Какво е рансъмуер и как да се предпазим

25.08.2021 135 0

За съжаление рансъмуер (ransomware) атаките се случват все по-често. От началото на годината такива атаки се случват всеки месец. Тази безславна дейност сякаш изобщо не спира. Всеки по света може да стане жертва. Физически лица, компании и всякакви организации са потенциално изложени на риск. Някои държави са били по-атакувани от други. САЩ, Великобритания, Франция, Холандия, Япония, Канада и др., но както казахме, това се случва навсякъде.

Различни институции и индустрии страдат – правителства, образование, услуги, производство, здравеопазване, технологии, търговия на дребно, комунални услуги, финанси и др. При наличието на чувствителна информация е естествено да се страхуваме. Тези атаки многократно са доказали вредите, които могат да нанесат. Рансъмуерът струва годишно милиони на жертвите си.

Поради големите суми, начинът, по който се извършват атаките, тяхната честота и организацията на престъпниците, тази дейност наистина е злонамерена, но и печеливша индустрия. Как точно работи? Можем ли по някакъв начин да сме в безопасност? Как? Нека разгледаме по-задълбочено темата.

Какво е рансъмуер?

Рансъмуерът (ransomware) е злонамерен код, софтуер, специално създаден да навреди на мрежи, сървъри или компютри, като използва криптиране, за да „отвлече“ информацията с цел откуп.

Чрез този злонамерен софтуер извършителите могат да криптират ключови данни на потребители или организации. Жертвите няма да имат достъп до своите приложения, бази данни, файлове или цялостни устройства, докато не платят откупа, поискан от нападателите.

Как работят рансъмуер атаките?

Най-често рансъмуер атаката работи по следния начин:

  1. Заразяване на жертвата. След като целта бъде избрана, зловредният софтуер трябва да я зарази. Може да се разпространява чрез уебсайтове, фишинг, спам, заразени файлове, прикрепени към имейл (връзки, изображения за изтегляне, видеоклипове), заразено приложение и др. Зловредният софтуер се настройва в крайната точка, за да проникне в мрежата и да зарази всички свързани устройства, до които може да достигне.
  2. Сигурна обмяна на ключове. Рансъмуерът комуникира с нападателите за създаване на криптографските ключове, които те ще използват в системата на жертвата.
  3. Криптиране. Вече на място рансъмуерът заключва с криптиране толкова файлове, колкото може да достигне в цялата мрежа. 
  4. Искане на откуп. Зловредният софтуер показва искането на откуп за декриптиране на файлове и възстановяване на работата на системата. Установява се сумата, инструкциите за плащане и разбира се, потвърждава се заплахата,че информацията ще бъде заключена, унищожена, продадена на конкуренти и т.н.
  5. Реакция на жертвата след получаване на тази информация. Жертвата може да реши да плати на престъпниците за отключване на информацията, надявайки се, че те ще уважат преговорите. Потърпевшият може да се опита да възстанови информацията чрез собствени средства. Разбира се, това ще отнеме време, пари и няма гаранция за успех. При тази ситуация наличието на актуално резервно копие (B-a-a-S) наистина помага.

Катализаторите на рансъмуер 

Изнудването е старо колкото човечеството, но неговите методи са се изменили, възползвайки се от развитието на новите технологии. Когато говорим за рансъмуер, има определени фактори, които са стимулирали растежа му.

Нови разплащателни методи

Задържането на важна информация на жертвата и искането на откупа никога не е бил проблем за нападателите. Техният проблем винаги е бил как да получат парите, без да бъдат проследени от властите.

Още в края на 80-те години имаше случаи, в които нападателите искаха откупът да бъде платен в брой и да бъде доставен чрез пощенска услуга. Обикновено желанието е било парите да бъдат изпратени в друга държава от тази на нападателите и техните жертви.

Други алтернативи са били предплатените карти, Western Union и куфари или торби за боклук, пълни с пари, изхвърлени на определено място. Но ограниченията и рисковете за престъпниците са били големи и това е спирало широкото разпространение на дейността. Години по-късно, когато цифровите валути (крипто) станаха популярни, нападателите намериха алтернативата за незабавно получаване на откуп и запазване на анонимност.

Лесно изпълнение

Изпълнението на този вид атака също стана по-лесно с времето. В момента дори не се изискват хакерски или дълбоки технически познания. Атаките могат да се извършват толкова лесно, колкото закупуването на комплект за Ransomware-as-a-Service (RaaS). Има различни цени но в Dark Web може да закупите такъв за по-малко от $100. Доставчиците са силно съмнителни, но всичко е организирано като пирамидален маркетинг за споделяне на парите от откупа.

