Ако вече сте проучвали как да се защитите от рансъмуер атаки, сигурно сте чували, че превенцията е по-ефективна от реакцията. Въпросът е какви мерки и дейности трябва да предприеме една компания, за да не стане жертва на киберпрестъпници? Достатъчно ли е да се внедри защитна стена (firewall) и да се използва антивирусен софтуер? И какво да направим, ако въпреки всичко се стигне до атака?
От нашето упътване ще научите какво е рансъмуер, как функционират този тип атаки и кои превантивни механизми можете да внедрите още днес, както и да обмислите как да сведете до минимум възможността да станете част от списъка с жертви на рансъмуер (и да бъдете в компанията на реномирани фирми като McMillan Publishers и Rackspace Technology).
Какво е рансъмуер?
Рансъмуер е вид зловреден софтуер (malware), който ограничава достъпа до IT системите и иска откуп от потребителите, за да могат да продължат да ги използват. В най-голям брой от случаите рансъмуерът функционира, като заключва екрана или потребителските файловете и иска пари, за да ги отключи.
Какво е рансъмуер атака?
Рансъмуер атаката включва редица неоторизирани дейности, които се извършват върху компютърната система с цел да изнудят потребителя за пари. Този тип атаки основно използват изнудвачески софтуер, но могат да бъдат прилагани и други методи. Например хакерът може да иска откуп, като заплаши да публикува чувствителна информация, открадната от системата на потребителя.
Как функционира рансъмуерът?
За да активира рансъмуера, хакерът трябва да получи привилегирован достъп до вашите данни или системи. Според системите атаките могат да бъдат автоматични – насочени към индивиди. Също така може да включват редица комплексни дейности, който да продължават дни или седмици наред.
В първия случай хакерът ще използва тактиките на социалния инженеринг, за да накара потребителя да изтегли тази част от рансъмуера, която се нарича first-stage loader. Този малуер (зловреден софтуер) автоматично извършва различни задачи, включително превенция на разпознаването му от антизловредния софтуер, изтегляне на други рансъмуер части и криптиране или заключване на екрана.
При комплексните атаки върху по-голяма мрежа първата стъпка е подобна, но с тази разлика, че обикновено не се таргетира директно сървърът, съдържащ чувствителни данни. Вместо това целта на тази фаза е да се получи достъп до системата и да се изтеглят различни хакерски инструменти и допълнителен малуер за контролиране на хоста и свързване с command and control (C2) сървъра, от който се получават командите. След това хакерите ще опитат да съберат възможно най-много информация за мрежата, за да планират следващите си ходове. Също така ще опитат да инфилтрират други системи, но този път атаката ще се извърши от вече компрометираната система, а не отвън. Действията ще продължават, докато хакерите придобият контрол върху цялата система. Едва когато успеят, ще задействат рансъмуера.
В какво се състои значението на рансъмуера?
Преди рансъмуерът да еволюира в зачестяващи атаки, успокоението на потенциалните жертви беше следното: нас няма да ни атакува, защото нямаме нищо, което да е ценно за тях. Този начин на мислене е главният виновник за липсата на мерки за сигурност на системите както на индивиди, така и на цели организации. От вече широко разпространените рансъмуер атаки потребителите разбраха, че хакерите не се целят само в онова, което е ценно за тях, а върху това, което е значимо за потребителите, което значи, че всеки е потенциална жертва.
Също толкова важен е и фактът, че зад рансъмуер атаките стоят основно хакерски групи или индивиди, които принадлежат към организираната престъпност. Други видове хакери като хактивистите (индивиди или групи, които хакерстват заради обществен или политически активизъм) и държавно спонсорирани агенти не използват рансъмуер в своите дейности.
Защо рансъмуер атаките да са толкова широко разпространени, след като изискват задълбочени знания?
Въпреки че има форми на рансъмуер атаки, за чието изпълнение е нужно задълбочено познаване на защитната киберсигурност, много хакери не владеят тези техники. Причината за това е проста. Рансъмуерът е изрично свързан с организираната престъпност, която като всеки вид престъпност е мотивирана от пари. Това са бизнес и бизнес модели, които непрекъснато се подобряват и позволяват неограничено извършване на атаки. Един от „по-интересните“ модели е т. нар. Ransomware-as-a-Service (RaaS), който наподобява популярната концепция Software-as-a-Service (SaaS).
