Η Ημέρα κατά του Ransomware καθιερώθηκε στις 12 Μαΐου 2020 από την INTERPOL σε συνεργασία με την Kaspersky για να τιμήσει την επέτειο της διαβόητης επίθεσης ransomware WannaCry που έλαβε χώρα στις 12 Μαΐου 2017. Σκοπός της Ημέρας κατά του ransomware είναι να ευαισθητοποιήσει τον κόσμο σχετικά με τις απειλές που θέτει το ransomware και να προωθήσει τις βέλτιστες πρακτικές για την πρόληψη και την αντιμετώπισή του.
Καθώς η Διεθνής Ημέρα κατά του Ransomware πλησιάζει, η Kaspersky παρουσιάζει την ετήσια έκθεσή της σχετικά με το εξελισσόμενο παγκόσμιο και περιφερειακό τοπίο κυβερνοαπειλών ransomware.
Σύμφωνα με τα στοιχεία του Kaspersky Security Network, οι περιοχές της Μέσης Ανατολής, της Ανατολικής Ασίας και της Αφρικής είναι στις πρώτες θέσεις της λίστας όσον αφορά το ποσοστό των χρηστών που δέχονται επιθέσεις από ransomware, ενώ η Λατινική Αμερική, η Κοινοπολιτεία Ανεξάρτητων Κρατών (CIS) και η Ευρώπη ακολουθούν. Σε παγκόσμιο επίπεδο από το 2023 έως το 2024 το ποσοστό των χρηστών που προσβλήθηκαν από επιθέσεις ransomware αυξήθηκε στο 0,44% κατά 0,02 p.p. Το φαινομενικά μικρό ποσοστό είναι τυπικό για το ransomware και εξηγείται από το γεγονός ότι οι επιτιθέμενοι συχνά δεν χρησιμοποιούν μαζικά αυτό το είδος κακόβουλου λογισμικού, αλλά δίνουν προτεραιότητα σε στόχους υψηλής αξίας, γεγονός που μειώνει τον συνολικό αριθμό των περιστατικών.
Στις περιοχές της Μέσης Ανατολής και της Ασίας-Ειρηνικού, το ransomware επηρέασε μεγαλύτερο ποσοστό χρηστών λόγω του ταχέως ψηφιακού μετασχηματισμού, της επέκτασης των επιφανειών επίθεσης και των διαφορετικών επιπέδων ετοιμότητας της κυβερνοασφάλειας. Οι επιχειρήσεις στην Ανατολική Ασία αποτελούσαν στόχο ως αποτέλεσμα των επιθέσεων σε επιχειρησιακές υποδομές, ιδίως σε χώρες με αναπτυσσόμενες οικονομίες και νέους νόμους για το απόρρητο των δεδομένων.
Οι απειλές ransomware είναι λιγότερο διαδεδομένες στην Αφρική λόγω των χαμηλών ρυθμών της ψηφιακής μετάβασης αλλά και λόγω οικονομικών περιορισμών που μειώνουν τους στόχους υψηλής αξίας. Ωστόσο, καθώς χώρες όπως η Νότια Αφρική και η Νιγηρία επεκτείνουν τις οικονομικές τους δραστηριότητες στο διαδίκτυο, οι επιθέσεις ransomware αυξάνονται, ιδίως στον κατασκευαστικό και χρηματοπιστωτικό κλάδο αλλά και σε κυβερνητικές υπηρεσίες. Η ελλιπής ενημέρωση για τη σημασία της κυβερνοασφάλειας και η περιορισμένη χρηματοδότηση αφήνουν πολλούς οργανισμούς ευάλωτους, αν και η μικρότερη επιφάνεια επίθεσης σημαίνει ότι η Αφρική παραμένει πίσω συγκριτικά με άλλες περιοχές.
Στη Λατινική Αμερική εμφανίζονται επίσης επιθέσεις ransomware, ιδίως στη Βραζιλία, την Αργεντινή, τη Χιλή και το Μεξικό. Ο κατασκευαστικός κλάδος, οι κυβερνητικές υπηρεσίες, ο αγροτικός τομέας καθώς και κρίσιμοι τομείς όπως η ενέργεια και το λιανεμπόριο αποτελούν στόχους, ωστόσο οι οικονομικοί περιορισμοί και τα δυνητικά μικρότερα λύτρα αποτρέπουν ορισμένους επιτιθέμενους. Παρόλα αυτά, η αυξανόμενη χρήση των ψηφιακών εργαλείων στη Λατινική Αμερική αυξάνει τους κίνδυνους.
