Ако вече сте проучвали как да се защитите от рансъмуер атаки, сигурно сте чували, че превенцията е по-ефективна от реакцията. Въпросът е какви мерки и дейности трябва да предприеме една компания, за да не стане жертва на киберпрестъпници? Достатъчно ли е да се внедри защитна стена (firewall) и да се използва антивирусен софтуер? И какво да направим, ако въпреки всичко се стигне до атака?
От нашето упътване ще научите какво е рансъмуер, как функционират този тип атаки и кои превантивни механизми можете да внедрите още днес, както и да обмислите как да сведете до минимум възможността да станете част от списъка с жертви на рансъмуер (и да бъдете в компанията на реномирани фирми като McMillan Publishers и Rackspace Technology).
Рансъмуер е вид зловреден софтуер (malware), който ограничава достъпа до IT системите и иска откуп от потребителите, за да могат да продължат да ги използват. В най-голям брой от случаите рансъмуерът функционира, като заключва екрана или потребителските файловете и иска пари, за да ги отключи.
Рансъмуер атаката включва редица неоторизирани дейности, които се извършват върху компютърната система с цел да изнудят потребителя за пари. Този тип атаки основно използват изнудвачески софтуер, но могат да бъдат прилагани и други методи. Например хакерът може да иска откуп, като заплаши да публикува чувствителна информация, открадната от системата на потребителя.
За да активира рансъмуера, хакерът трябва да получи привилегирован достъп до вашите данни или системи. Според системите атаките могат да бъдат автоматични – насочени към индивиди. Също така може да включват редица комплексни дейности, който да продължават дни или седмици наред.
В първия случай хакерът ще използва тактиките на социалния инженеринг, за да накара потребителя да изтегли тази част от рансъмуера, която се нарича first-stage loader. Този малуер (зловреден софтуер) автоматично извършва различни задачи, включително превенция на разпознаването му от антизловредния софтуер, изтегляне на други рансъмуер части и криптиране или заключване на екрана.
При комплексните атаки върху по-голяма мрежа първата стъпка е подобна, но с тази разлика, че обикновено не се таргетира директно сървърът, съдържащ чувствителни данни. Вместо това целта на тази фаза е да се получи достъп до системата и да се изтеглят различни хакерски инструменти и допълнителен малуер за контролиране на хоста и свързване с command and control (C2) сървъра, от който се получават командите. След това хакерите ще опитат да съберат възможно най-много информация за мрежата, за да планират следващите си ходове. Също така ще опитат да инфилтрират други системи, но този път атаката ще се извърши от вече компрометираната система, а не отвън. Действията ще продължават, докато хакерите придобият контрол върху цялата система. Едва когато успеят, ще задействат рансъмуера.
Преди рансъмуерът да еволюира в зачестяващи атаки, успокоението на потенциалните жертви беше следното: нас няма да ни атакува, защото нямаме нищо, което да е ценно за тях. Този начин на мислене е главният виновник за липсата на мерки за сигурност на системите както на индивиди, така и на цели организации. От вече широко разпространените рансъмуер атаки потребителите разбраха, че хакерите не се целят само в онова, което е ценно за тях, а върху това, което е значимо за потребителите, което значи, че всеки е потенциална жертва.
Също толкова важен е и фактът, че зад рансъмуер атаките стоят основно хакерски групи или индивиди, които принадлежат към организираната престъпност. Други видове хакери като хактивистите (индивиди или групи, които хакерстват заради обществен или политически активизъм) и държавно спонсорирани агенти не използват рансъмуер в своите дейности.
Въпреки че има форми на рансъмуер атаки, за чието изпълнение е нужно задълбочено познаване на защитната киберсигурност, много хакери не владеят тези техники. Причината за това е проста. Рансъмуерът е изрично свързан с организираната престъпност, която като всеки вид престъпност е мотивирана от пари. Това са бизнес и бизнес модели, които непрекъснато се подобряват и позволяват неограничено извършване на атаки. Един от „по-интересните“ модели е т. нар. Ransomware-as-a-Service (RaaS), който наподобява популярната концепция Software-as-a-Service (SaaS).
RaaS се пласира от малки хакерски групи, чийто членове са специалисти по рансъмуер и други хакерски инструменти. Те използват Dark Web, за да продават или отдават под наем продуктите си на други киберпрестъпници и създават мрежа от партньори (индивиди или групи), които чрез RaaS получават всичко необходимо за атаки по системата „ключ в ръката“, без да се налага да овладяват технически знания. Партньорите след това откриват, атакуват и получават откуп от жертвите, а спечеленото си разделят с доставчика на RaaS.
Не съвсем. Тези механизми на защита могат да послужат за превенция на автоматизирани атаки, но хакерите са разработили многобройни техники за избягване на детекция и блокиране от страна на защитната стена или антивирусния/антизловредния софтуер. Въпреки разпространеното мнение, че рансъмуер атаките винаги идват отвън, в действителност често имат формата на инсайдерска атака, което ги прави по-трудни за забелязване.
