Celovit vodnik za preprečevanje ransomware napadov 

Katarina Marinković

19.08.2024

Če ste že raziskovali, kako se zaščititi pred ransomware napadi, ste verjetno slišali, da so zaščitne dejavnosti učinkovitejše od reaktivnih. Vprašanje je: katere ukrepe in dejavnosti mora podjetje izvesti, da ne bi postalo žrtev kibernetskih kriminalcev? Ali je implementacija požarnih zidov in protivirusne programske opreme zadostna zaščita? In kaj storiti, če kljub vsemu pride do napada?

V našem vodniku boste izvedeli, kaj točno je ransomware, kako delujejo ti napadi in katere zaščitne mehanizme lahko že danes uvedete ter ki razmislite za prihodnost, da zmanjšate možnosti, da se znajdete na seznamu ransomware žrtev (in se pridružite uglednim imenom, kot sta McMillan Publishers in Rackspace Technology).

Kaj je ransomware?

Ransomware je vrsta zlonamerne programske opreme (malware), ki omejuje dostop do IT sistemov in od uporabnika zahteva odkupnino, da bi lahko še naprej uporabljal te sisteme. V večini primerov ransomware deluje tako, da zaklene zaslon ali uporabniške datoteke in zahteva denar v zameno za odklepanje.

Kaj je ransomware napad?

Ransomware napad vključuje niz nepooblaščenih dejavnosti, ki se izvajajo na računalniškem sistemu z namenom izsiljevanja denarja od uporabnika. Ta vrsta napada običajno uporablja izsiljevalsko programsko opremo, lahko pa uporablja tudi druge metode. Na primer, napadalec lahko zahteva odkupnino z grožnjo objave občutljivih podatkov, ukradenih iz uporabniškega sistema

Kako deluje ransomware?

Da bi aktiviral ransomware, mora napadalec pridobiti privilegije za dostop do vaših podatkov ali sistema. Glede na sistem lahko napadi potekajo samodejno – usmerjeni na posameznike. Prav tako lahko vključujejo niz kompleksnih akcij, ki se izvajajo dneve ali celo tedne.

V prvem primeru bo napadalec uporabil taktike socialnega inženiringa, da bi uporabnika prepričal, da prenese del ransomware-a, imenovanega first-stage loader. Ta zlonamerna programska oprema samodejno izvaja različne naloge, vključno s preprečevanjem zaznavanja zlonamerne programske opreme, prenosom drugih delov ransomware-a in šifriranjem datotek ali zaklepanjem zaslona.

V primeru bolj kompleksnih napadov na večje omrežje je prvi korak podoben, z razliko, da se običajno ne cilja neposredno na strežnik, ki vsebuje občutljive podatke. Namesto tega je cilj te faze pridobiti dostop do sistema in prenesti različna hekerska orodja ter dodatno zlonamerno programsko opremo za nadzor nad gostiteljem in povezavo s command and control (C2) strežnikom, od koder se dobivajo ukazi. Napadalci bodo nato poskušali zbrati čim več informacij o omrežju, da bi načrtovali naslednje poteze. Prav tako bodo poskušali infiltrirati druge sisteme, vendar tokrat bo napad, izveden iz že kompromitiranega sistema, ne od zunaj. Akcije se bodo nadaljevale, dokler napadalci ne bodo prevzeli nadzora nad celotnim sistemom. Šele takrat bodo sprožili ransomware.

Zakaj je ransomware pomemben?

Preden je ransomware postal pogost pojav, je bil način razmišljanja potencialnih žrtev naslednji: »Nas gotovo ne bodo napadli, saj nimamo ničesar, kar bi bilo zanje vredno.« Ta način razmišljanja je glavni razlog za pomanjkanje varnostnih ukrepov na sistemih posameznikov in celotnih organizacij. Z izkušnjami iz vse bolj razširjenih ransomware napadov so uporabniki ugotovili, da napadalci ne ciljajo na tisto, kar je zanje dragoceno, ampak na tisto, kar je za uporabnike dragoceno, kar pomeni, da je lahko potencialna žrtev – vsakdo.

