Če ste že raziskovali, kako se zaščititi pred ransomware napadi, ste verjetno slišali, da so zaščitne dejavnosti učinkovitejše od reaktivnih. Vprašanje je: katere ukrepe in dejavnosti mora podjetje izvesti, da ne bi postalo žrtev kibernetskih kriminalcev? Ali je implementacija požarnih zidov in protivirusne programske opreme zadostna zaščita? In kaj storiti, če kljub vsemu pride do napada?
V našem vodniku boste izvedeli, kaj točno je ransomware, kako delujejo ti napadi in katere zaščitne mehanizme lahko že danes uvedete ter ki razmislite za prihodnost, da zmanjšate možnosti, da se znajdete na seznamu ransomware žrtev (in se pridružite uglednim imenom, kot sta McMillan Publishers in Rackspace Technology).
Ransomware je vrsta zlonamerne programske opreme (malware), ki omejuje dostop do IT sistemov in od uporabnika zahteva odkupnino, da bi lahko še naprej uporabljal te sisteme. V večini primerov ransomware deluje tako, da zaklene zaslon ali uporabniške datoteke in zahteva denar v zameno za odklepanje.
Ransomware napad vključuje niz nepooblaščenih dejavnosti, ki se izvajajo na računalniškem sistemu z namenom izsiljevanja denarja od uporabnika. Ta vrsta napada običajno uporablja izsiljevalsko programsko opremo, lahko pa uporablja tudi druge metode. Na primer, napadalec lahko zahteva odkupnino z grožnjo objave občutljivih podatkov, ukradenih iz uporabniškega sistema
Da bi aktiviral ransomware, mora napadalec pridobiti privilegije za dostop do vaših podatkov ali sistema. Glede na sistem lahko napadi potekajo samodejno – usmerjeni na posameznike. Prav tako lahko vključujejo niz kompleksnih akcij, ki se izvajajo dneve ali celo tedne.
V prvem primeru bo napadalec uporabil taktike socialnega inženiringa, da bi uporabnika prepričal, da prenese del ransomware-a, imenovanega first-stage loader. Ta zlonamerna programska oprema samodejno izvaja različne naloge, vključno s preprečevanjem zaznavanja zlonamerne programske opreme, prenosom drugih delov ransomware-a in šifriranjem datotek ali zaklepanjem zaslona.
V primeru bolj kompleksnih napadov na večje omrežje je prvi korak podoben, z razliko, da se običajno ne cilja neposredno na strežnik, ki vsebuje občutljive podatke. Namesto tega je cilj te faze pridobiti dostop do sistema in prenesti različna hekerska orodja ter dodatno zlonamerno programsko opremo za nadzor nad gostiteljem in povezavo s command and control (C2) strežnikom, od koder se dobivajo ukazi. Napadalci bodo nato poskušali zbrati čim več informacij o omrežju, da bi načrtovali naslednje poteze. Prav tako bodo poskušali infiltrirati druge sisteme, vendar tokrat bo napad, izveden iz že kompromitiranega sistema, ne od zunaj. Akcije se bodo nadaljevale, dokler napadalci ne bodo prevzeli nadzora nad celotnim sistemom. Šele takrat bodo sprožili ransomware.
Preden je ransomware postal pogost pojav, je bil način razmišljanja potencialnih žrtev naslednji: »Nas gotovo ne bodo napadli, saj nimamo ničesar, kar bi bilo zanje vredno.« Ta način razmišljanja je glavni razlog za pomanjkanje varnostnih ukrepov na sistemih posameznikov in celotnih organizacij. Z izkušnjami iz vse bolj razširjenih ransomware napadov so uporabniki ugotovili, da napadalci ne ciljajo na tisto, kar je zanje dragoceno, ampak na tisto, kar je za uporabnike dragoceno, kar pomeni, da je lahko potencialna žrtev – vsakdo.
