Profesjonalne oprogramowanie ransomware: jak sobie radzić z nowymi korporacyjnymi przestępcami

• Porównanie
• Ćwiczenia
• Profesjonalne oprogramowanie ransomware: jak sobie radzić z nowymi korporacyjnymi przestępcami

Pierwsze kilka linijek brzmi jak typowy komunikat prasowy dotyczący wprowadzenia produktu na rynek: „Stworzyliśmy Darkside, ponieważ nie mogliśmy znaleźć dla nas idealnego produktu. Teraz to mamy. Nie jest to jednak typowy komunikat prasowy dotyczący Twojej firmy: jest to grupa cyberprzestępców, którzy stworzyli najnowszą odmianę oprogramowania ransomware zaprojektowanego w celu ścigania i atakowania dużych organizacji zajmujących się grami na miliony osób. Zamiast jednak zajmować się zaułkami i dźgać przestępców, ci oszuści praktycznie noszą garnitur i ściskają dłoń, przeprowadzając ataki, które są opakowane w zaskakująco profesjonalny sposób. Włamują się do Twoich systemów, kradną i szyfrują Twoje pliki, blokują Cię, a następnie grożą publicznym ujawnieniem Twoich wrażliwych danych, jeśli nie zapłacisz opłaty za oprogramowanie ransomware. Podobnie jak typowy atak ransomware, z tą różnicą, że ci przestępcy będą miło traktowali negocjatora, z uśmiechem na twarzy i pomocną, chętną postawą. Oferują wsparcie na czacie w czasie rzeczywistym, gwarantowane czasy reakcji i rabaty, jeśli płatność zostanie otrzymana w odpowiednim czasie. Darkside przyjęło nawet zobowiązanie dotyczące odpowiedzialności korporacyjnej: obiecuje nie kierować reklam do szkół, organizacji non-profit, rządów ani szpitali, a jedynie do tych, o których wiadomo, że są w stanie zapłacić na podstawie ich wartości netto. Darkside nie jest jedynym oprogramowaniem ransomware, które ostatnio pojawiło się na pierwszych stronach gazet ze względu na swoje przyjazne zachowanie. Hakerzy ransomware Ragnar Locker z powodzeniem zaatakowali firmę turystyczną CWT, a dość miły przedstawiciel kryminalny rozmawiał z zespołem finansowym firmy w oknie czatu pomocy technicznej. Zaoferowali 20% rabatu za szybką płatność, opisali, co będzie oferować zapłata okupu i utrzymali działanie okna pomocy technicznej po przekazaniu kluczy deszyfrujących na wypadek, gdyby firma potrzebowała rozwiązywania problemów. Można niemal uwierzyć, że kupujesz legalne oprogramowanie w Internecie, bez desperackich prób odzyskania wrażliwych danych własnej organizacji przed ich upublicznieniem. Jednak, jak zauważył Ragnar Locker, radzenie sobie z tymi przyjaznymi przestępcami jest „...prawdopodobnie znacznie tańsze niż koszty prawne i utrata reputacji spowodowane wyciekiem. A to problem, który dopiero się zaczyna: firma Ontrack ujawniła teraz, że istnieją w ciągu ostatnich 12 miesięcy doszło do większej liczby ataków oprogramowania ransomware niż kiedykolwiek wcześniej.

Dlaczego ataki ransomware zyskują na popularności?

