Ransomware 2.0 – Οι πρόσφατες νέες εκστρατείες και συμβουλές αντιμετώπισης

 Η ευκολία δημιουργίας του συγκεκριμένου τύπου malware, συνδυαστικά με το οικονομικό όφελος της επίθεσης, καθιστά το Ransomware μία από τις μεγαλύτερες απειλές στον χώρο της Κυβερνοασφάλειας.

Βασίλης Βλάχος
Country Manager, Greece & Cyprus
Kaspersky

Τα τελευταία δύο χρόνια, οι εκτεταμένες επιθέσεις ransomware – όπου οι εγκληματίες χρησιμοποιούν κακόβουλο λογισμικό για να κρυπτογραφήσουν δεδομένα και να τα κρατήσουν για λύτρα – έχουν αντικατασταθεί από πιο στοχευμένες επιθέσεις εναντίον συγκεκριμένων εταιρειών και βιομηχανιών. Σε αυτές τις πιο στοχευμένες εκστρατείες, οι εισβολείς δεν απειλούν μόνο ότι θα κρυπτογραφήσουν δεδομένα, αλλά και ότι θα δημοσιεύσουν εμπιστευτικές πληροφορίες στο διαδίκτυο. Αυτή η τάση παρατηρήθηκε από τους ερευνητές της Kaspersky σε μια πρόσφατη ανάλυση δύο αξιοσημείωτων οικογενειών ransomware, των Ragnar Locker και Egregor.

Οι επιθέσεις με λογισμικό ransomware, γενικά, θεωρούνται ένας από τους πιο σοβαρούς τύπους απειλών που αντιμετωπίζουν οι εταιρείες. Όχι μόνο μπορούν να διαταράξουν κρίσιμες επιχειρηματικές δραστηριότητες, αλλά μπορούν επίσης να οδηγήσουν σε τεράστιες οικονομικές απώλειες και, σε ορισμένες περιπτώσεις, ακόμη και σε πτώχευση λόγω προστίμων και αγωγών που προέκυψαν ως αποτέλεσμα παραβίασης νόμων και κανονισμών. Για παράδειγμα, οι επιθέσεις WannaCry εκτιμάται ότι έχουν προκαλέσει οικονομικές απώλειες άνω των 4 δισεκατομμυρίων δολαρίων. Ωστόσο, οι πιο πρόσφατες εκστρατείες ransomware τροποποιούν τον τρόπο λειτουργίας τους: απειλούν να δημοσιοποιήσουν τις κλεμμένες πληροφορίες της εταιρείας.

Ένας από τους πιο συνηθισμένους τρόπους μετάδοσης ransomware είναι η αποστολή εκτελέσιμων αρχείων μέσω ηλεκτρονικού ταχυδρομείου. Σαν εναλλακτική, πολλές φορές επισυνάπτονται ηλεκτρονικά έγγραφα με ενσωματωμένες κακόβουλες μακροεντολές (macros). Στα προϊόντα της Kaspersky, και πιο συγκεκριμένα η λειτουργία Mail AV αναλύει το συνολικό πλαίσιο του μηνύματος (και τα επισυναπτόμενα αρχεία) και εφαρμόζει δυνατά heuristics στο περιεχόμενο.

Επίσης διαδεδομένος τρόπος διασποράς ransomware είναι η εκμετάλλευση ευπαθειών (Vulnerability Exploitation) που εντοπίζονται στο software μίας τεχνολογικής υποδομής. Το Exploit Prevention (EP) είναι μία ειδική λειτουργία που σταματάει τις επιθέσεις κακόβουλου λογισμικού (και του ransomware) που εκμεταλλεύεται αδυναμίες (τρωτά σημεία) του λογισμικού. Οι πιο σημαντικές εφαρμογές που μπορούν να προστατευτούν από τη δυνατότητα του Exploit Prevention είναι τα προγράμματα περιήγησης, οι εφαρμογές γραφείου, προγράμματα ανάγνωσης pdf, κλπ. Σε κάθε ύποπτη δραστηριότητα ενός κακόβουλου λογισμικού, ενεργοποιούνται διαδικασίες που εφαρμόζουν επιπρόσθετη ανάλυση της συμπεριφοράς του λογισμικού σε σχέση με πιθανά κακόβουλα πρότυπα δραστηριότητας.    