Освен това рансъмуерът все още може ефективно да се разпространява чрез по-традиционни начини като електронна поща, прикачване към файлове или връзки и заразени плъгини, изображения, видеоклипове и т.н., които хората могат да изтеглят от нета. Нападателите могат да решат дали да прекарат време, опитвайки се да пробият защитните стени на жертвите или просто да изчакат потребителите да попаднат в техните онлайн капани.

Липса на превенция

Все още много компании и физически лица не дават приоритет на мерките за защита срещу това престъпление. Дори основни действия като редовно актуализиране и качване (закърпване) понякога се пренебрегват. Точно това отваря шанса на нападателите да се възползват. Така рансъмуерът става лесен и евтин за изпълнение, скалируем и постоянна заплаха по целия свят.

Рансъмуер защита

Да, все още е възможно да бъдем защитени, но трябва да се вземат мерки. Трябва да се изгради защитна стратегия, в зависимост от бизнеса ви и неговите нужди.

Ограничете привилегиите за достъп

Можете също така да сегментирате мрежата си, за да намалите риска и обхвата на инфекцията. Зловредният софтуер попада във вашата мрежа поради сътрудник (служител), който го е изтеглил. Рансъмуерът ще криптира само файловете, до които може да достигне. Обхватът на достигане се определя от привилегиите на потребителя. Ето защо всеки да има достъп до всичко (системи и файлове) във вашата компания е опасно решение. Администраторските права трябва да са за много малко хора. Останалите могат да работят чрез локални привилегии, по-специално за сегмента и информацията (файловете), от които наистина имат нужда.

Не всички ИТ служители трябва да имат достъп до всичко (мрежови устройства, услуги за електронна поща и т.н.), използвайки своите администраторски идентификационни данни. Те биха могли да отворят достъп на рансъмуер до всяка област на компанията и така той да може да заразява свободно.

Използвайте уеб филтри

Настоящите решения за уеб филтриране предлагат солидна функционалност за предпазване от опасен код като рансъмуер. Те могат да откриват и блокират злонамерени уебсайтове или такива, които постоянно променят IP адресите. Те потенциално могат да бъдат продавачи на зловреден софтуер и комплекти за лесни атаки при изпълнение.

Добавете уеб филтрър с антивирус. Входящите пакети данни трябва да бъдат филтрирани, защото нормалните сайтове също могат да бъдат компрометирани със злонамерен код за заразяване на нищо неподозиращите потребители.

Подобрете имейл сигурността

Потърсете решения с инструменти като SPAM филтри, антивирусен софтуер, ефикасен имейл клиент с внедрен анализатор на връзки, за да предотвратите и откриете заплахи като рансъмуер.

Както обяснихме, фишинг атаката е все още много успешен метод за инсталиране на рансъмуер. Рискът, някой от вашите служители и сътрудници да кликне лоша връзка или да изтегли заразен файл, е голям. А това е всичко, от което се нуждае рансъмуерът, за да получи достъп до вашата система.

Инсталирайте пачове често

Тази практика е задължителна за бизнеса, за да бъде в безопасност и да предотвратява всички видове атаки, включително тези от zero-day вид. Фърмуерът, софтуерът, операционните системи трябва да бъдат пачнати (закърпени) навреме. Тази практика е полезна за предотвратяване, но също така в случай, че злонамерен софтуер попадне в мрежата ви, вредата може да бъде намалена.

Последните случаи показват, че много атаки биха могли да бъдат предотвратени чрез закърпване. Проблемът е, че компаниите изобщо не го правят или не веднага щом се появят кръпки. Когато излезе нова кръпка, това означава, че са открити и отстранени специфични уязвимости. Забавянето на инсталацията е риск, който не бива да поемате.

Използване на черен списък (blacklist) или бял списък (whitelist)

И двете са стратегии за кибер сигурност за бизнес компютрите. Черният списък позволява на вашия администратор да включи в списък всички приложения, уеб сайтове, код, идентифицирани като опасни, да бъдат блокирани от компютрите на вашия бизнес. Някои антизловредни и антивирусни решения работят по този начин. Блокиране на достъпа до опасни източници, включени в техния списък. Трябва да актуализирате списъка със заплахи, за да бъдете ефективно защитени.

Белият списък означава да блокирате всички функции, считани за рискови. Списъкът ще установи единствените приложения и уеб сайтове, които хората могат да използват. Тези, които се считат за необходими за тяхната работа и без риск.

