Hogyan képes megvédeni a ransomware-től

Mindannyian tudjuk, hogy a ransomware az egyik legpusztítóbb malware változat. Arról beszél, hogy rossz linkre kattint, és hogy a szervezet adatai eltűnnek egy titkosított gibberish mocsárba, vagy akár a szerver operációs rendszerei (OS) és más kritikus fájlok egyszerűen egy nap alatt eltűnnek. Fizethet a váltságdíjat, de ez nem csak drága lehet, de nem garantálja sem, hogy a rossz fiúk visszaadják az adatait.

Amikor eltalálják, választásaik elsötétülnek: reméljük, hogy felhőalapú biztonsági mentések segítségével helyreállíthatják a rendszereidet működésükre, vagy megfizethetik a váltságdíjat, és remélik, hogy a visszafejtési kulcs működik. De csak akkor, ha megüt. A jobb választás az, ha a fájlokat nem titkosítják, vagy ha egyes fájlokat eltalálnak, akkor a támadást nem terjesztik. A legfontosabb az, hogy felépítse a vállalati biztonsági játékot, hogy ne támadjon meg.

Hogyan kerüljük el a Ransomware támadást

Az első lépés az, amit Israel Barak, a végpont-felderítő és -reagáló szoftverfejlesztő, a Cybereason információbiztonsági vezetője (CISO) "informatikai és biztonsági higiéniának" nevez. Ez azt jelenti, hogy elkerüljük a sebezhetőségeket, és kiszűrjük az e-maileket és a webes forgalmat. Ez azt is jelenti, hogy biztosítja a felhasználói képzést, és ügyeljen arra, hogy az operációs rendszer, az alkalmazások és a biztonsági termékek javításai teljes mértékben naprakészek legyenek.

A második lépés az üzleti folytonosság és a helyreállítási stratégia kialakítása. Ez azt jelenti, hogy ténylegesen elkészítjük azt a tervet, amikor a dolgok rosszul mennek, ahelyett, hogy csak abban reménykednének, hogy nem fognak. Barak szerint ez magában foglalja a biztonsági másolatok készítését és tesztelését, annak ismeretét, hogy hogyan fogja helyreállítani az érintett szolgáltatásokat, tudhatja, hol kap számítási erőforrásokat a helyreállításhoz, és tudta, hogy a teljes helyreállítási terv működni fog, mert valóban tesztelte.

A harmadik lépés a rosszindulatú programok elleni védelem bevezetése. Barak elmondta, hogy ez magában foglalja a hálózatra belépő rosszindulatú programok elleni védelmet és a rendszereken futó rosszindulatú programok elleni védelmet. Szerencsére a legtöbb rosszindulatú szoftvert meglehetősen könnyű észrevenni, mivel a rosszindulatú programok szerzői gyakran osztják meg a sikeres rutinokat.

Miért más a Ransomware?

Sajnos a ransomware nem olyan, mint más rosszindulatú programok. Barak elmondta, hogy mivel a ransomware csak egy számítógépen található, csak a titkosítás befejezése és a ransomware üzenet elküldése előtt nem nehéz elkerülni az észlelést. Ezenkívül, más típusú rosszindulatú programoktól eltérően, a fájl titkosítást ténylegesen végrehajtó rosszindulatú programok csak a pillanatban a titkosítás megkezdése előtt érkezhetnek az áldozat számítógépére.

Két viszonylag új típusú malware - a Ryuk és a SamSam - egy operátor irányítása alatt lép a rendszerébe. A Ryuk esetében ez az üzemeltető valószínűleg Észak-Koreában, a SamSammal pedig Iránban található. A támadás mindegyik esetben hitelesítő adatok megtalálásával kezdődik, amelyek lehetővé teszik a belépést a rendszerbe. Miután ott lépett, az operátor megvizsgálja a rendszer tartalmát, elhatározza a titkosítandó fájlokat, kiemeli a jogosultságokat, keresi és deaktiválja a rosszindulatú szoftverek elleni szoftvereket, valamint a titkosítandó biztonsági másolatokra mutató linkeket, vagy bizonyos esetekben deaktiválja a biztonsági másolatokat. Ezután, talán néhány hónapos előkészítés után, a titkosítási malware betöltődik és elindul; percek alatt befejezheti munkáját - túl gyorsan ahhoz, hogy egy emberi szereplő beavatkozzon.

"A SamSamban nem használták a hagyományos adathalászatot" - magyarázta Carlos Solari, a Comodo Cybersecurity kiberbiztonsági megoldások fejlesztőjének és a Fehér Ház korábbi vezetőjének alelnöke. "Weboldalakat és ellopott emberek hitelesítő adatait használták fel, és brutális erőt alkalmaztak a jelszavak megszerzéséhez."

Szolár azt mondta, hogy ezeket a behatolásokat gyakran nem észlelik, mert a végéig nincs rosszindulatú program. De azt mondta, hogy helyesen végrehajtva vannak a támadás ezen a ponton történő megállításának lehetőségei. Általában, mondta, a bűnözők a hálózat címtárszolgáltatásait követik, és megtámadják azokat, hogy megszerezzék a támadás megrendezéséhez szükséges adminisztratív szintű kiváltságokat. Ezen a ponton egy behatolás-érzékelő rendszer (IDS) észlelheti a változásokat, és ha a hálózati szolgáltatók tudják, mit kell keresni, akkor bezárhatják a rendszert, és kiszabadíthatják a betolakodókat.

"Ha figyelnek, akkor rájönnek, hogy valaki belül van" - mondta Solari. "Fontos a belső és külső fenyegetések megismerése. Anomáliákat keres a rendszerben."

