In ultimii ani, amenintarile de tip ransomware - care blocheaza accesul la date si apoi solicita recompensa - au devenit din ce in ce mai raspandite, iar potrivit specialistilor in securitate informatica de la Bitdefender proiectia pentru 2024 este ca ransomware sa persiste si sa ajunga la un stadiu de maturitate. Daca in trecut, atacatorii informatici dezvoltau amenintari cibernetice pentru distractie sau pentru a crea haos, astazi ei sunt motivati de castigurile financiare si de posibilitatea de a transfoma atacurile in venituri constante.

Iata care sunt previziunile facute de cercetatorii Bitdefender privind evolutia ransomware in 2024:

 

Actorii amenintarilor ransomware vor continua sa fie mai oportunisti in 2024 si sa actioneze prompt odata descoperite noi vulnerabilitati. Pe masura ce companiile adopta masuri de prioritizare a remedierii si de raspuns rapid, grupari cu resurse mai bogate vor incepe sa investeasca in vulnerabilitati nedescoperite in programe software (zero-day). Gruparile din spatele amenintarilor ransomware vor continua sa vizeze programele din companii ale caror cicluri traditionale de mentenanta creeaza o fereastra de oportunitate mai buna pentru atacatori. Acestea adopta, de obicei, o abordare mai conservatoare de implementare in etape a remedierilor, spre deosebire de mecanismele complet automatizate si actualizate din sfera programelor pentru utilizatorii obisnuiti.

 

Odata ce sute sau mii de retele au fost compromise automat, urmeaza un proces manual de triaj. Selectia este esentiala pentru a determina potentialul de plata ca rascumparare, luand in calcul factori precum dimensiunea industriei sau a companiei. Cele mai vizate industrii de ransomware sunt cele de productie, in timp ce sectorul medical sau birourile de avocatura raman mai vulnerabile la furtul de date. Studiourile de jocuri ar trebui sa fie in alerta, intrucat este probabil ca atacurile impotriva lor sa se intensifice in 2024. Intreprinderile mici si mijlocii cu potential limitat de plata a unei rascumparari servesc drept surse pentru a lansa atacuri catre alte companii, adesea prin conexiuni VPN/VDI sau compromiterea adreselor de email oficiale. In acest scenariu, cel mai de pret lucru pentru atacatori nu este ce detine organizatia respectiva, ci pe ce cine cunoaste. Exploatarea unei vulnerabilitati poate compromite o companie prin lantul de aprovizionare si diversi furnizori, desi unii nu utilizeaza direct programul atacat.

 

Atacatorii ransomware continua sa adopte Rust ca limbaj principal de programare, iar asta le permite sa dezvolte un cod mai sigur si mai greu de interceptat de catre cercetatorii in securitate informatica. In loc de a cripta complet fisierele, codul ransomware va favoriza criptarea intermitenta si va migra gradual spre o criptare post-cuantica precum criptarea NTRU. Criptarea intermitenta presupune criptarea unei parti dintr-un fisier si ofera doua avantaje importante: in primul rand, devine mai dificil pentru solutiile de securitate sa detecteze atacul datorita similitudinii statistice dintre fisierul criptat partial si cel original, iar in al doilea rand, procesul de criptare este mai rapid si ofera atacatorilor posibilitatea de a cripta mai multe fisiere intr-un anumit interval de timp.

 

Criptarea datelor va continua sa faca parte din arsenalul gruparilor sofisticate de ransomware, insa furtul si sustragerea de date vor continua sa castige teren, intrucat aceste atacuri aduc castiguri financiare mult mai mari. Spre deosebire de ransomware, sustragerea de date nu duce la distrugerea lor, ceea ce permite grupurilor de ransomware sa pretinda ca sunt testeri de penetrare involuntara. Mai mult, victimele pot mentine aparenta de confidentialitate a datelor, intrucat atacatorii se ofera sa gestioneze in mod discret astfel de brese. Actorii cibernetici exploateaza legislatia pentru a forta victimele sa accepte cereri mai mari de rascumparare, iar unele victime prefera sa plateasca o rascumparare pentru a evita amenzi sau un impact negativ asupra reputatiei.

 

Tranzitia de la cei cu competente generale la cei specializati in securitate este accelerata de modelul de business al acestor grupari criminale, Ransomware-as-a-Service (RaaS), care recruteaza in mod activ membri cu abilitati avansate si studii superioare. Pentru a maximiza valoarea rascumpararii, o intelegere profunda a modului in care organizatiile functioneaza este cruciala, ceea ce aduce in prim plan importanta asigurarii cibernetice, a conformitatii si expertizei legislative. Acest lucru deschide noi oportunitati si pentru specialistii non-tehnici de a se alatura acestora. Pe masura ce gruparile din spatele amenintarilor ransomware se bazeaza din ce in ce mai mult pe specialisti, notorietatea si reputatia lor vor juca un rol tot mai central si ar putea deveni o vulnerabilitate.

 

Cresterea gradului de sofisticare a gruparilor de ransomware in 2024 va conduce la adoptarea pe scara larga a instrumentelor si tehnicilor asociate in mod traditional cu actorii amenintarilor sponsorizati de guverne. Pe masura ce companiile vor adopta capacitati eficiente de aparare, precum servicii de administrare, detectie si raspuns, va fi mult mai dificil pentru gruparile sponsorizate de actori statali sa-si ascunda activitatile, ceea ce le va forta sa mizeze pe amenintari informatice personalizate complexe si vectori sofisticati de atac, printre care si atacuri asupra lanturilor de aprovizionare.

 

Asteptarile cercetatorilor Bitdefender sunt ca si anul 2024 sa fie unul dominat de ransomware. Insa modelul de business al amenintarilor de tip ransomware a evoluat in mod semnificativ din 2017, astfel ca in prezent ne aflam in mijlocul unei tranzitii.

Recomandarea specialistilor pentru utilizatori este sa ramana informati cu privire la ultimele trenduri in domeniul securitatii cibernetice si sa prioritizeze strategiile de aparare precum implementarea securitatii stratificate care incorporeaza capacitati de prevenire, detectare si raspuns la amenintari.