Στην Κοινοπολιτεία Ανεξάρτητων Κρατών το ποσοστό των χρηστών που αντιμετωπίζουν επιθέσεις ransomware είναι μικρότερο. Ωστόσο, ομάδες χάκερ όπως η Head Mare, η Twelve και άλλες που δραστηριοποιούνται στην περιοχή χρησιμοποιούν συχνά ransomware όπως το LockBit 3.0 για να προκαλέσουν ζημιά σε οργανισμούς-στόχους. Ο κατασκευαστικός κλάδος, το λιανεμπόριο αλλά και κυβερνητικές υπηρεσίες αποτελούν τους πιο συχνούς στόχους, ενώ τα διαφορετικά επίπεδα ετοιμότητας της κυβερνοασφάλειας στην περιοχή επηρεάζουν την ασφάλεια.
Η Ευρώπη αποτελεί σταθερά στόχο ransomware, αλλά επωφελείται από ισχυρά πλαίσια και κανονισμούς κυβερνοασφάλειας που αποτρέπουν ορισμένους επιτιθέμενους. Τομείς όπως ο κατασκευαστικός κλάδος, η γεωργία και η εκπαίδευση γίνονται συχνά στόχοι, αλλά η ώριμη αντιμετώπιση περιστατικών και η ευαισθητοποίηση περιορίζουν το εύρος των επιθέσεων. Οι διαφοροποιημένες οικονομίες και οι ισχυρές άμυνες της περιοχής την καθιστούν λιγότερο σημείο εστίασης για ομάδες ransomware από ό,τι περιοχές με ταχεία, λιγότερο ασφαλή ψηφιακή ανάπτυξη.
Τρέχουσες και αναδυόμενες τάσεις ransomware
Τα εργαλεία τεχνητής νοημοσύνης χρησιμοποιούνταν όλο και περισσότερο στη δημιουργία απειλών τύπων ransomware, όπως έδειξε η FunkSec, μια ομάδα ransomware που εμφανίστηκε στα τέλη του 2024 και απέκτησε γρήγορα φήμη ξεπερνώντας καθιερωμένες ομάδες όπως η Cl0p και η RansomHub με πληθώρα επιθέσεων μόνο τον Δεκέμβριο. Λειτουργώντας στο πλαίσιο ενός μοντέλου Ransomware-as-a-Service (RaaS), ηFunkSec χρησιμοποιεί τακτικές διπλού εκβιασμού - συνδυάζοντας την κρυπτογράφηση με τη διαρροή δεδομένων - στοχεύοντας σε κυβερνητικούς οργανισμούς αλλά και σε κλάδους όπως η τεχνολογία, η εκπαίδευση και τα χρηματοπιστωτικά ιδρύματα στην Ευρώπη και την Ασία. Η μεγάλη εξάρτηση της ομάδας από εργαλεία που υποστηρίζονται από την ΤΝ την κάνει να ξεχωρίζει, με το ransomware της να διαθέτει κώδικα που δημιουργείται από την ΤΝ, τα οποία πιθανότατα παράγονται από Μεγάλα Γλωσσικά Μοντέλα (LLM) για να ενισχύσουν την ανάπτυξη και να αποφύγουν την ανίχνευση. Σε αντίθεση με τις τυπικές ομάδες ransomware που απαιτούν εκατομμύρια, η FunkSec υιοθετεί μια προσέγγιση υψηλού όγκου και χαμηλού κόστους με ασυνήθιστα χαμηλές απαιτήσεις λύτρων, αναδεικνύοντας περαιτέρω την καινοτόμο χρήση της ΤΝ για τον εξορθολογισμό των εργασιών της.