Enako pomembno je dejstvo, da za ransomware napadi običajno stojijo hekerske skupine ali posamezniki, ki pripadajo organiziranemu kriminalu. Druge vrste napadalcev, kot so haktivisti (posamezniki ali skupine, ki se ukvarjajo s hekanjem za družbeni ali politični aktivizem) in državno sponzorirani akterji, v svojih aktivnostih ne uporabljajo ransomware-a.
Čeprav obstajajo oblike ransomware napadov, za katere je potrebno napredno znanje ofenzivne kibernetske varnosti, mnogi napadalci teh tehnik ne obvladajo. Razlog je preprost. Ransomware je tesno povezan z organiziranim kriminalom, ki je – kot vsak kriminal – motiviran z denarjem. Gre za posel in poslovne modele, ki se nenehno izpopolnjujejo, kar omogoča izvedbo napadov brez kakršnih koli ovir. Eden od »zanimivejših« modelov je Ransomware-as-a-Service (RaaS), ki spominja na priljubljen koncept Software-as-a-Service (SaaS).
RaaS ponujajo majhne hekerske skupine, katerih člani imajo znanje za razvoj ransomware-a in drugih hekerskih orodij. S pomočjo temnega spleta (Dark Web) ti akterji prodajajo, ali oddajajo svoje izdelke drugim kibernetskim kriminalcem ter ustvarjajo mrežo partnerjev – posameznikov ali skupin – ki z RaaS dobijo vse, kar potrebujejo za izvedbo napadov po sistemu »ključ v roke«, brez potrebe po tehničnem znanju. Partnerji nato najdejo, napadejo in izsilijo odkupnino od žrtev, zaslužek pa si delijo z RaaS ponudnikom.
Ne popolnoma. Ti obrambni mehanizmi lahko služijo za preprečevanje avtomatiziranih napadov, vendar so napadalci razvili številne tehnike za izogibanje zaznavi in blokiranju s strani požarnih zidov ali protivirusne/antimalware programske opreme. Kljub razširjenemu mnenju, da ransomware napadi vedno prihajajo od zunaj, je realnost, da imajo pogosto obliko notranjega napada, kar jih naredi težje zaznavne.
Ena od najpogosteje uporabljenih tehnik socialnega inženiringa je phishing, ki vključuje dejavnost, izvedeno nad večjo skupino ljudi, z namenom, da se nekdo od njih »ujame«. Nasprotno je spear phishing usmerjen na posameznika in običajno zahteva dostop do določenih informacij o žrtvi, preden se akcija izvede. Informacije se pridobijo z uporabo različnih OSINT (open-source intelligence) metod za zbiranje javno dostopnih podatkov o žrtvah, večinoma z različnih spletnih mest in družbenih omrežij podatkov o žrtvah, večinoma z različnih spletnih mest in družbenih omrežij.
Za preprečitev ransomware-a je treba izvesti različne ukrepe, kot so:
Naš nasvet je, da pred kakršno koli drugo dejavnostjo poskusite izračunati ali oceniti, kolikšno škodo bi vaša organizacija utrpela v primeru izgube podatkov, prekinitve dela in nadur internih virov za odpravo posledic napada. Izračun naj upošteva tudi ugledna tveganja in morebitne kazni, ki bi jih morali plačati. Na ta način boste lažje ugotovili, koliko virov in denarja je smiselno vložiti v preprečevanje ransomware napadov.
In to takoj! Ko rečemo »vse«, mislimo ne samo na operacijske sisteme in nove različice aplikacij na kritični programski opremi, temveč na posodobitve na VSEH strežnikih, namiznih računalnikih, delovnih postajah, prenosnih računalnikih, mobilnih napravah, omrežni in opremi za shranjevanje, celo na tiskalniških strežnikih.
Preglejte in okrepite politike gesla tako, da nastavite:
Izvedite zaklepanje (lockout) vseh neuporabljenih računov, bodisi da gre za račune nekdanjih zaposlenih ali sistemske račune.
