Dok targetirani ransomware nastavlja da napada preduzeća širom sveta, ne možemo a da dublje ne razmotrimo operacije određenih ransomware bandi. To nam pomaže u njihovom boljem razumevanju i razvoju naprednije zaštite od pretnji koje predstavljaju. Istraživači kompanije Kaspersky su detaljno analizirali interesantan primerak (ili, tačnije, primerke) koji pripada grupi JSWorm, koja je pokazala svoju spretnost kada je reč o nadogradnji svojih alata. Grupa, koja je prethodno bila fokusirana na masovne operacije, uspela je brzo da se prilagodi i evoluira u visoko targetiranu operaciju u roku od samo dve godine, i razvila je više od osam različitih ‘brendova’ malvera.
Svaka “rebrendirana” varijanta je imala različite aspekte koda, preimenovane ekstenzije fajlova, kriptografske šeme i izmenjene ključeve za šifrovanje. Pored promena imena, programeri ovog ransomware-a su takođe preradili svoj kod i isprobali različite pristupe distribucije, što pokazuje da su izuzetno prilagodljivi i da im na raspolaganju stoje ogromni resursi.
JSWorm grupa je otkrivena širom sveta – od Severne i Južne Amerike (Brazil, Argentina, SAD) do Bliskog Istoka i Afrike (Južna Afrika, Turska, Iran), Evrope (Italija, Francuska, Nemačka) i Azijsko-pacifičkog regiona (Vijetnam), uz više od trećine (39%) preduzeća i fizičkih lica koje je ova grupa targetirala 2020. godine koji su locirani u Azijsko-pacifičkom regionu.
Kada je reč o targetiranim industrijama, jasno je da ova ransomware porodica targetira ključnu infrastrukturu i glavne sektore širom sveta. Gotovo polovina (41%) napada JSWorm grupe bila je usmerena protiv kompanija u oblasti inženjeringa i prerađivačke industrije. Energetika i komunalne usluge (10%), finansije (10%), profesionalne i potrošačke usluge (10%), transport (7%) i zdravstvo (7%) takođe su se našli na vrhu njihove liste.
„Operacije JSWorm grupe, kao i njena sposobnost da se tako brzo prilagodi i razvije novi malver, pokazuju važan i zabrinjavajući trend – ransomware bande na raspolaganju imaju i više nego dovoljno resursa za uznemirujuće brze promene svojih operacija i nadogradnju svojih alata, napadajući tako sve više organizacija širom sveta. Tako velika prilagodljivost se obično viđa u slučaju APT grupa, ali ransomware bande nisu ograničene na određene mete, već će sa zadovoljstvom napasti bilo koju kompaniju koju mogu da inficiraju. To pokazuje da, kako bi zaštitili svoju organizaciju, timovi za sajber bezbednost moraju da postanu još brži, pažljiviji i prilagodljiviji kada se radi o primeni bezbednosnih mera”, komentariše Fedor Sinitsin (Fedor Sinitsyn), istraživač bezbednosti u kompaniji Kaspersky.
Pročitajte ceo izveštaj o različitim verzijama JSWorm grupe na Securelist.
Kako biste se zaštitili od JSWorm grupe i ostalih tipova ransomware-a, kompanija Kaspersky predlaže:
- Nemojte da izlažete usluge daljinskog pristupa (kao što je RDP) javnim mrežama osim ukoliko je to apsolutno neophodno i uvek koristite snažne lozinke za njih.
- Vodite računa da su komercijalna VPN rešenja i ostali server-side softveri uvek ažurirani, s obzirom na to da je eksploatacija ovog tipa softvera čest vektor infekcije za ransomware. Takođe, uvek ažurirajte client-side aplikacije.
- Svoju odbrambenu strategiju fokusirajte na detektovanje lateralnih pokreta i eksfiltraciju podataka na internet. Obratite posebnu pažnju na odlazeći saobraćaj kako biste detektovali sajber kriminalne konekcije. Redovno pravite rezervne kopije podataka. Omogućite brz pristup u hitnim slučajevima. Koristite najnovije informacije o pretnjama kako biste bili svesni taktika, tehnika i procedura koje akteri pretnji koriste.
- Koristite rešenja kao što su Kaspersky Endpoint Detection and Response i Kaspersky Managed Detection and Response kako biste mogli da identifikujete i zaustavite napad u ranim fazama, pre nego što napadači ostvare svoje krajnje ciljeve.
- Zaštitite korporativno okruženje i edukujte svoje zaposlene. Namenska obuka može da bude od pomoći, kao što je ona koju možete pronaći na platformi Kaspersky Automated Security Awareness Platform.
- Koristite pouzdano rešenje za zaštitu krajnjih tačaka, kao što je Kaspersky Endpoint Security for Business koje omogućava prevenciju eksploatacije, detekciju ponašanja i saniranje, koje može da vrati unazad maliciozne aktivnosti. KESB takođe ima samoodbrambene mehanizme koji mogu da spreče njegovo uklanjanje od strane sajber kriminalaca.