Το μοντέλο RaaS (Ransomware-as-a-Service) παραμένει το κυρίαρχο πλαίσιο για τις επιθέσεις ransomware, τροφοδοτώντας τη διάδοσή τους μειώνοντας τα τεχνικά εμπόδια για τους κυβερνοεγκληματίες. Το 2024, οι πλατφόρμες RaaS, όπως η RansomHub, πέτυχαν προσφέροντας κακόβουλο λογισμικό, τεχνική υποστήριξη και συμβεβλημένα προγράμματα που μοιράζονται την αμοιβή. Αυτό το μοντέλο επιτρέπει σε λιγότερο ειδικευμένους φορείς να εκτελούν εξελιγμένες επιθέσεις, συμβάλλοντας στην εμφάνιση πολλών νέων ομάδων ransomware μόνο το 2024.
Το 2025, αναμένεται ότι το ransomware θα εξελιχθεί αξιοποιώντας μη συμβατικές ευπάθειες, όπως έδειξε και η χρήση κάμερας web από την ομάδα Akira για την παράκαμψη των συστημάτων ανίχνευσης και απόκρισης σε τερματικές συσκευές και τη διείσδυση σε εσωτερικά δίκτυα. Οι επιτιθέμενοι είναι πιθανό να στοχεύουν ολοένα και περισσότερο σε παραμελημένα σημεία εισόδου, όπως οι συσκευές IoT, οι έξυπνες οικιακές συσκευές ή λανθασμένα διαμορφωμένο υλικό στον χώρο εργασίας, εκμεταλλευόμενοι την αυξανόμενη επιφάνεια επίθεσης που δημιουργείται από τα διασυνδεδεμένα συστήματα. Καθώς οι οργανισμοί ενισχύουν τις παραδοσιακές άμυνες, οι κυβερνοεγκληματίες θα τελειοποιήσουν τις τακτικές τους, εστιάζοντας στην κρυφή αναγνώριση και την παράλληλη μετακίνηση εντός των δικτύων για την ανάπτυξη ransomware με μεγαλύτερη ακρίβεια, καθιστώντας δυσκολότερη την ανίχνευση και την άμεση απόκριση από την πλευρά των αμυνόμενων.
Η εξάπλωση μεγάλων γλωσσικών μοντέλων (LLMs) προσαρμοσμένων στο κυβερνοέγκλημα θα ενισχύσει περαιτέρω την εμβέλεια και τον αντίκτυπο του ransomware. Τα LLMs που διατίθενται στο dark web μειώνουν τα τεχνικά εμπόδια για τη δημιουργία κακόβουλου κώδικα, επιθέσεων ηλεκτρονικού "ψαρέματος" (phishing) και κοινωνικής μηχανικής, επιτρέποντας ακόμα και σε λιγότερο έμπειρους δράστες να δημιουργούν άκρως πειστικά δολώματα ή να αυτοματοποιούν την ανάπτυξη ransomware. Καθώς καινοτόμες έννοιες όπως η RPA (Αυτοματοποιημένη Ρομποτική Διαδικασία) και οι πλατφόρμες LowCode —που προσφέρουν ένα διαισθητικό, οπτικό, με τη βοήθεια AI, περιβάλλον drag-and-drop για ταχεία ανάπτυξη λογισμικού— υιοθετούνται όλο και περισσότερο από προγραμματιστές, είναι πιθανό οι δημιουργοί ransomware να αξιοποιήσουν κι αυτοί αυτά τα εργαλεία για να αυτοματοποιήσουν τις επιθέσεις τους και την ανάπτυξη νέου κακόβουλου κώδικα, καθιστώντας την απειλή του ransomware ακόμα πιο διαδεδομένη.
«Το ransomware αποτελεί μία από τις πιο επείγουσες απειλές στον τομέα της κυβερνοασφάλειας που αντιμετωπίζουν σήμερα οι οργανισμοί, με τους επιτιθέμενους να στοχεύουν επιχειρήσεις κάθε μεγέθους και σε κάθε περιοχή. Στην έκθεσή μας επισημαίνουμε μια ανησυχητική στροφή προς την εκμετάλλευση ευαίσθητων σημείων εισόδου — όπως οι συσκευές IoT, οι έξυπνες οικιακές συσκευές και ο κακώς διαμορφωμένος ή παρωχημένος εξοπλισμός στον χώρο εργασίας. Αυτά τα αδύναμα σημεία συχνά δεν παρακολουθούνται, γεγονός που τα καθιστά ιδανικούς στόχους για τους κυβερνοεγκληματίες. Για να διατηρηθεί η ασφάλεια, οι οργανισμοί χρειάζονται μια πολυεπίπεδη άμυνα: ενημερωμένα συστήματα, τμηματοποίηση δικτύου, παρακολούθηση σε πραγματικό χρόνο, ισχυρά αντίγραφα ασφαλείας και συνεχή εκπαίδευση των χρηστών. Η οικοδόμηση μιας κουλτούρας για την κυβερνοασφάλεια σε κάθε επίπεδο είναι εξίσου σημαντική με την επένδυση στη σωστή τεχνολογία», σχολιάζει ο Marc Rivero, Επικεφαλής Ερευνητής Ασφαλείας της Kaspersky GReAT.
