Ransomware-ul reprezintă o formă extrem de nocivă de infracțiune cibernetică. Odată cu creșterea valorii datelor, infractorii au realizat că pot obține profituri substanțiale prin reținerea acestora pentru răscumpărare. Aceste atacuri au devenit alarmant de frecvente, iar unele grupări de ransomware chiar recrutează complici din interiorul companiilor pentru a-și atinge obiectivele.
Companiile care doresc să se protejeze împotriva atacurilor ransomware trebuie să ia în calcul nu doar amenințările externe, ci și pe cele interne. Următorul atac ar putea proveni chiar din interiorul organizației.
De ce doresc grupurile de ransomware complici din interior?
Solicitarea ajutorului angajaților pentru a comite o infracțiune pare a fi o modalitate sigură de a atrage atenția, așadar de ce riscă grupurile de ransomware să recruteze persoane din interior? Motivul principal constă în avantajele pe care le oferă persoanele din interior, care cresc considerabil șansele de succes ale unui atac.
Majoritatea experților sunt de acord că riscurile provenite de la persoanele din interior sunt mai mari decât cele externe, deoarece acestea au deja acces la informații sensibile, iar multe companii neglijează riscurile interne. Prin urmare, angajații pot deveni complici valoroși pentru grupurile de ransomware dacă sunt convinși să colaboreze. În loc să depună eforturi pentru a penetra straturi complexe de securitate, infractorii cibernetici pot trimite pur și simplu un e-mail unui angajat, cerându-i să instaleze un fișier pe computerele companiei.
Într-un context în care sistemele de securitate devin din ce în ce mai sofisticate, devine mai dificilă piratarea unei afaceri. În contrast, oamenii sunt la fel de vulnerabili la manipulare ca întotdeauna. Recrutarea unei persoane din interior simplifică semnificativ executarea unui atac ransomware reușit, ceea ce se traduce adesea printr-un câștig financiar substanțial.
Metode de recrutare a complicilor din interior
Prevenirea recrutării de către grupurile de ransomware a persoanelor din interior necesită înțelegerea metodelor pe care le utilizează. Iată câteva dintre cele mai frecvente tactici folosite:
Inginerie socială
Atacurile de tip phishing și alte forme de inginerie socială reprezintă o proporție semnificativă a atacurilor ransomware, iar motivele sunt clare. Este mai ușor să convingi pe cineva să comită o infracțiune dacă aceasta nu este conștientă de ceea ce face. Grupurile de ransomware pot manipula angajații să instaleze software periculos, fără ca aceștia să știe.
Aceste atacuri se desfășoară de obicei prin e-mail sau mesaje text, conținând deseori un link sau un atașament care pare legitim. Atunci când persoana nebănuită face clic pe acesta, fișierul sau linkul instalează ransomware pe dispozitivul de lucru. Astfel, grupurile de ransomware obțin acces din interior fără a trebui să convingă în mod direct pe cineva să comită o infracțiune.
Contact direct
Grupările de ransomware au devenit, de asemenea, mai sofisticate în ultimii ani. Conform unui studiu realizat de Bravura Security, un procent șocant de 65% dintre profesioniștii IT afirmă că infractorii i-au contactat direct sau pe angajații lor pentru a-i implica într-un atac ransomware, ceea ce reprezintă o creștere de 17% față de nivelurile din 2021.
Similar atacurilor de tip phishing, aceste solicitări sosesc de obicei prin e-mail, dar unele grupări de ransomware contactează potențialii complici prin apeluri telefonice sau prin intermediul rețelelor sociale. În majoritatea cazurilor, încearcă să-i convingă pe angajați să colaboreze, oferindu-le mită. Aceste grupări pot oferi sume considerabile de bani, criptomonede sau o reducere a răscumpărării, în schimbul instalării ransomware-ului.
Crowdsourcing
Cercetătorii din domeniul securității au observat, de asemenea, că unele grupări de ransomware încearcă să externalizeze atacurile. Infractorii cibernetici postează pe forumuri publice sau pe platforme sociale criptate, precum Telegram, solicitând persoanelor cu acces din interior să-i contacteze. Pot chiar organiza sondaje publice cu privire la țintele de atac sau datele pe care urmează să le sustragă.
Aceste anunțuri publice ajung la un public mai larg, crescând șansele de a obține ajutor din interior. Conform Comparitech, valoarea medie a unei răscumpărări depășește 2 milioane de dolari. Astfel, grupurile de ransomware obțin suficiente fonduri dintr-un atac reușit pentru a plăti un număr și mai mare de colaboratori.
