Ukoliko ste već istraživali kako da se zaštitite od ransomware napada, sigurno ste čuli da su preventivne aktivnosti efikasnije od reaktivnih. Pitanje je: kakve su to mere i aktivnosti koje jedna kompanija treba da sprovede kako ne bi postala žrtva sajber kriminalaca? Da li je implementacija firewall uređaja i antivirus softvera dovoljna zaštita? I šta raditi ako, uprkos svemu, dođe do napada?
U našem vodiču saznaćete šta je tačno ransomware, kako funkcionišu ovi napadi i koje preventivne mehanizme možete da implementirate već danas, kao i da razmotrite u budućnosti kako biste šanse da pridružite spisku ransomware žrtava (i budete u društvu uglednih imena kao što su McMillan Publishers i Rackspace Technology) sveli na minimum.
Šta je ransomware?
Ransomware je vrsta malicionznog softvera (malware) koji ograničava pristup IT sistemima i od korisnika traži otkupninu kako bi mogli da nastave da ih koriste. U najvećem broju slučajeva, ransomware funkcioniše tako što zaključava ekran ili korisničke fajlove i zahteva novac u zamenu za otključavanje.
Šta je ransomware napad?
Ransomware napad podrazumeva niz neautorizovanih aktivnosti koje se obavljaju na računarskom sistemu, sa ciljem iznude novca od korisnika. Ovaj tip napada uglavnom koristi ucenjivački softver, ali može primenjivati i druge metode. Primera radi, napadač može da zahteva otkup tako što će zapretiti objavljivanjem osetljivih podataka ukradenih sa korisničkog sistema.
Kako funkcioniše ransomware?
Da bi aktivirao ransomware, napadač mora da stekne privilegije za pristup vašim podacima ili sistemu. U zavisnosti od sistema, napadi mogu biti automatski – usmereni na pojedince. Takođe, mogu podrazumevati niz kompleksnih akcija koje se sprovode danima ili čak nedeljama.
U prvom slučaju, napadač će iskoristiti taktike socijalnog inženjeringa kako bi naveo korisnika da preuzme deo ransomware-a koji se zove first-stage loader. Ovaj malware automatski sprovodi razne zadatke, uključujući prevenciju anti-malware detekcije, preuzimanje drugih ransomware delova i enkripciju datoteka ili zaključavanje ekrana.
Kada je reč o kompleksnijim napadima na veću mrežu, prvi korak je sličan sa razlikom što se obično ne targetira direktno server koji sadrži osetljive podatke. Umesto toga, cilj ove faze je da se dobije pristup sistemu i preuzmu razni hakerski alati i dodatni malver za kontrolisanje hosta i povezivanje sa command and control (C2) serverom sa kojeg se dobijaju komande. Napadači će zatim pokušati da prikupe što više informacija o mreži kako bi isplanirali naredne poteze. Pokušaće, takođe, da infiltriraju druge sisteme ali ovoga puta napad će izvoditi sa već kompromitovanog sistema, a ne spolja. Akcije će se nastaviti sve dok napadači ne steknu kontolu nad čitavim sistemom. Tek kada u tome uspeju, pustiće u rad ransomware.
U čemu je značaj ransomeware-a?
Pre nego što je ransomware evoluirao u učestale napade, rezon potencijalnih žrtvi bio je sledeći: sigurno nas neće napasti, jer ne posedujemo ništa što je za njih vredno. Ovakva škola mišljenja glavni je krivac za nedostatak bezbednosnih mera na sistemima pojedinaca, ali i čitavih organizacija. Stičući iskustvo preko sve rasprostranjenijih ransomware napada, korisnici su uvideli da napadači ne targetiraju ono što je vredno njima samima, već što je od velike vrednosti za korisnike, što znači da potencijalna žrtva može biti – svako.
Podjednako važna je i činjenjenica da iza ransomware napada uglavnom stoje hakerske grupe ili pojedinici koji pripadaju organizovanom kriminalu. Druge vrste napadača,kao što su haktivisti (individue ili grupe koji se bave hakovanjem u svrhu društvenog ili političkog aktivizma) i akteri sponzorisani od strane država ne koriste ransomware u svojim aktivnostima.
Kako je moguće da su ransomware napadi tako široko rasprostranjeni obzirom da iziskuju napredna znanja?
Premda postoje forme ransomware napada za čiju izvedbu je potrebno napredno poznanje ofanzivne sajber bezbednosti, mnogi napadači ne vladaju ovim tehnikama. Razlog je jednostavan. Ransomware je izričito vezan za organizovani kriminal, koji je – kao svaki kriminal – motivisan novcem. Reč je biznisu i biznis modelima koji se stalno unapređuju, omogućavajući izvođenje napada bez ikakvih barijera. Jedan od “interesantnijih” modela je Ransomware-as-a-Service (RaaS) koji nalikuje popularnom Software-as-a-Service (SaaS) konceptu.