Една от най-често използваните техники на социален инженеринг е фишингът (англ. phishing), който включва дейност, изпълнена върху по-голяма група хора, за да може поне някой от тях да „се хване на въдицата“. Т. нар. фишинг с харпун (eng. spear phising) пък е насочен към индивиди и основно изисква достъп до определена информация за жертвата преди осъществяването на акцията. Информацията се получава чрез различни OSINT (open-source intelligence) методи за събиране на информация от общодостъпни данни за жертвите, най-често от различни сайтове и социални мрежи.
За да се предотврати рансъмуер атака, трябва да се предприемат различни действия като:
Нашият съвет е преди да предприемете нещо, да се опитате да изчислите или оцените какви биха били щетите за вашата организация в случай на загуба на данни, прекъсване на работата и извънредно ангажиране на вътрешните ресурси за справянето с последиците от атаката. Изчислението трябва да включи и репутационните рискове и потенциалните глоби, които може да се наложи да платите. По този начин по-лесно ще установите колко ресурси и пари си струва да се инвестират за превенция на рансъмуер атаки.
И то веднага! Като казваме „всички“, нямаме предвид само оперативните системи и новите версии на приложенията на критичните софтуери, но и ъпдейт на ВСИЧКИ сървъри, настолни компютри, работни станции, лаптопи, мобилни устройства, мрежово и сторидж оборудване, дори и на принт сървърите.
Редактирайте политиките и направете паролите по-сигурни, като зададете:
Заключете (направете lockout) всички неизползвани акаунти, независимо дали става въпрос за акаунти на бивши служители, или системни акаунти.
Редактирайте настоящите политики за бекъп и възстановяване и въведете:
Редактирайте привилегиите, дадени на различни потребителски акаунти и премахнете тези, които не са необходими на потребителя за неговата работа (задача).
Деинсталирайте всички програми, които не са необходими, но които хакерите биха могли да използват при своите атаки.
Ограничете достъпа до споделени мрежи (shared networks) и файлове.
Използвайте мултифакторно удостоверяване (англ. multi-factor authentification), което е устойчиво на т. нар. attrition атаки – такива, при които жертвата е принудена непрекъснато да използва мултифакторно удостоверяване за кратък период от време с цел да го изключи. Обмислете използването на хардуерни устройства като еднократни генератори на пароли (one-time password generators) или ключове за сигурност като YubiKey USB dongle.
Обучението на потребителите ще направи компанията ви по-устойчива на такива атаки. За потребителите е важно да знаят как да разпознават хакерите, но и да осъзнават обема да щетите, които могат да възникнат вследствие на рансъмуер атаки.
Тази стъпка е комплексна и изисква базисно планиране, но може да бъде ключова за превенцията на различни видове хакерски атаки.
Също като редизайна на системите тези дейности могат да се окажат предизвикателство, тъй като изискват потенциални промени на процедурите и политиките. Най-голямото им значение е, че ще ви накарат да не разглеждате сигурността като второстепенен въпрос. Ако смятате, че въвеждането на тези промени е твърде голяма задача, върнете се към нулевата стъпка и отново я обмислете.
По този начин ще постигнете по-високо ниво на сигурност на вашата компания. Ако нямате вътрешни експерти или ресурси за прилагане на непрекъснато разпознаване и отговор на заплахи, които включват внедряване на различни софтуерни решения като Security Information and Event Management (SIEM) платформи, създаване на Център за Security Operations и ангажиране на експерти по сигурността, обмислете модела Managed Retection and Response (MDR) за аутсорсинг на тези дейности.
Ако не разполагате с валиден бекъп, ситуацията е меко казано доста неудобна. В този случай не ви остава нищо друго освен да платите откупа, което не е гаранция, че ще си възстановите достъпа до системата и файловете.
Ако имате валиден бекъп, изгледите са по-добри, но предстои доста работа:
Миграцията в надежден облак е начин да намалите on-premise уязвимостта и да подобрите сигурността на бекъп средата. В зависимост от доставчика облачните бекъп услуги предоставят различни механизми на защита като вграден мониторинг, възможност за наблюдение и конфигуриране на бекъп дейностите, както и известяване при неоторизирани, съмнителни или зловредни дейности.
Ако искате да научите как вашата компания може да се справи с нарастващите киберзаплахи, включително рансъмуер, чрез използване на облачен бекъп, свържете се с нашите експерти.
Открийте ключови компоненти, стратегии за оптимизиране на производителността, проверки за сигурност и как инструментите на Azure могат да помогнат за автоматизирането на вашия процес на разработка.
Три често пренебрегвани аспекта на дигиталната трансформация включват управлението на промените, фокус върху бизнес целите и трансформация на данните.
Всеки изпълнителен директор по технологии трябва да се фокусира върху потребителския опит, оптимизацията на разходите и стратегическите партньорства.
Mainstream е найголемият доставчик на иновативни облачни решения и управлявани хостинг услуги с мрежа от 8+ центъра за данни в Югоизточна Европа.
Mainstream 2012-2024 Всички права запазени.