Exemple de persoane din interior care asistă atacatorii ransomware
Atacuri de acest tip au vizat unele dintre cele mai cunoscute companii din lume. În 2021, AP News a relatat că un infractor cibernetic a oferit unui angajat Tesla 500.000 de dolari pentru a instala un ransomware pe computerele companiei. În acest caz, angajatul a raportat incidentul în loc să accepte banii, însă evenimentul evidențiază amploarea acestor atacuri.
Alte companii au fost mai puțin norocoase. În 2019, un fost angajat nemulțumit al companiei de asistență tehnică Asurion a primit 50.000 de dolari pe zi de la fostul său angajator, după ce a furat date despre milioane de clienți (conform Bitdefender). Deși organele de aplicare a legii l-au prins pe fostul angajat, compania a cheltuit deja mii de dolari în plăți de răscumpărare.
De menționat este că, deși aceste atacuri au devenit mai frecvente, ele nu sunt neapărat noi. Conform FBI, un inginer Boeing a furat sute de mii de documente între sfârșitul anilor 1970 și începutul anilor 2000, fiind recrutat de agențiile de informații chineze. Deși acest incident a avut loc înainte de apariția ransomware-ului, el ilustrează cât de periculoase pot fi amenințările interne care acționează în interesul unor puteri externe.
Cum să preveniți amenințările interne ransomware
Având în vedere riscurile majore, companiile trebuie să depună toate eforturile pentru a împiedica colaborarea persoanelor din interior cu grupurile de ransomware. Iată trei pași cruciali în această direcție:
Creați o cultură pozitivă la locul de muncă
Unul dintre cei mai importanți pași pe care îi puteți face este să vă asigurați că angajații sunt mulțumiți de pozițiile lor. Cu cât un angajat este mai nemulțumit de angajatorul său, cu atât este mai probabil să accepte mită de la o grupare de ransomware pentru a-și ataca compania din răzbunare. Construirea unui mediu de lucru mai pozitiv minimalizează această amenințare.
Salariile competitive sunt importante pentru satisfacția angajaților, însă nu sunt singurul factor. Un raport Gallup arată că doar 28% dintre angajați consideră salariile și beneficiile ca fiind cea mai importantă schimbare care ar îmbunătăți locul de muncă, comparativ cu 41% care menționează probleme legate de implicare și cultură. Colaborarea cu angajații pentru a se asigura că se simt respectați, în siguranță și apreciați este esențială.
Instruiți angajații
Companiile trebuie să-și instruiască angajații în vederea identificării tehnicilor de inginerie socială. Multe atacuri ransomware legate de persoanele din interior provin din greșeli neintenționate, cum ar fi clic-ul pe un link de tip phishing. Cheia pentru prevenirea acestor incidente este educarea angajaților cu privire la semnele de alarmă.
Greșelile de ortografie, limbajul care sugerează o urgență neobișnuită și situațiile care par prea bune pentru a fi adevărate sunt indicatori frecvenți ai atacurilor de tip phishing. În general, angajații nu ar trebui să facă clic sau să răspundă la niciun mesaj nesolicitat și nu ar trebui să divulge informații sensibile prin e-mail.
Implementați securitatea zero-trust
Securitatea zero-trust reprezintă un alt pas esențial în prevenirea amenințărilor interne ransomware. Această abordare presupune tratarea oricărui element ca fiind potențial periculos, necesitând verificări la fiecare etapă înainte de a acorda acces la resurse. În plus, se limitează accesul, astfel încât fiecare angajat să poată vedea doar informațiile de care are nevoie pentru a-și îndeplini sarcinile.
Deși aceste modele de securitate sunt mai dificil de implementat decât abordările tradiționale, ele reprezintă cea mai bună soluție împotriva amenințărilor interne. Deoarece chiar și persoanele din interior autorizate pot accesa doar o cantitate limitată de resurse, recrutarea complicilor din interior nu va face neapărat un atac ransomware să merite costul.
Amenințările interne ransomware sunt gestionabile
Tendința grupurilor de ransomware de a recruta persoane din interior nu este neapărat nouă, dar este în creștere. Aceasta ar trebui să fie un motiv de îngrijorare, însă nu înseamnă că nu vă puteți proteja.
Amenințările interne ransomware subliniază importanța limitării încrederii în securitatea cibernetică. Amenințările pot proveni de oriunde, inclusiv de la angajați de încredere, așadar cea mai bună soluție este de a vă proteja cât mai mult posibil.