Hogyan lehet megvédeni magad

A kisebb vállalatok számára a Solari azt javasolja, hogy a vállalatok szolgáltatásként keressenek egy felügyelt észlelési és reagálási (MDR) biztonsági műveleti központot (SOC). Hozzátette, hogy a nagyobb cégek esetleg érdekelnek egy felügyelt biztonsági szolgáltatót (MSSP) keresni. Mindkét megoldás lehetővé teszi a biztonsági események figyelemmel kísérését, ideértve a nagyobb ransomware támadás előtti lépéseket is.

A hálózat megfigyelése mellett az is fontos, hogy a hálózatot úgy alakítsa ki, hogy az a lehető leginkább szellemetlen legyen a bűnözők számára. Adam Kujawa, a Malwarebyte Labs igazgatója szerint az egyik kritikus lépés a hálózat szegmentálása, hogy a behatolók ne csak áthaladjanak a hálózatán, és mindent elérhessenek. "Nem szabad, hogy az összes adatot ugyanabban a helyen tárolja" - mondta Kujawa. "Szüksége van egy mélyebb biztonsági szintre."

De ha kiderül, hogy nem észlelte az invazív szakaszokat a ransomware támadás előtt, akkor van egy másik réteg vagy válasz, amely a rosszindulatú programok viselkedésének észlelése a fájlok titkosításakor.

"Amit hozzáadtunk, egy olyan viselkedési mechanizmus, amely a viselkedésre támaszkodik, ami jellemző a ransomware-re" - magyarázza Barak. Azt mondta, hogy az ilyen szoftverek megfigyelik, hogy a ransomware mit csinál, például fájlok titkosítását vagy biztonsági másolatok törlését, majd megteszi a folyamatot, hogy megsemmisítse. "Hatékonyabb a soha nem látott ransomware törzsek ellen."

Korai figyelmeztetések és védelmek

A korai figyelmeztetés egy formájának biztosítása érdekében Barak szerint a Cybereason újabb lépést tesz. "Amit elvégeztünk, egy kivételes mechanizmus használata" - mondta. "Amikor a Cybereason szoftver végpontra kerül, létrehoz egy olyan alapfájl sorozatot, amelyet a merevlemez mappáiban helyeznek el, és amely arra készteti a ransomware-t, hogy először megkísérelje titkosítani." Azt mondta, hogy ezekben a fájlokban a változásokat azonnal észlelik, Ezután a Cybereason szoftvere vagy a Malwarebytes hasonló szoftvere leállítja a folyamatot, és sok esetben a kártékony szoftvert tárolja, hogy az ne tudjon további károkat okozni.

Tehát számos védelmi réteg megakadályozza a ransomware támadást, és ha mindegyikük működőképes és helyben van, akkor a sikeres támadásnak számos hibát kell követnie, hogy megtörténjen. És megállíthatja ezeket a támadásokat a lánc bármely pontján.

Fizetnie kellene a Ransom-t?

De tegyük fel, hogy úgy dönt, hogy azonnal meg akarja fizetni a váltságdíjat és helyreállítani a műveleteket? "Egyes szervezetek számára ez megvalósítható lehetőség" - mondta Barak.

A vállalkozás megszakításának költségeit ki kell értékelnie annak meghatározása érdekében, hogy a működésbe helyezés újbóli költsége meghaladja-e a helyreállítás költségeit. Barak elmondta, hogy az üzleti ransomware támadások esetén "a legtöbb esetben megkapod a fájlokat."

De Barak azt mondta: ha lehetséges a váltságdíj kifizetése, akkor más megfontolások is vannak. "Hogyan készítjük elő előre azt a mechanizmust, amely tárgyalja a szolgáltatások visszatérítésének költségeit? Hogyan fizetjük ki őket? Hogyan alakíthatjuk ki az ilyen típusú fizetés közvetítésének mechanizmusát?"

Barak szerint szinte minden ransomware támadás magában foglalja a kommunikációt a támadóval, és a legtöbb vállalkozás igyekszik tárgyalni olyan ügyről, amelyre a ransomware támadók általában nyitottak. Például eldöntheti, hogy a titkosított gépeknek csak egy részére van szüksége, és csak tárgyalásokat folytathat ezeknek a gépeknek a visszaadására.

• A legjobb Ransomware védelem 2019-re A legjobb Ransomware védelem 2019-re
• A SamSam Ransomware hackerek rake 5, 9 millió dollárral
• 2 iráni a SamSam Ransomware támadások mögött, amerikai követelések 2 iráni a SamSam Ransomware támadások mögött, amerikai követelések

"A tervet idő előtt el kell készíteni. Hogyan válaszolsz, ki fog kommunikálni, hogyan fizeti meg a váltságdíjat?" - mondta Barak.

Bár a fizetés életképes lehetőség, a legtöbb szervezet számára ez az utolsó árok lehetősége, nem pedig a válaszadás. Sok olyan változó létezik, amelyet nem lehet ellenőrizni ebben a forgatókönyvben, továbbá ha egyszer fizetett, soha nem garantálhatja, hogy a jövőben nem támadnak meg több készpénzt. Egy jobb terv egy olyan szilárd védelem használata, amely elég nehéz ahhoz, hogy elkerülje a legtöbb malware támadást, és legyőzze azokat a kevés sikeres programot. De bármit is dönt, ne felejtse el, hogy gyakorlatilag minden megoldás megköveteli, hogy vallásosan támogassa az ön számára. Csináld most, tedd gyakran, és tesztelj is gyakran, hogy megbizonyosodd arról, hogy a dolgok simán működnek-e.