για την πληρωμή λύτρων.
Phishing στα μέσα κοινωνικής δικτύωσης
Αν και χρησιμοποιούνται ευρέως σε διακομιστές μηνυμάτων ηλεκτρονικού ταχυδρομείου, οι επιθέσεις phishing δεν περιορίζονται στα εισερχόμενα σας. Ένας από τους ανερχόμενους φορείς, όπως σημειώνεται και από τη μελέτη της IBM, είναι τα μέσα κοινωνικής δικτύωσης. Εργαλεία συνεργασίας, όπως το Teams και το Slack, αποτελούν κορυφαίες τοποθεσίες για την εδραίωση εμπιστοσύνης και την εκμετάλλευση «συναδέλφων». Μέσα κοινωνικής δικτύωσης επίσης όπως το LinkedIn είναι ιδιαίτερα ευάλωτοι στις επιθέσεις αυτού του τύπου. Ως πλατφόρμες που έχουν δημιουργηθεί για τη σύνδεση με αγνώστους, ενθαρρύνουν άμεσα μηνύματα που συχνά περιέχουν συνδέσμους προς κοινά επαγγελματικά ενδιαφέροντα. Πολλοί από αυτούς τους συνδέσμους είναι αξιόπιστοι -κάποιοι άλλοι όμως όχι. Και δυστυχώς, με το ransomware δεν απαιτείται κάτι περισσότερο από ένα μόνο κλικ.
Οι χειριστές ransomware συγκεντρώνουν επίσης τις προσωπικές πληροφορίες που κοινοποιούνται σε ιστότοπους κοινωνικής δικτύωσης για να δημιουργήσουν ακόμα περισσότερο προσαρμοσμένες και στοχευμένες επιθέσεις. Η αυθεντικότητα και η αξιοπιστία πολλών μηνυμάτων -«Γεια σου Νίκο, ήταν υπέροχο που μιλήσαμε στην DEF CON. Να, αυτός είναι ο σύνδεσμος για αυτό που λέγαμε»- μπορεί να ξεγελάσει ακόμα και τους πιο έμπειρους. Και, όπως αναφέρει η Deloitte, «πολλοί χρήστες απλώς δεν είναι αρκετά υποψιασμένοι όταν λαμβάνουν αιτήματα για να κάνουν πράγματα όπως να μεταφέρουν χρήματα, να ανοίξουν συνημμένα ή να παρέχουν ευαίσθητες πληροφορίες».
Δυστυχώς, οι χρήστες δεν χρειάζεται καν να εμπλακούν ή να ανακατευτούν οι ίδιοι για να κινδυνεύσουν. Ένα εργαλείο ransomware που ανακαλύφθηκε το 2016 «σάρωνε» τους λογαριασμούς κοινωνικής δικτύωσης των θυμάτων του για να δημιουργήσει ειδικά προσαρμοσμένες εκστρατείες, απειλώντας τους στόχους ότι θα τους δει στις δικαστικές αίθουσες αν δεν πληρώνονταν τα λύτρα. Οι ερευνητές ασφαλείας επισημαίνουν επίσης τη δραστηριότητα ransomware που έχει επίκεντρο το Facebook, επιτρέποντας στους εισβολείς να ενσωματώσουν κακόβουλο κώδικα σε μεταφορτωμένα αρχεία εικόνας, τα οποία στη συνέχεια, εξαιτίας μίας εσφαλμένης διαμόρφωσης, οι χρήστες αναγκάστηκαν να κατεβάσουν στους υπολογιστές τους.
AI-Powered Ransomware
Αυτό που επί του παρόντος μας σώζει, είναι ότι η εξατομικευμένες ή προσαρμοσμένες επιθέσεις phishing για την εφαρμογή ransomware είναι μία αρκετά χρονοβόρα διαδικασία. Απαιτεί ανθρώπινο έργο και διορατικότητα και είναι δύσκολο να εφαρμοστεί σε μεγάλη κλίμακα. Ωστόσο, η Τεχνητή Νοημοσύνη θα μπορούσε να καλύψει το χάσμα και να καταστήσει ακόμα και αυτή τη διαδικασία αυτόματη σύντομα. «Έχουμε ήδη δει [ομάδες ransomware] να προσλαμβάνουν ειδικούς στις δοκιμές παρείσδυσης για να διεισδύσουν σε δίκτυα ώστε να κατανοήσουν πως να εγκαταστήσουν ransomware. Το επόμενο βήμα θα μπορούσε να είναι η πρόσληψη ειδικών στη Μηχανική Εκμάθηση (ML) και στην Τεχνητή Νοημοσύνη (AI) για να μάθουν να αυτοματοποιούν τις εκστρατείες malware τους» δήλωσε ο ειδικός σε θέματα κυβερνοασφάλειας Mikko Hyppönen. Ο Mark Driver, Vice President of Research στην Gartner δήλωσε πρόσφατα ότι κάτι τέτοιο θα μπορούσε να επιταχύνει σημαντικά τις επιθέσεις του είδους. «Δεν αξίζει τον κόπο, αν χρειάζονται πολλές, πολλές ώρες για να το κάνουν χειροκίνητα» εξηγεί. «Όμως αν καταφέρουν να το αυτοματοποιήσουν, τότε θα αξίζει τον κόπο». Εν κατακλείδι: «Είναι τρομακτικό».