W świecie cyberprzestępczości oprogramowanie ransomware jest teraz tam, gdzie są pieniądze. Ten rodzaj ataku przynosi natychmiastowe zyski, ponieważ cyberprzestępca nie musi zarabiać na danych poprzez sprzedaż i aukcje w ciemnej sieci, ale może natychmiast zarobić pieniądze dzięki transakcjom Bitcoin. Oprogramowanie ransomware przekształciło się z prostych cyberprzestępców rozprzestrzeniających wiadomości e-mail phishingowe, które obecnie są często wykrywane przez filtry spamu, w gangi cyberprzestępców różnych specjalizacji współpracujących w celu przeprowadzania wyrafinowanych kampanii phishingu typu spear i ataków na cyberprzestępców. infrastruktura. Najnowsze warianty oprogramowania ransomware wykorzystują luki w zabezpieczeniach punktów końcowych VPN, a w niektórych przypadkach cyberprzestępcy oferują potencjalnym klientom ataki ransomware jako usługę. Problem z oprogramowaniem ransomware polega na tym, że organizacje mają bardzo niewiele dostępnych opcji, jeśli krytyczne dane zostały zaszyfrowane i umieszczone poza zasięgiem, dlatego jest to tak skuteczne. Kluczowym elementem ataku jest zrozumienie, jak długo organizacja może przetrwać bez dostępu do swoich danych i ile czasu potrzebuje na przywrócenie danych, aby móc normalnie funkcjonować. W przypadku ukierunkowanego ataku cyberprzestępcy zbadają i odkryją, jakie według nich są słabe punkty organizacji. Daje to organizacjom ograniczone możliwości odbudowy i przywracania danych, prób pracy bez danych (co może być niezwykle trudne) lub zapłacenia okupu. W rzadkich przypadkach możliwe jest odzyskanie danych za pomocą narzędzi takich jak No More Ransom Interpolu. Atakujący chcą, aby płatność została dokonana tak szybko, jak to możliwe, zanim będzie można odbudować systemy. Oznacza to, że wdrażane są nowe taktyki polegające na wywieraniu dodatkowej presji na szereg rosnących zagrożeń; publikowanie nazwisk ofiar, grożenie ujawnieniem danych zarówno prywatnie, jak i publicznie oraz publikowanie wyekstrahowanych danych. Powoduje to jeszcze większy ból głowy dla organizacji, ponieważ jeśli dane zawierają informacje osobiste, wrażliwe lub cenne, groźba ujawnienia danych może prowadzić do problemów z regulatorami, takimi jak ICO, potencjalnymi problemami. z pozwami zbiorowymi lub karami finansowymi nałożonymi przez branżę płatniczą. Jeśli organizacja powołuje się na tajemnicę handlową, może to spowodować duże problemy, jeśli zostanie udostępniona publicznie. Dlatego też potencjalna szkoda dla organizacji lub wysokie kary wynikające z naruszenia mogą spowodować, że organizacja zostanie przekonana do zapłaty za ukrycie incydentu.

Jak wcześnie wykryć atak ransomware?

Tego typu ataki polegają na tym, że osoba atakująca instaluje się w systemie za pomocą socjotechniki lub ataku sieciowego, zwykle poprzez słabości VPN lub RDP. Osoba atakująca przeprowadzi następnie rekonesans, wybierze cele, eksfiltruje dane, aktywuje oprogramowanie ransomware, a następnie monitoruje reakcje. Bardzo często pierwszą oznaką ataku ransomware jest żądanie ransomware pojawiające się w systemach, gdy użytkownicy próbują uzyskać do niego dostęp. Jednak w przypadku ransomware następuje proces, w wyniku którego można dostrzec pierwsze znaki ostrzegawcze świadczące o tajnej podróży atakującego:

• Jeśli cyberprzestępca wykorzystuje luki w zabezpieczeniach VPN i RDP, może sprawdzić oznaki ataku za pomocą dzienników i alertów IDS/IPS.
• Możliwe jest zidentyfikowanie ataku poprzez ruch wychodzący, który jest kierowany do podejrzanego serwera dowodzenia i kontroli; zablokowanie go może być przejściem na złośliwe oprogramowanie, ale nie we wszystkich przypadkach.
• Sprawdź, czy na maszynach w Twojej organizacji są zainstalowane dodatkowe narzędzia.
• Możesz rozpocząć tworzenie nowych kont administratorów.
• Uważaj na nietypowy ruch w swoich sieciach.
• Po rozpoczęciu szyfrowania mogą wystąpić skoki zużycia procesora i dysku.

Jak zareagować na atak ransomware?

