Ransomware to każdy typ szantażującego malware. Najczęstszym podtypem jest ten, który szyfruje dokumenty, zdjęcia, filmy, bazy danych i inne pliki na komputerze ofiary. Te pliki stają się nieużywalne bez wcześniejszego ich odszyfrowania. Aby odszyfrować pliki, atakujący żądają pieniędzy, „okupu”, stąd nazwa ransomware.
Powszechność ransomware na pewno nie maleje. Wręcz przeciwnie. Według badań Chainalysis, całkowita suma wyłudzonych pieniędzy w pierwszej połowie 2023 roku wynosi około 450 milionów dolarów (w porównaniu do 280 milionów w pierwszej połowie 2022). Jest to spowodowane zmianą taktyki operatorów ransomware – mają tendencję do atakowania większych ofiar, co przynosi możliwość uzyskania większych kwot płatności okupu. Średni rozmiar płatności dla najpopularniejszych szczepów wynosi aż 1,7 miliona dolarów USD (ransomware Cl0p) i 1,5 miliona (BlackCat ransomware).
Podatności w popularnych aplikacjach firm trzecich powszechnie używanych w firmach ułatwiają zadanie atakującym. Pisaliśmy o podatności na ataki SQL injection w oprogramowaniu Progress MOVEit w poprzednim raporcie o zagrożeniach.
Oprócz szyfrowania danych ofiary, gangi ransomware coraz częściej dokonują wymuszeń danych. Szyfrowanie danych może zostać rozwiązane, jeśli firma ma dobrą politykę tworzenia kopii zapasowych danych; wymuszenie danych i późniejsze wyciekanie wewnętrznych dokumentów może być problemem niezależnie od tego. Również warto pamiętać, że gdy okup jest zapłacony, nie zawsze dotrzymują obietnicy usunięcia wyłudzonych danych.
Jednym z nowych szczepów ransomware, który pojawił się w tym kwartale, był Rhysida. Pierwsza wzmianka o tym ransomware pojawiła się w maju 2023 roku, a strona wycieków ransomware już wymienia około pięćdziesięciu organizacji, które zostały zaatakowane – rządowe, służba zdrowia, IT, samorządy.
Strona wycieku Rhysida w Dark web
Szyfrator używany przez gang Rhysida to plik EXE 32-bitowy lub 64-bitowy, skompilowany za pomocą MinGW/GCC 6.3.0 i połączony z GNU Linker 2.30. Do operacji kryptograficznych wykorzystywana jest biblioteka LibTomCrypt v 1.18.1. Pliki są szyfrowane szyfrem AES w trybie licznika, klucz pliku i IV są szyfrowane za pomocą RSA-4096 z wypełnieniem OAEP.
Rhysida chce być jak najszybszy podczas szyfrowania plików:
- Okresowe szyfrowanie danych. Nie wszystko jest szyfrowane. W przypadku większych plików Rhysida szyfruje tylko kilka odrębnych bloków plików.
- Wielowątkowe szyfrowanie. Dla każdego procesora Rhysida tworzy jeden wątek szyfrujący. Wszystkie procesory w komputerze są zajęte podczas procesu szyfrowania. Z użycia biblioteki pthreads zakładamy, że autorzy ransomware Rhysida chcieli zbudować szyfrator, który jest również łatwo przenośny na inne platformy.
Rhysida umieszcza plik z notatką o okupie o nazwie „CriticalBreachDetected.pdf” w każdym folderze. Poniższy obrazek pokazuje przykład notatki o okupie:
Treść notatki o okupie stworzonej przez Rhysida
Więcej informacji na temat tego szczepu ransomware można znaleźć w naszym poście na blogu.
Jak zwykle w każdym raporcie o zagrożeniach, przedstawiamy przegląd wskaźnika ryzyka w naszej bazie użytkowników. Poniższy obrazek pokazuje najbardziej ryzykowne kraje (pod względem ransomware).
Wskaźnik ryzyka ransomware dla Q3/2023
Lista krajów najbardziej narażonych na ataki ransomware:
- Mozambik (0,74%)
- Angola (0,44%)
- Ghana (0,35%)
- Pakistan (0,20%)
Najbardziej rozpowszechnione szczepy ransomware, które widzieliśmy i chroniliśmy przed nimi, są wymienione poniżej:
- WannaCry (19% udziału w ransomware)
- STOP (15%)
- Thanatos (3%)
- TargetCompany (2%)
- LockBit (2%)
- Cryptonite (2%)
- Enigma (1%)
Całkowity wskaźnik ryzyka wśród naszej bazy użytkowników pozostaje mniej więcej taki sam:
Rozwój zagrożeń ransomware w naszej bazie użytkowników
Ladislav Zezula, Badacz Malware
Jakub Křoustek, Dyrektor ds. Badań nad Malware