RaaS plasiraju male hakerske grupe čiji članovi imaju znanja za razvoj ransomware-a i drugih hakerskih alata. Koristeći Dark Web, ovi akteri prodaju ili iznajmljuju svoje proizvode drugim sajber kriminalcima, te kreiraju mrežu partnera – pojedinaca ili grupa – koji uz RaaS dobijaju sve što im je potrebno za izvođenje napada, po sistemu “ključ u ruke”, bez potrebe da usvajaju tehnička znanja. Partneri zatim pronalaze, napadaju i uzimaju otkup od žrtava, a zaradu dele sa RaaS provajderom.
Ransomware prevencija: šta treba da znate
Moja kompanija je implementirala firewall i antivirus/antimalware softver – da li smo bezbedni?
Ne potpuno. Ovi mehanizmi odbrane mogu da posluže za prevenciju automatizovanih napada, ali napadači su razvili brojne tehnike za izbegavanje detekcije i blokiranja od strane firewall uređaja ili antivirus/antimalware softvera. Uprkos uvreženom mišljenju da ransomware napadi uvek dolaze spolja, realnost je da često mogu imati formu insajderskog napada, što ih čini teže uočljivim.
Koje taktike socijalnog inženjeringa koriste napadači?
Jedna od najčešće korišćenih tehnika socijalnog inženjeringa je fišing (engl. phishing) koji podrazumeva aktivnost sprovedenu nad većom grupom ljudi, u cilju da se bar neko od njih “upeca”. Nasuprot tome, spir fišing (eng. spear phising) usmeren je na pojedinca i uglavnom iziskuje pristup određenim informacijama o žrtvi pre sprovođenja akcije. Informacije se dobijaju uz različite OSINT (open-source intelligence) methode za prikupljanje javnog dostupnih podataka o žrtvama, uglavnom sa raznih sajtova i društvenih mreža.
Kako da predupredim ransomware napad?
Da biste predupredili ransomware, potebno je da preduzmete različite akcije, kao što su:
1. Nulti korak: Procena potencijalne štete
Naš savet je da, pre nego što bilo šta drugo preduzmete, pokušate da izračunate ili procnite koliku bi štetu vaša organizacija pretrpela u slučaju gubitka podataka, prekida u radu i prekovremenog angažmana internih resursa za saniranje posledica napada. Kalkulacija takođe treba da uzme u obzir reuputacione rizike i potencijalne penale koje biste morali da platite. Na ovaj način lakše ćete utvrditi koliko resursa i novca ima smisla investirati u prevenciju ransomware napada.
2. Patchujte SVE mašine
I to odmah! Kada kažemo “sve”, ne mislimo samo na operativne sistem i nove verzije aplikacija na kritičnim softverima, već apdejte na SVIM serverima, desktopovima, radnim stanicama, laptopovima, mobilnim uređejima, mrežnoj i storidž opremi, čak i print serverima.
3. Unapredite polisu lozinki i zaključajte naloge koji nisu u upotrebi
Revidirajte i ojačajte polise loziniki tako što ćete podesiti:
minimalnu dužinu i neophodne karaktere (najmanje 10 karaktere uz obavezno jedno malo i veliko slovo, broj i znak interpunkcije)
period isteka lozinke – kako bi korisnici morali redovno da ih menjaju
prevenciju rotacije malog broja lozinku – ako je moguće, kofigurišite sisteme tako da zapamte tri ili više prethodnih lozinki i onemoguće korisnicima da ih rotiraju uz podešavanje minimalnog međuperioda (između promena lozinki) od sedam dana.
Izvršite zaključavanje (lockout) svih nekorišćenih naloga, bilo da su u pitanju nalozi bivših zaposlenih ili sistemski nalozi.
4. Implementirajte efikasne backup i restore polise
Revidirajte postojeće backup i restore polise i implementirajte:
3-2-1 metod, koji modrazumeva tri odvojena backupa na dva različita sistema i jedan offsite backup
testirajte restore procedure kako biste utvrdili da li postojeći backupi omogućavaju kompletan oporavak
redovno testirajte validnost backupa – jedna od taktika koju napadači koriste je korumpiranje backup kopija
5. Implementirajte princip poslednje privilegije
Revidirajte privilegije dodeljene različitim korisničkim nalozima i ukinite sve koje korisniku nisu neophodne za obavljanje posla (zadataka).