Την Ημέρα κατά του Ransomware και όχι μόνο, η Kaspersky ενθαρρύνει τους οργανισμούς να ακολουθήσουν αυτές τις βέλτιστες πρακτικές για να προστατευτούν από το ransomware:
- Εγκαταστήστε προστασία από ransomware για όλα τα τερματικά σημεία. Υπάρχει το δωρεάν εργαλείο Kaspersky Anti-Ransomware Tool for Business που προστατεύει τους υπολογιστές και τους διακομιστές από ransomware και άλλους τύπους κακόβουλου λογισμικού, αποτρέπει τα exploits και είναι συμβατό με προ-εγκατεστημένες λύσεις ασφαλείας.
- Διατηρείτε πάντα ενημερωμένο το λογισμικό σε όλες τις συσκευές που χρησιμοποιείτε για να αποτρέψετε τους επιτιθέμενους από το να εκμεταλλευτούν τα τρωτά σημεία και να διεισδύσουν στο δίκτυό σας.
- Εστιάστε τη στρατηγική άμυνάς σας στον εντοπισμό πλευρικών κινήσεων και εξαγωγής δεδομένων προς το διαδίκτυο. Δώστε ιδιαίτερη προσοχή στην εξερχόμενη κίνηση για να εντοπίσετε πιθανές συνδέσεις κυβερνοεγκληματιών με το δίκτυό σας. Ρυθμίστε αντίγραφα ασφαλείας εκτός σύνδεσης, στα οποία οι εισβολείς δεν μπορούν να παρέμβουν. Βεβαιωθείτε ότι μπορείτε να τα προσπελάσετε γρήγορα όταν χρειαστεί ή σε περίπτωση έκτακτης ανάγκης.
- Εγκαταστήστε λύσεις anti-APT και EDR, οι οποίες προσφέρουν δυνατότητες για εντοπισμό και ανίχνευση προηγμένων απειλών, διερεύνηση περιστατικών και έγκαιρη αντιμετώπισή τους. Παρέχετε στην ομάδα του SOC σας πρόσβαση στις πιο πρόσφατες πληροφορίες για απειλές (threat intelligence) και φροντίστε για τη συνεχή επιμόρφωσή τους μέσω επαγγελματικής κατάρτισης. Όλα τα παραπάνω παρέχονται στο πλαίσιο της λύσης Kaspersky Expert Security.
- Χρησιμοποιήστε τις πιο πρόσφατες πληροφορίες Threat Intelligence για να παραμένετε ενήμεροι σχετικά με τις πραγματικές Τακτικές, Τεχνικές και Διαδικασίες (TTPs) που χρησιμοποιούν οι φορείς απειλών.
- Για την προστασία της εταιρείας από ένα ευρύ φάσμα απειλών, χρησιμοποιήστε λύσεις από τη σειρά προϊόντων Kaspersky Next, οι οποίες προσφέρουν προστασία σε πραγματικό χρόνο, ορατότητα απειλών, καθώς και δυνατότητες διερεύνησης και απόκρισης μέσω EDR και XDR, για οργανισμούς κάθε μεγέθους και κλάδου. Ανάλογα με τις τρέχουσες ανάγκες και τους διαθέσιμους πόρους σας, μπορείτε να επιλέξετε το κατάλληλο επίπεδο προϊόντος και να μεταβείτε εύκολα σε άλλο, εφόσον αλλάξουν οι απαιτήσεις σας σε θέματα κυβερνοασφάλειας.