Enako pomembno je dejstvo, da za ransomware napadi običajno stojijo hekerske skupine ali posamezniki, ki pripadajo organiziranemu kriminalu. Druge vrste napadalcev, kot so haktivisti (posamezniki ali skupine, ki se ukvarjajo s hekanjem za družbeni ali politični aktivizem) in državno sponzorirani akterji, v svojih aktivnostih ne uporabljajo ransomware-a.

Kako je mogoče, da so ransomware napadi tako široko razširjeni, glede na to, da zahtevajo napredno znanje?

Čeprav obstajajo oblike ransomware napadov, za katere je potrebno napredno znanje ofenzivne kibernetske varnosti, mnogi napadalci teh tehnik ne obvladajo. Razlog je preprost. Ransomware je tesno povezan z organiziranim kriminalom, ki je – kot vsak kriminal – motiviran z denarjem. Gre za posel in poslovne modele, ki se nenehno izpopolnjujejo, kar omogoča izvedbo napadov brez kakršnih koli ovir. Eden od »zanimivejših« modelov je Ransomware-as-a-Service (RaaS), ki spominja na priljubljen koncept Software-as-a-Service (SaaS).

RaaS ponujajo majhne hekerske skupine, katerih člani imajo znanje za razvoj ransomware-a in drugih hekerskih orodij. S pomočjo temnega spleta (Dark Web) ti akterji prodajajo, ali oddajajo svoje izdelke drugim kibernetskim kriminalcem ter ustvarjajo mrežo partnerjev – posameznikov ali skupin – ki z RaaS dobijo vse, kar potrebujejo za izvedbo napadov po sistemu »ključ v roke«, brez potrebe po tehničnem znanju. Partnerji nato najdejo, napadejo in izsilijo odkupnino od žrtev, zaslužek pa si delijo z RaaS ponudnikom.

Preprečevanje ransomware-a: kaj morate vedeti

Moje podjetje je implementiralo požarni zid in protivirusno/antimalware programsko opremo – ali smo varni?

Ne popolnoma. Ti obrambni mehanizmi lahko služijo za preprečevanje avtomatiziranih napadov, vendar so napadalci razvili številne tehnike za izogibanje zaznavi in blokiranju s strani požarnih zidov ali protivirusne/antimalware programske opreme. Kljub razširjenemu mnenju, da ransomware napadi vedno prihajajo od zunaj, je realnost, da imajo pogosto obliko notranjega napada, kar jih naredi težje zaznavne.

Katere taktike socialnega inženiringa uporabljajo napadalci?

Ena od najpogosteje uporabljenih tehnik socialnega inženiringa je phishing, ki vključuje dejavnost, izvedeno nad večjo skupino ljudi, z namenom, da se nekdo od njih »ujame«. Nasprotno je spear phishing usmerjen na posameznika in običajno zahteva dostop do določenih informacij o žrtvi, preden se akcija izvede. Informacije se pridobijo z uporabo različnih OSINT (open-source intelligence) metod za zbiranje javno dostopnih podatkov o žrtvah, večinoma z različnih spletnih mest in družbenih omrežij podatkov o žrtvah, večinoma z različnih spletnih mest in družbenih omrežij.

Kako lahko preprečim ransomware napad?

Za preprečitev ransomware-a je treba izvesti različne ukrepe, kot so:

1. PRVI KORAK: OCENA POTENCIALNE ŠKODE

Naš nasvet je, da pred kakršno koli drugo dejavnostjo poskusite izračunati ali oceniti, kolikšno škodo bi vaša organizacija utrpela v primeru izgube podatkov, prekinitve dela in nadur internih virov za odpravo posledic napada. Izračun naj upošteva tudi ugledna tveganja in morebitne kazni, ki bi jih morali plačati. Na ta način boste lažje ugotovili, koliko virov in denarja je smiselno vložiti v preprečevanje ransomware napadov.

