پاتریک راگ، رئیس بخش IR در شرکت سایبری، می نویسد: باج افزار پس از چندین سال فعالیت گسترده همچنان در دستور کار سایبری قرار دارد. Integrity360.
در سال 2021، جهان شاهد سال شکستن 623.3 میلیون حمله باج افزار بود که افزایش خیره کننده 105 درصدی را نسبت به سال 2020 نشان داد و همچنین 232 درصد نسبت به سال 2019 افزایش یافت. سال 2022 یک دوره استراحت جزئی را فراهم کرد. در واقع، تحقیقات نشان می دهد که حوادث باج افزار تقریباً یک چهارم (23 درصد) در نیمه اول سال 2022 کاهش یافته است و روند نزولی را که در چهار فصل گذشته مشاهده شده بود ادامه می دهد.
بیشتر این کاهش به دلیل ناپدید شدن Conti، REvil و PYSA بود، با هر سه مدل Ransomware-as-a-a-Service (RaaS) که ابزارهایی را در اختیار مجرمان سایبری ناپیوسته قرار میدهند تا به بازیگران موثر باجافزار بدون دانش یا مهارتهای پیچیده تبدیل شوند. به عنوان مثال، در ایالات متحده، وزارت امور خارجه برای اطلاعات در مورد رهبران کونتی، 10 میلیون دلار جایزه تعیین کرد که در نهایت منجر به توقف کل عملیات شد. اما طبیعتاً از هم پاشیدگی این گروه ها خلأ ایجاد کرد و فرصتی را برای گروه های جدیدی که متعاقباً آن را پر کردند، ایجاد کرد.
Lockbit به عنوان بزرگترین تهدید باجافزار شناخته میشود و موج جدیدی را در بازار مجرمان سایبری ایجاد میکند. با توجه به تخمین زده می شود که مدل RaaS مسئول بیش از 40 درصد از حملات جهانی باج افزار باشد، انتظار می رود این تجدید حیات تا سال 2023 ادامه یابد. یک بار دیگر تشدید شود. دقیقاً چگونه باید این کار را انجام دهند؟ در اینجا، من معتقدم سه اولویت کلیدی وجود دارد که باید دنبال شود.
1) آموزش کارکنان
اول، بهبود آگاهی سایبری همچنان مهم است. تصادفی نیست که 95 درصد از موارد نقض داده ها شامل خطای انسانی است – عوامل تهدید می دانند که افراد هدف آسانی هستند و به دنبال آنها می روند. بنابراین، به حداکثر رساندن هوشیاری تهدیدهای رایج مانند فیشینگ در میان نیروی کار میتواند به کارکنان کمک کند تا ایمیلهای مشکوک را شناسایی کنند و احتمال اینکه آنها بهطور تصادفی بارهای مخربی را که قادر به شروع حملات باجافزار هستند، دانلود کنند، بهطور چشمگیری کاهش میدهد.
2) بهبود پیشگیری
دوم، باید تمرکز بیشتری روی پیشگیری صورت گیرد. کنترلهای پیشگیرانه اغلب به نفع تشخیص و واکنش کنار گذاشته شدهاند، و این قابل درک است با توجه به اینکه آمار صنعت نشان میدهد که زمان اقامت مهاجم در حدود 200 روز است. با این حال، ما شاهد وقوع حملات با سرعت بیشتری و حتی به صورت خودکار هستیم. بنابراین، شرکتها باید استراتژیهای خود را برای پذیرش تکنیکهای پیشگیری مدرن که برای مبارزه با حملات باجافزار پیچیده طراحی شدهاند، تطبیق داده و مجدداً متعادل کنند.
3) افزایش دید
دید نیز حیاتی است. تنها با نظارت جامع بر سیستم ها، شرکت ها می توانند هم در وهله اول از تهدیدها جلوگیری کنند و هم حملات را با سرعت تشخیص داده و به آنها پاسخ دهند. به همین ترتیب، دید باعث شفافیت و بینش بهبود یافته میشود و به شرکتها کمک میکند تا اثربخشی راهحلهای امنیتی خود را اندازهگیری کنند و آنها را مطابق با نیاز برای بهبود مستمر وضعیت امنیتی کلی خود تطبیق دهند.
بهبود استراتژی ردیابی سریع
تمرکز تلاشها در این زمینهها راه طولانی را برای اطمینان از اینکه شرکتها میتوانند با تلاشهای دشمنان باجافزار مبارزه کنند، کمک خواهد کرد. با این حال، بسیاری از سازمانها همچنان بهروزرسانی استراتژیهای امنیتی خود را به هر طریق معنیدار دشوار میدانند.
در یک شرایط سخت اقتصادی، بسیاری به سادگی فاقد بودجه (و در نتیجه تخصص و منابع داخلی) برای افزایش دید، آموزش و پیشگیری هستند.
با این حال، شرکتها میتوانند از منابع پیشرو بازار شامل شناسایی، بررسی، شکار تهدید، پاسخ و اصلاح استفاده کنند و برای مثال با کار با ارائهدهندگان خدمات امنیتی مدیریت شده (MSSP)، تواناییهای تیمهای امنیت داخلی خود را تکمیل کنند. به همین ترتیب، ارائهدهندگان خدمات تشخیص و پاسخ مدیریت شده (MDR) میتوانند به شرکتها کمک کنند تا آزمایشهای پیشرفته تهدید را انجام دهند، آسیبپذیریهای پنهان را کشف کنند و طرحهای پاسخ مربوطه را توسعه دهند.
به طور حیاتی، هر دو راه حل MDR و MSSP توسط ارائه دهندگان خارجی ارائه می شوند، و نیاز سازمان ها را برای سرمایه گذاری مبالغ قابل توجهی برای ارائه راه حل های گران قیمت یا متخصصان امنیتی که بسته های دستمزد هنگفتی را در داخل کشور دارند، از بین می برد. درعوض، میتوان به همان تخصص در صورت نیاز به صورت 24/7/365 دسترسی داشت و به شرکتها کمک میکند تا شکافهای مهارتهای سایبری را به روشی مقرونبهصرفه پر کنند و در عین حال بار تیمهای امنیت داخلی را کاهش دهند.
نه تنها این، بلکه MDR ها و MSSP ها می توانند بار فزاینده انطباق بر سازمان ها را از طریق گزارش دهی و ممیزی فعال کاهش دهند. آنها همچنین از فیدهای اطلاعاتی تهدید برای شناسایی تهدیدها و سوء استفادههای جدید استفاده میکنند و موقعیتهای امنیتی مشتریان خود را به طور موثر تغییر میدهند و امکان بهبود مستمر را فراهم میکنند.
با توجه به اینکه بازیگران باجافزار همیشه روشهای خود را تطبیق میدهند، سازمانها باید از این منابع حداکثر استفاده را ببرند تا بتوانند استراتژیهای امنیتی مؤثر و روانی را ایجاد کنند که قادر به دفاع در برابر تهدیدات در حال تحول هستند. با همکاری با ارائه دهندگان امنیتی خارجی، آنها می توانند به منابع مورد نیاز برای کاهش اثرات مخرب احتمالی حملات باج افزار دسترسی پیدا کنند.
منبع: https://professionalsecurity.co.uk/news/interviews/ransomware-resurgence-in-2023/