27 maja 2021

Od masowych kampanii po polowanie na "grubego zwierza": jak oprogramowanie ransomware JSWorm wyewoluowało w ciągu zaledwie dwóch lat

Ukierunkowane oprogramowanie ransomware wciąż nęka firmy na całym świecie, dlatego warto przyjrzeć się bliżej operacjom konkretnych cybergangów. Dzięki temu będzie można lepiej je zrozumieć, a także opracować bardziej zaawansowaną ochronę przed ich atakami. Badacze z firmy Kaspersky rozłożyli na czynniki pierwsze i zbadali ciekawy okaz (a dokładniej - okazy) należący do grupy JSWorm, który pokazuje, jak sprawnie potrafi ona aktualizować swój zestaw narzędzi. Ugrupowanie to, które wcześniej koncentrowało się na operacjach przeprowadzanych na skalę masową, zdołało szybko zaadaptować się oraz rozwinąć wysoce ukierunkowaną operację w ciągu zaledwie dwóch lat, tworząc ponad osiem odrębnych "marek" szkodliwych narzędzi.


W każdym "przemianowanym" wariancie zmieniono różne aspekty kodu, nazwy rozszerzeń plików, schematy kryptograficzne oraz klucze szyfrowania. Oprócz zmian nazw twórcy tego oprogramowania ransomware zmodyfikowali również swój kod i wypróbowali różne podejścia do dystrybucji, co świadczy o ich niezwykłej adaptacyjności oraz posiadaniu ogromnych zasobów.

JSWorm był wykrywany na całym świecie - od Ameryki Północnej i Południowej (Brazylia, Argentyna, Stany Zjednoczone) po Bliski Wschód oraz Afrykę (Afryka Południowa, Turcja, Iran), Europę (Włochy, Francja, Niemcy) oraz region Azji i Pacyfiku (Wietnam).

Jeśli chodzi o atakowane branże, nie ma wątpliwości, że na celowniku omawianej rodziny znajduje się infrastruktura krytyczna oraz główne sektory na całym świecie. Niemal połowa (41%) ataków JSWorm była wymierzona w firmy z branży inżynieryjno-produkcyjnej. Atakowane były również podmioty z takich branż jak: energia i usługi komunalne (10%), finanse (10%), usługi profesjonalne i konsumencie (10%), transport (7%) oraz służba zdrowia (7%).

Operacje ugrupowania JSWorm, jak również jego zdolności szybkiej adaptacji i tworzenia nowego szkodliwego oprogramowania, odzwierciedlają istotny i niepokojący trend - gangi ransomware mają do dyspozycji wystarczające zasoby, aby w błyskawicznym tempie zmienić swoje operacje i uaktualnić zestawy narzędzi, tak aby móc atakować coraz więcej organizacji na całym świecie. Takie wysokie możliwości dostosowania się obserwowane są zwykle wśród ugrupowań APT, jednak gangi ransomware nie ograniczają się do konkretnych celów. Nie pogardzą żadną firmą, którą będą w stanie zainfekować. To pokazuje, że aby ochronić swoje organizacje, zespoły ds. cyberbezpieczeństwa muszą stać się jeszcze szybsze, baczniejsze i bardziej adaptacyjne, jeśli chodzi o wprowadzanie środków bezpieczeństwa - powiedział Fiedor Sinicyn, badacz ds. cyberbezpieczeństwa w firmie Kaspersky.

Pełny raport dotyczący różnych wersji oprogramowania JSWorm jest dostępny na stronie https://r.kaspersky.pl/2CEa9.

Porady bezpieczeństwa

Eksperci z firmy Kaspersky zalecają następujące działania pozwalające firmom zabezpieczyć się przed JSWorm oraz innymi rodzajami ukierunkowanych narzędzi ransomware:

  • Nie udostępniaj usług pulpitu zdalnego (takich jak RDP) w sieciach publicznych, o ile nie jest to absolutnie konieczne, i zawsze stosuj dla nich mocne hasła.
  • Dopilnuj, aby komercyjne rozwiązania VPN oraz inne rodzaje oprogramowania po stronie serwera były zawsze aktualne, ponieważ wykorzystywanie ich stanowi powszechny wektor infekcji oprogramowaniem ransomware. Aktualizuj również aplikacje po stronie serwera.
  • Ukierunkuj swoją strategię obrony na wykrywanie penetracji sieci oraz wyprowadzania danych do internetu. Zwróć szczególną uwagę na ruch wychodzący, aby wykryć połączenia cyberprzestępcze.
  • Regularnie twórz kopie zapasowe danych. Upewnij się, że w razie potrzeby będziesz mógł szybko uzyskać do nich dostęp. Wykorzystuj najnowsze informacje analizy zagrożeń, aby wiedzieć, jakie narzędzia, techniki i procedury wykorzystują cyberprzestępcy.
  • Stosuj rozwiązania takie jak Kaspersky Endpoint Detection and Response (EDR), które umożliwiają rozpoznanie i powstrzymanie ataku na wczesnych etapach, zanim atakujący osiągną swoje cele.
  • Chroń środowisko korporacyjne oraz edukuj swoich pracowników. W tym celu przydatne będą specjalistyczne kursy szkoleniowe, takie jak te oferowane w ramach zautomatyzowanej platformy Kaspersky Automated Security Awareness Platform.
  • Stosuj niezawodne rozwiązanie bezpieczeństwa punktów końcowych, takie jak Kaspersky Endpoint Security for Business, które wspomagane jest technologią zapobiegania exploitom, wykrywania zachowania oraz silnikiem korygowania, który potrafi wycofać skutki szkodliwych działań.
Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła.

Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.