2. POSODOBITE VSE NAPRAVE

In to takoj! Ko rečemo »vse«, mislimo ne samo na operacijske sisteme in nove različice aplikacij na kritični programski opremi, temveč na posodobitve na VSEH strežnikih, namiznih računalnikih, delovnih postajah, prenosnih računalnikih, mobilnih napravah, omrežni in opremi za shranjevanje, celo na tiskalniških strežnikih.

3. IZBOLJŠAJTE POLITIKE GESLA IN ZAKLENITE RAČUNE, KI NISO V UPORABI

Preglejte in okrepite politike gesla tako, da nastavite:

  • minimalno dolžino in potrebne znake (najmanj 10 znakov, vključno z obvezno eno malo in veliko črko, številko in ločilom)
  • obdobje veljavnosti gesla – da bi uporabniki morali redno spreminjati gesla
  • preprečevanje rotacije majhnega števila gesel – če je mogoče, konfigurirajte sisteme tako, da si zapomnijo tri ali več prejšnjih gesel in preprečijo uporabnikom, da jih rotirajo, z nastavitvijo minimalnega vmesnega obdobja (med spremembami gesel) sedmih dni.

Izvedite zaklepanje (lockout) vseh neuporabljenih računov, bodisi da gre za račune nekdanjih zaposlenih ali sistemske račune.

4. IMPLEMENTIRAJTE UČINKOVITE VARNOSTNE KOPIJE IN POLITIKE OBNOVITVE

Preglejte obstoječe varnostne kopije in politike obnove ter implementirajte:

  • 3-2-1 metodo, ki vključuje tri ločene varnostne kopije na dveh različnih sistemih in eno offsite varnostno kopijo
  • testirajte postopke obnove, da ugotovite, ali obstoječe varnostne kopije omogočajo popolno obnovitev
  • redno testirajte veljavnost varnostnih kopij – ena od taktik, ki jih uporabljajo napadalci, je poškodovanje varnostnih kopij.
5. IMPLEMENTIRAJTE NAČELO ZADNJEGA PRIVILEGIJA

Preglejte privilegije, dodeljene različnim uporabniškim računom, in odstranite vse, ki niso nujno potrebni za opravljanje dela (nalog).

Odstranite vse programe, ki niso nujni in ki jih lahko napadalci uporabijo za izvedbo napada.

Omejite dostop do deljenih omrežij (shared networks) in datotek.

6. IMPLEMENTIRAJTE MULTIFAKTORSKO AVTENTIFIKACIJO

Uporabite multifaktorsko avtentifikacijo, ki je odporna na tako imenovane attrition napade – kjer je žrtev prisiljena nenehno uporabljati multifaktorsko avtentifikacijo v kratkem časovnem obdobju, kar jo privede do izklopa. Razmislite o uporabi strojne opreme, kot so enkratni generatorji gesel (one-time password generators) ali varnostni ključi, kot je YubiKey USB dongle.

7. NAUČITE UPORABNIKE, KAKO PREPOZNATI PHISHING IN SPEAR PHISHING NAPADE

Izobraževanje uporabnikov bo vašo družbo naredilo bolj odporno na te vrste napadov. Pomembno je, da uporabniki vedo, kako prepoznati vsiljivce, in da razumejo obseg škode, ki lahko nastane zaradi ransomware napada.

Dolgoročne dejavnosti za preprečevanje ransomware napadov

1. PREOBLIKUJTE SISTEME ZA IMPLEMENTACIJO PLASTNE OBRAMBE

Ta korak je kompleksen in zahteva temeljito načrtovanje, vendar je lahko ključen za preprečevanje najrazličnejših vrst hekerskih napadov.