RaaS се пласира от малки хакерски групи, чийто членове са специалисти по рансъмуер и други хакерски инструменти. Те използват Dark Web, за да продават или отдават под наем продуктите си на други киберпрестъпници и създават мрежа от партньори (индивиди или групи), които чрез RaaS получават всичко необходимо за атаки по системата „ключ в ръката“, без да се налага да овладяват технически знания. Партньорите след това откриват, атакуват и получават откуп от жертвите, а спечеленото си разделят с доставчика на RaaS.
Превенция на рансъмуер: какво трябва да знаете
Моята компания използва защитна стена (firewall) и антивирусен/антизловреден софтуер – това не е ли достатъчно за сигурността?
Не съвсем. Тези механизми на защита могат да послужат за превенция на автоматизирани атаки, но хакерите са разработили многобройни техники за избягване на детекция и блокиране от страна на защитната стена или антивирусния/антизловредния софтуер. Въпреки разпространеното мнение, че рансъмуер атаките винаги идват отвън, в действителност често имат формата на инсайдерска атака, което ги прави по-трудни за забелязване.
Какви тактики на социалния инженеринг използват хакерите?
Една от най-често използваните техники на социален инженеринг е фишингът (англ. phishing), който включва дейност, изпълнена върху по-голяма група хора, за да може поне някой от тях да „се хване на въдицата“. Т. нар. фишинг с харпун (eng. spear phising) пък е насочен към индивиди и основно изисква достъп до определена информация за жертвата преди осъществяването на акцията. Информацията се получава чрез различни OSINT (open-source intelligence) методи за събиране на информация от общодостъпни данни за жертвите, най-често от различни сайтове и социални мрежи.
Как да предотвратя рансъмуер атака?
За да се предотврати рансъмуер атака, трябва да се предприемат различни действия като:
1. НУЛЕВА СТЪПКА: ОЦЕНКА НА ПОТЕНЦИАЛНАТА ЩЕТА
Нашият съвет е преди да предприемете нещо, да се опитате да изчислите или оцените какви биха били щетите за вашата организация в случай на загуба на данни, прекъсване на работата и извънредно ангажиране на вътрешните ресурси за справянето с последиците от атаката. Изчислението трябва да включи и репутационните рискове и потенциалните глоби, които може да се наложи да платите. По този начин по-лесно ще установите колко ресурси и пари си струва да се инвестират за превенция на рансъмуер атаки.
2. НАПРАВЕТЕ ПАЧОВЕ НА ВСИЧКИ МАШИНИ
И то веднага! Като казваме „всички“, нямаме предвид само оперативните системи и новите версии на приложенията на критичните софтуери, но и ъпдейт на ВСИЧКИ сървъри, настолни компютри, работни станции, лаптопи, мобилни устройства, мрежово и сторидж оборудване, дори и на принт сървърите.
3. УСЛОЖНЕТЕ ИЗИСКВАНИЯТА ЗА ПАРОЛА И ЗАКЛЮЧЕТЕ АКАУНТИТЕ, КОИТО НЕ СЕ ИЗПОЛЗВАТ
Редактирайте политиките и направете паролите по-сигурни, като зададете:
минимална дължина и необходимите символи (минимум 10 символа със задължителни една главна и една малка буква, число и знак за пунктуация);
период на изтичане на паролата – за да могат потребителите да я сменят редовно;
превенция на въртенето на малък брой пароли – при възможност конфигурирайте системите така, че да помнят три или повече предишни пароли и да не разрешават на потребителите да ги въртят, като зададете минимален междинен период (между смените на паролите) от седем дни.
Заключете (направете lockout) всички неизползвани акаунти, независимо дали става въпрос за акаунти на бивши служители, или системни акаунти.
4. ВЪВЕДЕТЕ ЕФЕКТИВНИ ПОЛИТИКИ ЗА БЕКЪП И ВЪЗСТАНОВЯВАНЕ
Редактирайте настоящите политики за бекъп и възстановяване и въведете:
3-2-1 метод, който включва три отделни бекъпа на две различни системи и един офсайт бекъп;
тествайте процедурите за възстановяване, за да установите дали настоящите бекъпи позволяват цялостно възстановяване;
редовно тествайте валидността на бекъпа – една от тактиките, които хакерите използват, е да повреждат бекъп копията.
5. ВЪВЕДЕТЕ ПРИНЦИПА НА ПОСЛЕДНАТА ПРИВИЛЕГИЯ
Редактирайте привилегиите, дадени на различни потребителски акаунти и премахнете тези, които не са необходими на потребителя за неговата работа (задача).
Деинсталирайте всички програми, които не са необходими, но които хакерите биха могли да използват при своите атаки.