Η επίθεση ransomware στην ουσία έχει 3 φάσεις μετά τη διείσδυση στην υποδομή του επιλεγμένου στόχου. Αρχικά εντοπίζει τα αρχεία, στη συνέχεια τα διερευνά/διαβάζει, και τελικά κρυπτογραφεί εκείνα τα οποία θεωρεί ότι μπορουν να αποτελέσουν μέτρο πίεσης προς το θύμα της επίθεσης. Οι επιτεθέμενοι προσπαθούν να προσπεράσουν τον εντοπισμό βάσει γνωστών αποτυπωμάτων απειλών (signature based) της εγκατεστημένης λύσης ασφάλειας (Endpoint Protection/ Antivirus). Σε αυτές τις περιπτώσεις, ο εντοπισμός βάσει συμπεριφοράς (Behavioral Detection) είναι η τελευταία, αλλά πολύ δυνατή, γραμμή άμυνας. Η ανάλυση της κάθε διαδικασίας του λογισμικού αποκαλύπτει τον κακόβουλο χαρακτήρα του. Όταν συμβεί αυτό, διακόπτεται η συγκεκριμένη διαδικασία και γίνεται επαναφορά/αποκατάσταση σε πρότερη κατάσταση μέσω μηχανισμού Remediation Engine.  Ο εντοπισμός βάσει συμπεριφοράς (behavioral based detection) είναι αποτελεσματικός ακόμα και με τελείως άγνωστες (νέες) απειλές. Ακολουθεί διάγραμμα σχετικό με τη διαδικασία αντιμετώπισης ransomware από τις λύσεις Endpoint της Kaspersky που έχουν ενσωματωμένη την παραπάνω δυνατότητα.

Τέλος, κάποιες απλές συμβουλές για να διατηρηθεί η εταιρεία σας προστατευμένη από αυτούς τους τύπους επιθέσεων ransomware:

1. Αποφύγετε την έκθεση των υπηρεσιών απομακρυσμένης επιφάνειας εργασίας (όπως RDP) απευθείας στο διαδίκτυο, εκτός εάν είναι απολύτως απαραίτητες, οπότε η χρήση ασφαλών συνδέσεων με την εταιρική υποδομή (VPN) καθώς και χρήση πάντα ισχυρών κωδικών πρόσβασης, κρίνεται αναγκαία.
2. Να ενημερώνετε πάντα το λογισμικό σε όλες τις συσκευές που χρησιμοποιείτε. Για να αποτρέψετε το ransomware να εκμεταλλευτεί τρωτά σημεία, χρησιμοποιήστε εργαλεία που μπορούν να εντοπίσουν αυτόματα ευπάθειες και να κατεβάσετε και να εγκαταστήσετε ενημερώσεις κώδικα (vulnerability assessment – patch management).
3. Αντιμετωπίστε με προσοχή τα συνημμένα email ή μηνύματα από άτομα που δεν γνωρίζετε. Σε περίπτωση αμφιβολίας, μην τα ανοίξετε.
4. Επιπλέον της Endpoint προστασίας σας χρησιμοποιήστε λύσεις όπως το Kaspersky Endpoint Detection and Response και το Kaspersky Managed Detection and Response για να εντοπίσετε και να σταματήσετε την επίθεση σε πρώιμο στάδιο, προτού οι επιτιθέμενοι ολοκληρώσουν τον στόχο τους.
5. Για την προστασία του εταιρικού περιβάλλοντος, εκπαιδεύστε τους υπαλλήλους σας. Τα ειδικά εκπαιδευτικά μαθήματα μπορούν να βοηθήσουν, όπως αυτά που παρέχονται στην λύση Kaspersky Automated Security Awareness Platform.
6. Εάν είστε επιχείρηση, βελτιώστε την προστασία σας με το δωρεάν εργαλείο Anti-Ransomware Tool for Business. Η πρόσφατα ενημερωμένη έκδοση περιέχει μια δυνατότητα πρόληψης εκμετάλλευσης για να αποτρέψει το ransomware και άλλες απειλές από την εκμετάλλευση τρωτών σημείων σε λογισμικό και εφαρμογές.