Πρόσφατα είχαμε την… επέτειο ενός έτους του NotPetya – ενός από τα καταστροφικότερα κρούσματα ransomware. Εκμεταλλευόμενο την ευπάθεια EternalBlue, την οποία εξέθεσε πρώτα το WannaCry, το NotPetya κατέστρεψε συστήματα επιχειρήσεων και προκάλεσε ζημιές δισεκατομμυρίων σε παγκόσμια κλίμακα.
Πρόσφατα, κυβερνητικοί αξιωματούχοι από την Ουκρανία προειδοποίησαν ότι οι επιχειρήσεις βρίσκουν ολοένα και περισσότερο κακόβουλο λογισμικό εμφυτευμένο σε συστήματα υπολογιστών και ανέφεραν ότι ενδέχεται να υπάρξει και άλλη μαζική, συντονισμένη επίθεση που να είναι επικεντρωμένη στην περιοχή.

Αν και οι επιθέσεις του NotPetya ξεκίνησαν την περασμένη χρονιά από την Ουκρανία, το malware εξαπλώθηκε γρήγορα και εξελίχθηκε σε πανδημία, επηρεάζοντας επιχειρήσεις από όλο τον κόσμο. Οι «μετασεισμοί» μάλιστα εξακολουθούν να γίνονται αντιληπτοί – τα στελέχη ransomware θα συνεχίσουν να μολύνουν οργανισμούς για πολύ καιρό ακόμα μετά το αρχικό ξέσπασμα (δείτε για παράδειγμα πως οργανισμοί στην πόλη της Ατλάντα έκλεισαν πρόσφατα για αρκετές ημέρες αφότου διαπιστώθηκε ότι τα συστήματα υπολογιστών είχαν μολυνθεί με το ransomware «SamSam»).

Αν οι αξιωματούχοι της Ουκρανίας αποδειχτεί ότι είναι σωστοί και μια νέα παραλλαγή του καταστροφικού ransomware εξαπολυθεί, τότε θα μπορούσε να έχει παρόμοιες καταστροφικές επιθέσεις σε επιχειρήσεις σε όλο τον κόσμο. Αυτός είναι ο λόγος που τέτοιες προειδοποιήσεις θα πρέπει να συνοδεύονται και από προληπτικές ενέργειες για την αποτροπή τόσο του ransomware όσο και άλλων τύπων επιθέσεων που θα μπορούσαν να θέσουν εκτός λειτουργίας επιχειρήσεις και οργανισμούς.

Θέλετε να βρεθείτε ένα βήμα μπροστά από το επόμενο WannaCry;

Ανεξάρτητα από το πώς θα καλείται το επόμενο ransomware, παρακάτω μπορείτε να δείτε τα τέσσερα βήματα που μπορεί να κάνει ο οργανισμός σας άμεσα, για να μειώσει δραματικά την πιθανότητα μόλυνσης των συστημάτων κατά μήκος του οργανισμού σας και επομένως τις πιθανότητες τερματισμού της λειτουργίας της επιχείρησής σας.

Patch Now. Patch Forever: Πολλές από τις πρόσφατες επιθέσεις – συμπεριλαμβανομένων των WannaCry και NotPetya – εξαπλώνονται χρησιμοποιώντας γνωστές ευπάθειες (όπως το EternalBlue). Μια γνωστή ευπάθεια σημαίνει ότι μπορεί να διορθωθεί. Η εγκατάσταση ενημερώσεων, patches και αναβαθμίσεων του λογισμικού τόσο στους διακομιστές όσο και στις τερματικές συσκευές μειώνουν δραματικά την επιφάνεια επίθεσης, καθιστώντας την μόλυνση πολύ λιγότερη πιθανή.
Κατάργηση των τοπικών δικαιωμάτων διαχειριστή για να διακοπεί η εξέλιξη: Τα περισσότερα ransomware που αναφέρθηκαν παραπάνω χρησιμοποιούσαν διαπιστευτήρια για να εξαπλωθούν σε όλο το δίκτυο. Η κατάργηση των τοπικών διαχειριστών από ευπαθή τερματικές συσκευές μειώνει την πιθανότητα να κινδυνεύσουν να χρησιμοποιηθούν πρόσθετα διαπιστευτήρια από το κακόβουλο λογισμικό για να εξαπλωθεί σε όλο το δίκτυο. Η κατάργηση των τοπικών δικαιωμάτων διαχειριστή αυξάνει σημαντικά την πιθανότητα να περιέχονται κακόβουλα προγράμματα και ransomware στο αρχικό σημείο της μόλυνσης.
Προστατέψτε τα σημεία φύλαξης διαπιστευτηρίων: To NotPetya αποτέλεσε «wake up call» για τους κινδύνους της αλυσίδας εφοδιασμού. Η αρχική εξάπλωση του ransomware πραγματοποιήθηκε μέσω της MEDocs, μιας δημοφιλούς εφαρμογής που χρησιμοποιούσαν πολλοί οργανισμοί στην Ουκρανία. Οι επιθέσεις παραβίασαν και μόλυναν τις ενημερώσεις λογισμικού της εφαρμογής με στόχο να διευκολυνθεί η διάδοση του κακόβουλου λογισμικού. Επειδή αυτές οι ενημερώσεις απαιτούσαν τοπικά δικαιώματα διαχειριστή, τα διαπιστευτήρια αποθηκεύονταν σε τερματικά και διακομιστές, που θα έπρεπε να είναι καλά προστατευμένα για να αποτραπεί οποιαδήποτε μη εξουσιοδοτημένη πρόσβαση.
Ελεγχόμενες ενημερώσεις λογισμικού: Όπως προαναφέρθηκε, η επίθεση NotPetya πραγματοποιήθηκε χρησιμοποιώντας τις ενημερώσεις λογισμικού μέσω ενός συνεργάτη στην αλυσίδα εφοδιασμού. Απομονώνοντας την ανάπτυξη και εγκατάσταση των νέων ενημερώσεων προτού βγουν προς τα έξω σε ολόκληρο το δίκτυο, οι οργανισμοί ενδέχεται να βρεθούν σε θέση να εκθέσουν κακόβουλη δραστηριότητα που εγχύθηκε στις ίδιες τις ενημερώσεις.

Ποτέ δεν είσαι σίγουρος ότι καταπολεμήθηκε το ransomware στο 100%.. Ωστόσο, μέσω ενός συνδυασμού πολιτικών ελάχιστων προνομίων και ελέγχου εφαρμογών σε τερματικά και διακομιστές, καθώς και μέσω κάποιων ακόμα έξυπνων τεχνικών βέλτιστων πρακτικών είναι δυνατός ο μετριασμός του κινδύνου εξάπλωσης του κακόβουλου λογισμικού, όπως του NotPetya, από το αρχικό σημείο μόλυνσης.

Όταν δοκιμάστηκε στο εργαστήριο της CyberArk, ο συνδυασμός της πολιτικής των ελάχιστων προνομίων και τα “application greylisting controls» αποδείχθηκε 100% αποτελεσματικός για την αποτροπή της εκτέλεσης του NotPetya.

Αποφύγετε το επόμενο ξέσπασμα – Μην αναγκαστείτε να αντιδράσετε σε αυτό.

Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.

Πηγή: NSS.gr