2. INTEGRIRAJTE VARNOSTNE PRINCIPE V VSE POSTOPKE IN POLITIKE ZNOTRAJ ORGANIZACIJE

Kot preoblikovanje sistemov so tudi te dejavnosti lahko izziv, saj zahtevajo morebitne spremembe postopkov in politik. Njihov največji pomen je v tem, da varnosti ne boste več obravnavali kot postransko zadevo. Če se vam zdi, da je uvajanje teh sprememb preveliko delo, se vrnite na prvi korak in preučite njihovo veljavnost.

3. IMPLEMENTIRAJTE NEPREKINJENO ZAZNAVANJE IN ODZIVANJE NA GROŽNJE

Na ta način bo varnost vaše družbe dosegla višjo raven. Če nimate notranje ekspertize ali virov za izvajanje neprekinjenega zaznavanja in odzivanja na grožnje, ki vključuje implementacijo različnih programske opreme, kot so platforme Security Information and Event Management (SIEM), oblikovanje Security Operations Centra in angažiranje varnostnih strokovnjakov, razmislite o modelu Managed Detection and Response (MDR) za outsourcing teh aktivnosti.

Prišlo je do napada – kaj zdaj?

Če nimate veljavnih varnostnih kopij, je situacija – da uporabimo evfemizem – precej neprijetna. V tem primeru vam ne preostane drugega, kot da plačate odkupnino, kar pa ni zagotovilo, da boste ponovno pridobili dostop do sistema ali datotek.

Če veljavne varnostne kopije obstajajo, so možnosti boljše, vendar vas čaka veliko dela:

  • preden izvedete kakršno koli obnovo (restore), zberite forenzične dokaze sami ali s strokovno pomočjo, ki vam bodo pomagali ugotoviti, kako je napadalcem uspelo pridobiti dostop do vašega sistema. Poleg tega bodo ti dokazi potrebni, če boste sprožili pravne postopke ali komunicirali z zavarovalnicami.
  • Treba je izvesti popolno ponovno namestitev vseh naprav, vključno z napravami, ki niso bile zajete v napadu. Ne prepustite ničesar naključju – ne morete vedeti, kaj so napadalci pustili na vaših sistemih – in vedno namestite najnovejše popravke in posodobitve.
  • Uporabite čim več nasvetov iz tega članka.
  • Ročno izvedite obnovo podatkov iz varnostnih kopij in preverite, ali je napadalcem uspelo infiltrirati varnostne kopije in jih okužiti z dodatno zlonamerno programsko opremo.

Cloud backup kot zaščita pred ransomware-om?

Migracija na zanesljiv oblak je eden od načinov za zmanjšanje ranljivosti na on-premise in izboljšanje varnosti vašega varnostnega okolja. Glede na ponudnika, cloud backup storitve zagotavljajo različne mehanizme zaščite, kot so vgrajeno spremljanje, možnost nadzora in konfiguracije dejavnosti nad varnostnimi kopijami ter obvestila v primeru nepooblaščenih, sumljivih ali zlonamernih dejavnosti.

Če želite izvedeti, kako lahko vaše podjetje nasprotuje naraščajočim kibernetskim grožnjam, vključno z ransomware-om, z uporabo cloud backupa, z našimi strokovnjaki.

Последни статии

Aws / Aws

Kako razvijati svoj start-up v oblaku s krediti AWS

Ustanovitelji start-up podjetij se srečujejo z neštetimi izzivi, eden od njih pa je tudi neizogibna potrošnja kapitala, situacija, ki spominja

Omejitve virov v sistemu Kubernetes: obvladovanje omejitev procesorja in pomnilnika z dvoreznim mečem  

Omejitve procesorja in pomnilnika Kubernetes so bistvenega pomena za upravljanje virov, vendar lahko njihova nastavitev prenizka povzroči dušenje…

Kako izbrati optimalen oblak za vaš start-up? 

Izbor pravega ponudnika v oblaku je ključen za učinkovit razvoj startapa in dolgoročni uspeh. Vse, kar startapi morajo razmisliti o izbiri tehnologije in storitev v oblaku, da bi optimizirali učinkovitost in zmanjšali stroške.