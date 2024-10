44% udaremnionych ataków ransomware jest wykrywanych dzięki analizie ruchu lateralnego - wynika z raportu Barracuda "Threat Spotlight on Ransomware". Głównym celem ataków ransomware jest wciąż sektor zdrowia.

Prawie połowa (44%) rozwijających się ataków ransomware została wykryta podczas ruchu lateralnego.

Ponad jeden na pięć (21%) incydentów ransomware w ciągu ostatnich 12 miesięcy dotknął sektora ochrony zdrowia.

Szczegółowe analizy ransomware 8Base i PLAY pokazują, że atakujący celują w niechronione urządzenia i ukrywają złośliwe pliki w folderach z filmami i muzyką.

Krajobraz zagrożeń ransomware w latach 2023/24

Jak wykrywane są ataki ransomware? 44% udaremnionych ataków ransomware jest wykrywanych dzięki analizie ruchu lateralnego.

Ransomware na wynajem

Ataki oparte na modelu Ransomware-as-a-service mogą być trudne do wykrycia i powstrzymania. Różni przestępcy mogą używać różnorodnych narzędzi i taktyk do przeprowadzenia ataku i implementacji złośliwego oprogramowania. Większość atakujących polega jednak na sprawdzonych działaniach, takich jak skanowanie, ruch lateralny i pobieranie złośliwego oprogramowania. Mogą one wywołać alerty bezpieczeństwa, które dają zespołom ds. bezpieczeństwa kilka okazji do wykrycia, powstrzymania i złagodzenia incydentów ransomware, zanim zdążą się one w pełni rozwinąć. Jest to szczególnie ważne w środowiskach IT, w których nie wszystkie urządzenia są wystarczająco zabezpieczone – wyjaśnia Mateusz Ossowski, CEE Channel Manager w Barracuda Networks.

Najważniejsze narzędzia i zachowania wykryte w 2024 roku

Ruch lateralny: Prawie połowa (44%) ataków ransomware została wykryta przez systemy monitorujące ruch lateralny (czyli działania cyberprzestępców, którzy po uzyskaniu dostępu do jednego urządzenia w sieci próbują rozszerzyć swoje uprawnienia i uzyskać dostęp do innych systemów).

Prawie połowa (44%) ataków ransomware została wykryta przez systemy monitorujące ruch lateralny (czyli działania cyberprzestępców, którzy po uzyskaniu dostępu do jednego urządzenia w sieci próbują rozszerzyć swoje uprawnienia i uzyskać dostęp do innych systemów). Modyfikacje plików: Jedna czwarta (25%) została wykryta przez system, który rejestruje, kiedy pliki są zapisywane lub modyfikowane, i analizuje je, aby sprawdzić, czy pasują do znanych sygnatur ransomware lub podejrzanych wzorców.

Jedna czwarta (25%) została wykryta przez system, który rejestruje, kiedy pliki są zapisywane lub modyfikowane, i analizuje je, aby sprawdzić, czy pasują do znanych sygnatur ransomware lub podejrzanych wzorców. Zachowania odbiegające od normy: 14% incydentów zostało wychwyconych przez system wykrywania, który identyfikuje nieprawidłowe zachowania w systemie lub sieci. System ten uczy się typowego zachowania użytkowników, procesów i aplikacji. Gdy wykrywa odchylenia (takie jak nietypowy dostęp do plików, manipulowanie składnikami systemu operacyjnego lub podejrzana aktywność sieciowa), wywołuje alert.

Obrona przed ransomware

Atakujący często wykorzystują narzędzia dostępne komercyjnie i legalnie używane przez zespoły IT. Dodatkowo mogą w czasie rzeczywistym dostosowywać swoje zachowania i taktyki do aktualnej sytuacji. To dlatego najskuteczniejsza okazuje się dziś wielowarstwowa ochrona wspomagana przez sztuczną inteligencję. Jest ona kluczowa dla wykrywania i neutralizowania zaawansowanych ataków. Co ważne, uzupełniać ją powinny silne mechanizmy uwierzytelniania, kontrola dostępu, stosowanie łatek bezpieczeństwa oraz regularne szkolenia pracowników z zakresu świadomości bezpieczeństwa – podsumowuje Mateusz Ossowski.