Preglejte obstoječe varnostne kopije in politike obnove ter implementirajte:
Preglejte privilegije, dodeljene različnim uporabniškim računom, in odstranite vse, ki niso nujno potrebni za opravljanje dela (nalog).
Odstranite vse programe, ki niso nujni in ki jih lahko napadalci uporabijo za izvedbo napada.
Omejite dostop do deljenih omrežij (shared networks) in datotek.
Uporabite multifaktorsko avtentifikacijo, ki je odporna na tako imenovane attrition napade – kjer je žrtev prisiljena nenehno uporabljati multifaktorsko avtentifikacijo v kratkem časovnem obdobju, kar jo privede do izklopa. Razmislite o uporabi strojne opreme, kot so enkratni generatorji gesel (one-time password generators) ali varnostni ključi, kot je YubiKey USB dongle.
Izobraževanje uporabnikov bo vašo družbo naredilo bolj odporno na te vrste napadov. Pomembno je, da uporabniki vedo, kako prepoznati vsiljivce, in da razumejo obseg škode, ki lahko nastane zaradi ransomware napada.
Ta korak je kompleksen in zahteva temeljito načrtovanje, vendar je lahko ključen za preprečevanje najrazličnejših vrst hekerskih napadov.
Kot preoblikovanje sistemov so tudi te dejavnosti lahko izziv, saj zahtevajo morebitne spremembe postopkov in politik. Njihov največji pomen je v tem, da varnosti ne boste več obravnavali kot postransko zadevo. Če se vam zdi, da je uvajanje teh sprememb preveliko delo, se vrnite na prvi korak in preučite njihovo veljavnost.
Na ta način bo varnost vaše družbe dosegla višjo raven. Če nimate notranje ekspertize ali virov za izvajanje neprekinjenega zaznavanja in odzivanja na grožnje, ki vključuje implementacijo različnih programske opreme, kot so platforme Security Information and Event Management (SIEM), oblikovanje Security Operations Centra in angažiranje varnostnih strokovnjakov, razmislite o modelu Managed Detection and Response (MDR) za outsourcing teh aktivnosti.
Če nimate veljavnih varnostnih kopij, je situacija – da uporabimo evfemizem – precej neprijetna. V tem primeru vam ne preostane drugega, kot da plačate odkupnino, kar pa ni zagotovilo, da boste ponovno pridobili dostop do sistema ali datotek.
Če veljavne varnostne kopije obstajajo, so možnosti boljše, vendar vas čaka veliko dela:
Migracija na zanesljiv oblak je eden od načinov za zmanjšanje ranljivosti na on-premise in izboljšanje varnosti vašega varnostnega okolja. Glede na ponudnika, cloud backup storitve zagotavljajo različne mehanizme zaščite, kot so vgrajeno spremljanje, možnost nadzora in konfiguracije dejavnosti nad varnostnimi kopijami ter obvestila v primeru nepooblaščenih, sumljivih ali zlonamernih dejavnosti.
Če želite izvedeti, kako lahko vaše podjetje nasprotuje naraščajočim kibernetskim grožnjam, vključno z ransomware-om, z uporabo cloud backupa, z našimi strokovnjaki.
Odkrijte ključne komponente, strategije za optimizacijo delovanja, varnostna preverjanja in kako lahko orodja Azure pomagajo avtomatizirati vaš razvojno-operacijski proces.
Ako vam je stalo da izgradite online reputaciju, jedna od stavki na koju treba da obratite pažnju je kvalitet veb hostinga.
Sve više tehnoloških proizvođača nudi softvere za automatizaciju i kontrolu sistema na cloudu.
Mainstream je največji ponudnik inovativnih rešitev v oblaku in storitev upravljanega gostovanja z mrežo 8+ podatkovnih centrov v jugovzhodni Evropi.
Mainstream 2012-2024 Vse pravice pridržane.