Използвайте добри практики за сигурност

Ако фишингът все още е ефективен за заразяване на мрежи, това означава, че има човек, който е замесен в изтеглянето или щракването на злонамерения източник на инфекция. Сътрудниците трябва да приемат това престъпление сериозно. Разходите за собствениците на фирми могат да бъдат наистина сериозни. Това не включва само плащането на откуп, но и всички разходи за възстановяване на работата и сигурността на системи отново.

Активирайте технологията за сигурност, но също така обучете хората да я използват правилно. Обяснете как да разпознават фалшиви имейли, опасни връзки и др. Навигацията в интернет може да бъде част от работата, но им помогнете да намалят риска. „Не кликай върху всичко“ трябва да е правило! Дори официалните уеб сайтове могат да бъдат заразени. Да изтегляте файлове или да споделяте връзки, без да ги проверявате, да отговаряте на имейли и съобщения в социалните мрежи от непознати – всичко това може да доведе до съответните рискове.

Винаги правете резервни копия

Задължително е да правите резервни копия на вашите бази данни. Особено в случай на атака с рансъмуер, това може да бъде единственият начин да възстановите информацията си и да заработи отново компанията ви.

Резервните копия трябва да са част от стратегията. Препоръката е да се създадат минимум три копия. Две резервни копия се запазват в два различни носителя (облак, отдалечен сървър, SSD устройства и т.н). Третото копие на друго място, като се има предвид, че в днешно време заплахите са не само кибер престъпници, но и промени в климата. Последното копие трябва да е на различно място от от основния ви сървър. Целта е да се гарантира целостта на поне едно копие.

Създаването на резервни копия не предотвратява рансъмуер атака. Това е начин вашият бизнес да не плаща откупа и да се възстанови по-бързо. Може да видите нашата Backup-as-a-Service услуга и да защитите данните си. 

Не плащайте откупа

Ако това се случи с вас, ще смятате, че тази препоръка е безсмислена, но не е така. Колкото повече жертви плащат, толкова по-печеливш е този бизнес за престъпниците. Ако проверите статистиката, ще се уплашите от честотата на това престъпление, с която вече се извършва и от размера на парите, които престъпниците изискват.

Най-добрият вариант е да се предотврати. Наличието на подходящо решения за резервни копия означава, че в най-лошия сценарий можете да започнете от нулата. Ще отнеме време и пари, но не толкова, колкото може да ви струва, ако платите откупа. Освен това много случаи са доказали, че престъпниците не винаги се съобразяват. След като получат откупа, те изчезват без да отключат информацията.

Да се обезкуражат престъпниците е важно за всички, защото всеки е потенциална цел. Вече има организирани усилия за насърчаване на превенцията и за споделяне на опит, методи и инструменти за декриптиране за жертвите, за да се опитат да възстановят информацията си. Целта е да се избегне плащането на откуп на всяка цена.

Може ли рансъмуер да нападне смартфоните?

За съжаление, да. Рансъмуерът може да атакува и мобилни телефони. Помислете колко смартфона се продават годишно. Това е наистина голям пазар и престъпниците го знаят. Вече има документирани атаки, при които извършителите са използвали специфичен рансъмуер за заключване на този тип устройства. Смартфоните могат да бъдат атакувани за кражба на чувствителни данни от потребителите и/или за изискване на откуп в замяна на отключване на устройството.

Хитрите онлайн стратегии подтикват потребителите да кликват върху злонамерени връзки и да изтеглят заразени файлове, особено чрез социалните мрежи. Това обаче може да се случи и при изтегляне на актуализации на фалшиви приложения, софтуер или файлове, прикрепени към съобщения. Устройството се заключва и се показва искането за откуп, заедно с начина на плащане и времето за обработката му. Когато потребителят плаща, рансъмуерът предоставя код на потребителя за декриптиране на данните или отключване на устройството.

Заключение

Рансъмуер атаките са голям риск за всеки потребител и всички видове организации по целия свят. Той бързо се превърна от малко в милионерско и вредно престъпление. Този свръх растеж трябва да бъде спрян. Нека бъдем загрижени и нека приложим сериозна стратегия за справянето с това престъпление.

Статистиката ясно показва как самите жертви биха могли да предотвратят атаките. Не бъдете част от тъмната статистика, която рансъмуер атаките оставят след себе си. Защитете бизнеса си и мобилния си телефон сега! Не забравяйте, че един грам превенция струва килограм лек!

Ако искате да разберете как да подобрите сигурността на сървъра си, следващата статия е за вас:

Ако темата за хакерството още ви вълнува, тогава прочетете следващия текст:

Вашият коментар

Вашият имейл адрес няма да бъде публикуван.