Raspunsul la incident (IR) este situatia in care companiile apeleaza la o echipa in urma unei brese de securitate pentru a limita daunele si pentru a preveni raspandirea unui atac. La Kaspersky, IR este gestionat de Global Response Emergency Team (GERT) si este rezervat organizatiilor mijlocii si mari. Din ianuarie pana in noiembrie 2021, aproape fiecare al doilea incident de securitate gestionat de GERT a fost asociat cu un atac ransomware (aproape 50% din toate solicitarile IR) - o crestere de aproape 12 puncte procentuale in comparatie cu 2020. Aceasta este printre cele mai importante descoperiri din Kaspersky’s Story of the Year: Ransomware in the Headlines. Parte a seriei anuale de buletine de securitate Kaspersky, care examineaza tendintele critice de securitate din ultimul an, Story of the Year din 2021 analizeaza in profunzime peisajul actual al ransomware-ului si la ce sa ne asteptam in 2022.

Cand vine vorba de securitate cibernetica, ransomware-ul a devenit povestea incontestabila a anului, distrugand conductele de gaz si serviciile guvernamentale de sanatate. Operatorii de ransomware si-au rafinat arsenalul, concentrandu-se pe mai putine atacuri impotriva organizatiilor mari, iar un intreg ecosistem underground a parut sa sprijine eforturile bandelor de ransomware.

De fapt, in primele 11 luni din 2021, procentul de solicitari IR procesate de echipa GERT a Kaspersky a fost de 46,7% - o crestere de la 37,9% din anul 2020 si 34% pentru 2019.

Procentul solicitarilor IR legate de ransomware pe an

Cele mai comune tinte au fost cele din sectorul guvernamental si industrial; impreuna, atacurile impotriva acestor doua industrii au reprezentat aproape 50% din toate solicitarile IR legate de ransomware in 2021. Alte tinte populare au inclus institutiile IT si financiare.

Cu toate acestea, pe masura ce operatorii de ransomware au trecut la cereri de rascumparare mai mari si tinte mai importante, acestia s-au confruntat cu o presiune din ce in ce mai mare din partea politicienilor si a agentiilor de aplicare a legii, ceea ce face ca nivelul cresterii eficientei atacurilor sa fie critic. Drept urmare, expertii Kaspersky au remarcat doua tendinte importante care vor castiga in popularitate in 2022. In primul rand, grupurile de ransomware sunt susceptibile sa construiasca mai des versiuni Linux de ransomware pentru a-si maximiza suprafata de atac; acest lucru care a fost deja observat in actiunile unor grupuri precum RansomExx si DarkSide. In plus, operatorii de ransomware vor incepe sa se concentreze mai mult pe „santaj financiar”. Acesta este momentul in care operatorii ameninta ca vor divulga informatii despre companii atunci cand acestea trec prin evenimente financiare critice (de exemplu, efectueaza o fuziune sau o achizitie, sau planuiesc sa se listeze la bursa) pentru a le submina pretul actiunilor. Atunci cand companiile se afla intr-o stare financiara atat de vulnerabila, este mai probabil sa plateasca rascumpararea.



„Am inceput sa vorbim despre asa-numitul Ransomware 2.0 in 2020 si ceea ce am vazut in 2021 este aceasta noua era a ransomware-ului. Operatorii de ransomware nu doar cripteaza datele; le fura de la tinte mari, critice si ameninta ca vor expune informatiile daca victimele nu platesc. Ransomware 2.0 nu va disparea nicaieri in anul care vine”, comenteaza Vladimir Kuskov, seful Explorarea amenintarilor la Kaspersky.

„In acelasi timp, acum ca ransomware-ul face valuri, agentiile de aplicare a legii lucreaza din greu pentru a distruge grupuri prolifice – ceea ce s-a intamplat cu DarkSide si REvil anul acesta. Ciclurile de viata ale acestor bande sunt comprimate, asta inseamna ca vor trebui sa-si perfectioneze tacticile in 2022 pentru a ramane profitabile, mai ales daca unele guverne scot in afara legii plata rascumpararilor – lucru care este deja in discutie”, adauga Fedor Sinitsyn, expert in securitate la Kaspersky.

Aflati mai multe despre Kaspersky Security Bulletin’s Story of the Year: Ransomware in the Headlines pe Securelist.

Pentru a va proteja afacerea de ransomware, expertii Kaspersky recomanda:

• 
  Nu expuneti serviciile desktop la distanta (cum ar fi RDP) in retele publice decat daca este absolut necesar si utilizati intotdeauna parole puternice pentru ele.
  


• 
  Instalati prompt patch-urile disponibile pentru solutiile VPN comerciale care ofera acces pentru angajatii de la distanta si care actioneaza ca gateway-uri in reteaua dumneavoastra.
  


• 
  Pastrati intotdeauna software-ul actualizat pe toate dispozitivele pe care le utilizati, pentru a preveni exploatarea vulnerabilitatilor prin ransomware.
  


• 
  Concentrati-va strategia de aparare pe detectarea miscarilor laterale si a exfiltrarii de date pe Internet. Acordati o atentie deosebita traficului de iesire pentru a detecta conexiunile infractorilor cibernetici. Faceti copii de rezerva ale datelor in mod regulat. Asigurati-va ca le puteti accesa rapid in caz de urgenta atunci cand este necesar. Utilizati cele mai recente informatii despre Threat Intelligence pentru a fi la curent cu TTP-urile reale utilizate de actorii amenintarilor.
  


• 
  Utilizati solutii precum Kaspersky Endpoint Detection and Response si Kaspersky Managed Detection and Response care ajuta la identificarea si oprirea unui atac in stadiile incipiente, inainte ca atacatorii sa-si atinga obiectivele finale.
  


• 
  Pentru a proteja mediul corporativ, educati-va angajatii. Cursurile de instruire dedicate pot ajuta, cum ar fi cele oferite in Kaspersky Automated Security Awareness Platform. O lectie gratuita despre cum sa va protejati de atacurile ransomware este disponibila aici.
  


• 
  Utilizati o solutie fiabila de securitate la nivel endpoint, cum ar fi Kaspersky Endpoint Security for Business, care este bazata pe prevenirea exploiturilor, detectarea comportamentului si un motor de remediere care este capabil sa anuleze actiunile rau intentionate. KESB are, de asemenea, mecanisme de autoaparare care pot impiedica eliminarea acestuia de catre infractorii cibernetici.