Co nowego w świecie ransomware? Strategie przestępców w Q4 2021.

Zanim przejdziemy do szczegółów, odsyłam do opracowania, które relacjonowaliśmy niedawno:

Jak negocjować (i czy w ogóle) z operatorami ransomware? Jakie są wpłacane kwoty? Ile średnio kosztuje odszyfrowanie PC-ta?

Przechodząc do głównego tematu. Ekipa Coveware opublikowała nowy raport (Q4 2021) dotyczący aktywności ransomware. Jak obecnie ransomware dostaje się do firm? Poniżej widać pewien niepokojący trend: cały czas wzrasta liczba skutecznych ataków, które wykorzystują podatności aplikacyjne:

Co to za podatności? Głównie w firmwarze SSLVPN (ich panele webowe…). Cały czas eksplorowane są dobrze rozpoznane, stare luki („panie, po co paczować? przecież wszystko działa”):

CVE-2021-34473 and CVE-2021-26855: The top 2 most exploited vulnerabilities were Microsoft Exchange vulnerabilities that allowed for remote code execution (RCE) by an attacker. 

CVE-2018-13379: The third most common vulnerability observed was an issue with Fortinet firewall appliances that allows unauthenticated attackers to download system files via special HTTP resource requests.

Obecnie atakowane są przede wszystkim średnie firmy (duże mogą mieć bdb incident response, małe mają mało pieniędzy). Nie oznacza to też, że duzi mogą spać spokojnie (firmy mające > 1000 pracowników stanowią około ~14% wszystkich ataków).

Jakie branże są atakowane najczęściej? W zasadzie wszystko jak leci (professional services, też można by podzielić na podkategorie):

Na koniec – niestety średnia kwota okupu idzie w górę:

Jeśli interesuje Cię tematyka ransomware – zobacz przeczytaj również nasz poradnik w temacie: ransomware – zapiski z placu boju.

~Michał Sajdak