Ограничете достъпа до споделени мрежи (shared networks) и файлове.
6. ВЪВЕДЕТЕ МУЛТИФАКТОРНО УДОСТОВЕРЯВАНЕ
Използвайте мултифакторно удостоверяване (англ. multi-factor authentification), което е устойчиво на т. нар. attrition атаки – такива, при които жертвата е принудена непрекъснато да използва мултифакторно удостоверяване за кратък период от време с цел да го изключи. Обмислете използването на хардуерни устройства като еднократни генератори на пароли (one-time password generators) или ключове за сигурност като YubiKey USB dongle.
7. НАУЧЕТЕ ПОТРЕБИТЕЛИТЕ КАК ДА РАЗПОЗНАВАТ РАЗЛИЧНИТЕ ФИШИНГ АТАКИ
Обучението на потребителите ще направи компанията ви по-устойчива на такива атаки. За потребителите е важно да знаят как да разпознават хакерите, но и да осъзнават обема да щетите, които могат да възникнат вследствие на рансъмуер атаки.
Дългосрочни дейности за превенция на рансъмуер атаки
1. НАПРАВЕТЕ РЕДИЗАЙН НА СИСТЕМИТЕ, ЗА ДА ВЪВЕДЕТЕ МНОГОПЛАСТОВА ЗАЩИТА
Тази стъпка е комплексна и изисква базисно планиране, но може да бъде ключова за превенцията на различни видове хакерски атаки.
2. ИНТЕГРИРАЙТЕ ПРИНЦИПИТЕ ЗА СИГУРНОСТ ВЪВ ВСИЧКИ ПРОЦЕДУРИ И ПОЛИТИКИ В РАМКИТЕ НА ОРГАНИЗАЦИЯТА
Също като редизайна на системите тези дейности могат да се окажат предизвикателство, тъй като изискват потенциални промени на процедурите и политиките. Най-голямото им значение е, че ще ви накарат да не разглеждате сигурността като второстепенен въпрос. Ако смятате, че въвеждането на тези промени е твърде голяма задача, върнете се към нулевата стъпка и отново я обмислете.
3. ВЪВЕДЕТЕ НЕПРЕКЪСНАТО РАЗПОЗНАВАНЕ И ОТГОВОР НА ЗАПЛАХИ
По този начин ще постигнете по-високо ниво на сигурност на вашата компания. Ако нямате вътрешни експерти или ресурси за прилагане на непрекъснато разпознаване и отговор на заплахи, които включват внедряване на различни софтуерни решения като Security Information and Event Management (SIEM) платформи, създаване на Център за Security Operations и ангажиране на експерти по сигурността, обмислете модела Managed Retection and Response (MDR) за аутсорсинг на тези дейности.
Бяхме атакувани – какво следва?
Ако не разполагате с валиден бекъп, ситуацията е меко казано доста неудобна. В този случай не ви остава нищо друго освен да платите откупа, което не е гаранция, че ще си възстановите достъпа до системата и файловете.
Ако имате валиден бекъп, изгледите са по-добри, но предстои доста работа:
преди да започнете каквото и да е възстановяване (restore), съберете криминалистични доказателства сами или с помощта на професионалисти, които ще ви послужат да установите как хакерите са успели да влязат във вашата система. Освен това доказателствата ще са ви необходими, ако предприемате правни мерки или комуникирате със застрахователни компании.
Трябва да направите пълно преинсталиране на всички машини, включително и на тези, които не са били засегнати при атаката. Не оставяйте нищо на случайността – не можете да знаете какво са оставили хакерите по вашите системи – и винаги инсталирайте най-новите пачове (patches) и ъпдейти.
Приложете възможно най-много от съветите от тази статия.
Направете ръчно възстановяване на данните от бекъпа и проверете дали хакерите са успели да инфилтрират бекъпите и да ги заразят с допълнителен малуер.
Подходящ ли е облачният бекъп за защита от рансъмуер?
Миграцията в надежден облак е начин да намалите on-premise уязвимостта и да подобрите сигурността на бекъп средата. В зависимост от доставчика облачните бекъп услуги предоставят различни механизми на защита като вграден мониторинг, възможност за наблюдение и конфигуриране на бекъп дейностите, както и известяване при неоторизирани, съмнителни или зловредни дейности.
Ако искате да научите как вашата компания може да се справи с нарастващите киберзаплахи, включително рансъмуер, чрез използване на облачен бекъп, свържете се с нашите експерти.