Oczywiście najlepszą reakcją jest przede wszystkim zapobieganie atakowi. Można tego dokonać poprzez szkolenie pracowników w zakresie rozpoznawania i zgłaszania zagrożeń, wzmacnianie sieci, infrastruktury zewnętrznej i urządzeń pracowników oraz ciągłe monitorowanie tych luk, którymi należy zająć się natychmiast po wykryciu. Uwierzytelnianie wieloskładnikowe powinno być również stosowane w przypadku zewnętrznego lub zdalnego dostępu do zasobów korporacyjnych i powinno zmierzać do niezaufanego środowiska, w którym sieci wewnętrzne są traktowane jako niepewne. Wstępne kroki powinny także zapewnić bezpieczeństwo danych w przypadku ataku. Chroń kopie zapasowe przed manipulacją i upewnij się, że nie można uzyskać do nich dostępu bezpośrednio z urządzeń użytkowników lub sieci; Chociaż kopie zapasowe są łatwo dostępne, złośliwe oprogramowanie może do nich dotrzeć i uczynić je bezużytecznymi. Musisz także szyfrować dane i wdrożyć ścisłą kontrolę dostępu „trzeba wiedzieć”. Według najnowszego raportu Instytutu Ponemon najlepszą formą wstępnej obrony jest wdrożenie zautomatyzowanych narzędzi, które mogą pomóc w wykryciu naruszeń i podejrzanych zachowań. Organizacje korzystające z analityki i sztucznej inteligencji (sztucznej inteligencji) odnoszą największe sukcesy w ograniczaniu kosztów naruszeń, wydając około 1.84 mln euro na proces odzyskiwania danych. Organizacje, które nie wdrożą tych środków, ponoszą ponad dwukrotnie większe koszty, czyli około 4.5 mln euro. Można śmiało powiedzieć, że wiele organizacji nie wie, od czego zacząć wdrażanie i testowanie swoich zabezpieczeń, lub brakuje im umiejętności i zasobów w zakresie bezpieczeństwa, aby skutecznie zarządzać zagrożeniami dla cyberbezpieczeństwa. Dla firm zmagających się z rosnącą liczbą ransomware i cyberataków rozważenie wdrożenia rozwiązania cyberbezpieczeństwa jako usługi (CSaaS) jest często najłatwiejszym sposobem zarządzania i pokonania. te problemy związane z bezpieczeństwem. CSaaS to outsourcowany model zarządzania ryzykiem cybernetycznym, który odciąża organizację i zapewnia jej ochronę przed powszechnymi cyberzagrożeniami. Oszczędza to zasoby wewnętrzne, zarówno czas, jak i pieniądze, które można wykorzystać do uporania się z dużą liczbą innych pożarów, które do tej pory wybuchły. Jednak ataki oprogramowania ransomware mogą nadal przedostać się przez obronę organizacji, nawet pomimo najlepszych przygotowań. Stale monitorując systemy pod kątem podejrzanej aktywności, możesz wykryć wczesne sygnały ostrzegawcze, które mogą dać Ci przewagę, takie jak nietypowy ruch w sieci, użycie uprzywilejowanych danych uwierzytelniających, tworzenie nowych kont lub instalowanie i używanie nieautoryzowanego oprogramowania. . Jeśli padłeś ofiarą ataku, postępuj zgodnie ze swoim planem reagowania na incydenty i upewnij się, że cała organizacja przećwiczyła go wcześniej, aby nie doświadczyć tego po raz pierwszy w ślepej panice. Będziesz musiał być przygotowany na szybką reakcję i w razie potrzeby wyłączyć całą sieć; Krótka przerwa może być mniej uciążliwa niż dłuższa przerwa w świadczeniu usług. Podczas przywracania systemów i danych upewnij się, że wszystkie wykorzystane luki zostały naprawione, a całe złośliwe oprogramowanie zostało usunięte, aby nie mogło ponownie zainfekować systemów. przywrócone. W obliczu rosnącej liczby ataków oprogramowania ransomware na organizacje koszty braku bezpiecznego systemu wykrywania i tworzenia kopii zapasowych mogą być katastrofalne. Inwestycja w rozwiązanie już dziś może zapewnić, że później nie zostaniesz zaskoczony, a wyciąganie wniosków z błędów z przeszłości i niepowodzeń może pomóc chronić Twoją organizację przed podobnym losem w przyszłości.