Uklonite sve programe koji nisu neophodni, a koje napadači mogu da iskoriste za sprovođenje napada.
Ograničite pristup deljenim mrežama (shard networks) i fajlovima.
6. Implementirajte multifaktorsku autentifikaciju
Primenite multifaktorsku autentifikaciju (eng. multi-factor authentification) koja je rezistentna na takozvane attrition napade – gde je žrtva prisiljena da kontinuirano koristi multifaktorsku autentikaciju u kratkom vremenskom periodu i time navedena da je isključi. Razmotrite upotrebu hardverskih uređaja, kao što su jednokratni generatori lozinki (one-time password generators) ili sigurnosni ključevi poput YubiKey USB dongle-a.
7. Naučite korisnike kako da prepoznaju fišing i spir fišing napade
Edukacija korisnika učiniće vašu kompaniju rezistentnijom na ove vrste napada. Za korisnike je važno da znaju kako da prepoznaju uljeze, ali i da razumeju obim štete koja može nastati kao posledica ransomware napada.
Dugoročne aktivnosti za prevenciju ransomware napada
1. Redizajnirajte sisteme kako biste implementirali slojevitu odbranu
Ovaj korak je kompleksan i zahteva temeljno planiranje, ali može biti ključan za prevenciju najrazličitijih vrsta hakerskih napada.
2. Integrišite bezbednosne principe u sve procedure i polise unutar organizacije
Poput redizajma sistema, ove aktivnosti mogu biti izazov budući da zahtevaju potencijalne promene procedura i polisa. Njihov najveći značaj je što će učiniti da bezbednost više ne posmatrate kao sporednu stavku. Ako vam se čini da je uvođenje ovih promena preveliki posao, vratite se na nulti korak i razmotrite njihovu validnost.
3. Implementirajte kontinuiranu detekciju i odgovor na pretnje
Na ovaj način bezbednost vaše kompanije dostići će viši novo. Ako nemate internu ekspertizu ili resurse za primenu kontinuirane detekcija i odgovora na pretnje, koja podrazumeva implementaciju različitih softverskih rešenja kao što su Security Information and Event Management (SIEM) platforme, formiranje Security Operations Centra i angažman bezbednosnih stručnjaka, razmotrite Managed Retection and Response (MDR) model za autsoursing ovih aktivnosti.
Došlo je do napada – šta dalje?
Ako nemate valine backupe, situacija je – da se poslužimo eufemizmom – prilično nezgodna. U tom slučaju ne preostaje vam ništa drugo do da platite otkup, što nije garancija da ćete povratiti pristup sistemu ili fajlovima.
Ukoliko validni backupi postoje, izgledi su bolji, ali vas čeka dosta posla:
pre nego što izvršite bilo kakav povraćaj (restor) prikupite forenzičke dokaze samostalno ili uz profesionalno podršku, koji će vam poslužiti da utvrdite kako su napadači uspeli da pristupe vašem sistemu. Dodatno, ovi dokazi biće vam neophodni ukoliko pokrenete legalne procedure ili komunicirate sa osiguravajućim kućama.
Potrebno da je uradite kompletnu reinstalaciju svih mašina, uključujući mašine koje nisu bile obuhvaćene napadom. Ne prepuštajte ništa slučaju – ne možete pogoditi šta su napadači ostavili na vašim sistemima – i uvek instalirajte najnovije patch-eve i ažuriranja.
Primenite što više saveta iz ovog članka.
Manuelno sprovedite povraćaj podataka iz backupa, i proverite da li su napadači uspeli da infiltriraju backupe i zaraze ih dodatnim malverom.
Cloud backup kao zaštita od ransomware-a?
Migracija na pouzdan cloud je jedan od način da smanjite on-premise ranjivost i unapredite bezbednost svog backup okruženja. U zavisnosti od provajdera, cloud backup servisi pružaju različite mehanizme zaštite poput ugrađenog monitoringa, mogućnosti nadgledanja i konfigurisanja aktivnosti nad backup-om, kao i obaveštenja u slučaju neautirozovanih, sumnjivih ili malicioznih aktivnosti.
Ako želite da saznate kako vaša kompanija može da stane na crtu rastućim sajber pretnjama, uključujući ransomware, uz primenu cloud backupa, kontaktirajte naše eksperte.
Izbor pravog cloud provajdera je ključan za efikasan razvoj startapa i dugoročni uspeh. Sve sto startapi moraju razmotriti pri odabiru tehnologija i cloud usluga kako bi optimizovali performanse i smanjili troškove.
Shadow IT predstavlja rizik zbog neovlašćene upotrebe tehnoloških alata, ali takođe može biti prilika za unapređenje produktivnosti i procesa u kompanijama.