Ο κίνδυνος δεν είναι μόνο τα μοντέλα ransomware που λειτουργούν με τεχνητή νοημοσύνη, αλλά τα deepfakes που βασίζονται σε τεχνητή νοημοσύνη και τα οποία μπορούν να υποδυθούν νόμιμες πηγές και να κάνουν τις όποιες επιχειρήσεις ή εκστρατείες ηλεκτρονικού ψαρέματος πολύ πειστικότερες. Οι περιπτώσεις που έχουν αναφερθεί για τη χρήση τεχνολογίας τεχνητής νοημοσύνης που αλλάζει το πρόσωπο και τη φωνή αυξήθηκαν κατά 13% πέρυσι και το 66% των ερωτηθέντων επαγγελματιών στον τομέα της κυβερνοασφάλειας ανέφεραν ότι είδαν μία τέτοια τεχνολογία εν δράση τους τελευταίους δώδεκα μήνες. Τα deepfakes στις κυβερνοεπιθέσεις δεν έρχονται, βρίσκονται ήδη εδώ.
Αποτρέψτε τις επιθέσεις ηλεκτρονικού ψαρέματος και το λυτρισμικό
Μια έκθεση από τον κλάδο επισημαίνει ότι ο αριθμός των επιθέσεων ransomware διπλασιάστηκε από έτος σε έτος το 2021 και υπενθυμίζουμε ότι σχεδόν το 80% των οργανισμών υπέστη τουλάχιστον μία επίθεση. Και αυτό καθιστά τις εκτιμήσεις και τις προβλέψεις για το μέλλον, δυσοίωνες. Παρόλα αυτά, η καλύτερη άμυνα είναι η επίθεση και υπάρχουν αρκετές επιθετικές στρατηγικές για τον μετριασμό των επιθέσεων ransomware.
Οι κυβερνοεγκληματίες δεν είναι οι μόνοι που μπορούν να προσλάβουν ειδικούς στις δοκιμές παρείσδυσης (penetration testing). Η σάρωση του περιβάλλοντός σας για αδύναμα, τρωτά σημεία είναι ένας από τους καλύτερους τρόπους για να θέσετε υπό δοκιμασία το περιβάλλον σας προτού οι επιτιθέμενοι μπορέσουν να εκμεταλλευτούν τα τρωτά του σημεία. Δεδομένου ότι το 82% των παραβιάσεων αποδίδονται στο «ανθρώπινο στοιχείο» -συμπεριλαμβανομένου και ενός υγιούς μεριδίου σφαλμάτων- είναι σχεδόν αναπόφευκτο ότι, παρά τις καλύτερες προσπάθειες ενός οργανισμού, κάποια στιγμή μία επιχείρηση ή εκστρατεία phishing θα πετύχει τον στόχο της. Όταν συμβεί αυτό, το κακόβουλο λογισμικό θα διεισδύσει στο δίκτυο αναζητώντας συστήματα προς εκμετάλλευση και δεδομένα για να εξάγει. Το λεγόμενο «red teaming», η προσομοίωση επίθεσης και το black box fuzzing θα επιτρέψουν στην ομάδα σας να δει τι είναι δυνατό να κάνουν οι επιτιθέμενοι κυβερνοεγκληματίες προτού το κάνουν.
Η ασφάλεια ηλεκτρονικού ταχυδρομείου και τα μέτρα κατά του phishing είναι απαραίτητο να συνδυαστούν με μια επιθετική στρατηγική ασφάλειας για να απολαύσετε τα οφέλη της καλύτερης defence-in-depth προσέγγισης. Μαζί, επικεντρώνονται στο να αποτρέψουν την «πυροδότηση» του φορτίου ransomware και την πρόκληση βλάβης στο δίκτυό σας.
Πηγή: Fortra