Jak walczyć z ransomware’em? Analizując jego zachowanie

 

·         Zaautomatyzowane aktywne ataki to najczęstszy styl działania ransomware. Na inne pytania dotyczące sposobów przeciwdziałania i zapobiegania atakom ransomware odpowiada poradnik dla specjalistów ds. bezpieczeństwa autorstwa Sophos.

·         Poradnik opisuje 11 najpopularniejszych typów ransomware oraz narzędzia ataku i techniki wykorzystywane przez nie, m.in. WannaCry, SamSam, RobbinHood, Ryuk, MegaCortex.

·         Bezpłatny materiał jest uzupełnieniem 2020 Threat Report, w którym poruszono zagadnienia dotyczące zagrożeń w cyberprzestrzeni, z którymi w 2020 roku będą mierzyli się specjaliści IT.

 

W jaki sposób atakuje oprogramowanie ransomware? Na to pytanie odpowiedzieli eksperci Sophos, globalnego lidera w zakresie cyberbezpieczeństwa, którzy podzielili się nowym poradnikiem pt. „How Ransomware Attacks”. Materiał, dostępny bezpłatnie w sieci, jest uzupełnieniem 2020 Threat Report, w którym poruszono zagadnienia dotyczące zagrożeń w cyberprzestrzeni, przed którymi specjaliści IT będą musieli się bronić w 2020 roku.

 

Poradnik SophosLabs jest źródłem szczegółowych informacji na temat najbardziej rozpowszechnionych typów ransomware, takich jak WannaCry, BitPaymer czy MegaCortex. Materiał pokazuje, w jaki sposób złośliwe oprogramowanie próbuje niezauważenie przemknąć przez zabezpieczenia poprzez wykorzystywanie zaufanych procesów, a następnie atakuje wewnętrzne systemy i zmusza je do zaszyfrowania jak największej liczby plików. W międzyczasie wyłączane są również procesy tworzenia kopii zapasowych oraz odzyskiwania danych. Wszystko dzieje się szybko – aby wyrządzić jak największe szkody, zanim zespół ds. bezpieczeństwa IT zorientuje się w sytuacji.

 

Narzędzia i techniki opisane w poradniku to m.in.:

 

·         Główne kanały dystrybucji najpowszechniejszych rodzajów ransomware – złośliwe oprogramowanie tego typu zwykle jest dystrybuowane na trzy sposoby: kryptorobaki (np. WannaCry), Ransomware-as-a-Service (RaaS) (np. Sodinokibi) lub zautomatyzowane aktywne ataki (najpopularniejsza metoda wśród ransomware’ów).

·         Oprogramowanie ransomware specjalizujące się w cyfrowych podpisach, wykorzystujące kupione lub skradzione certyfikaty tożsamości. W ten sposób złośliwe pliki usiłują przekonać zabezpieczenia danego systemu, że można im ufać, a ich kod nie wymaga bardziej szczegółowej analizy.

·         Eskalacja przywilejów z wykorzystaniem exploitów, np. EternalBlue, do poszerzenia przywilejów dostępu. To umożliwia atakującemu instalację oprogramowania takiego jak narzędzia zdalnego dostępu (RATs), dzięki którymi można podglądać, zmieniać lub usuwać dane, tworzyć nowe konta z pełnymi uprawnieniami użytkownika czy też wyłączać oprogramowanie zabezpieczające.

·         Ruchy lateralne i przeczesywanie struktury sieci w poszukiwaniu plików i serwerów backupowych, aby wyrządzić większe szkody późniejszym atakiem ransomware’owym – rzecz jasna, cały czas złośliwe oprogramowanie stara się działać tak, aby uniknąć wykrycia przez zabezpieczenia. W ciągu godziny atakujący mogą napisać skrypt kopiujący i uruchomiający ransomware w punktach końcowych podłączonych do sieci i na serwerach. Aby przyśpieszyć atak, oprogramowanie może priorytetyzować dane na zdalnych lub współdzielonych dyskach, i skupiać się najpierw na dokumentach o mniejszych rozmiarach, a także uruchamiać wiele procesów szyfrujących naraz.

·         Zdalne ataki. Same serwery z plikami często nie są zainfekowane ransomware’em –  złośliwe oprogramowanie zwykle jest uruchomione na przynajmniej jednym punkcie końcowym, wykorzystując uprzywilejowane konto użytkownika do zdalnego atakowania dokumentów – czasami poprzez Remote Desktop Protocol, a czasami biorąc na cel rozwiązania zdalnego monitoringu i zarządzania (RMM), które z reguły są wykorzystywane przez dostawców usług zarządzanych (MSP) do zarządzania infrastrukturą IT klientów oraz systemami użytkowników końcowych.

·         Szyfrowanie i nazywanie plików. Istnieją różnorodne metody szyfrowania plików, łącznie z prostym nadpisaniem dokumentu, ale większość z nich to tylko dodatek – najważniejsze jest usunięcie backupu lub oryginalnej kopii, aby utrudnić proces odzyskiwania.

 

Poradnik wyjaśnia w jaki sposób te oraz inne narzędzia i techniki ataku są wykorzystywane przez 11 rodzin oprogramowania ransomware: WannaCry, GandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix oraz Sodinokibi.

 

Jak chronić się przed ransomware?

 

·         Sprawdź, czy masz spis wszystkich urządzeń podłączonych do Twojej sieci, a wszystkie zabezpieczenia na nich są aktualne. Zawsze instaluj najnowsze aktualizacje tak szybko, jak to możliwe.

·         Zweryfikuj, czy Twoje komputery są chronione przed exploitem EternalBlue, który został wykorzystany do rozprzestrzeniania WannaCry – wystarczy podążać za instrukcjami znajdującymi się tutaj.

·         Przechowuj regularne backupy Twoich najważniejszych i aktualnych danych na urządzeniu niepodłączonym do sieci – to najlepszy sposób na uniknięcie konieczności płacenia okupu w przypadku ataku ransomware’owego.

·         Administratorzy powinni włączyć uwierzytelnienie wieloskładnikowe na wszystkich systemach zarządzania, które je wspierają, aby uniknąć wyłączenia zabezpieczeń przez atakującego.

·         Warto przede wszystkim jednak pamiętać, że w cyberbezpieczeństwie nie ma „stuprocentowych strzałów w dziesiątkę” – wielowarstwowy model bezpieczeństwa to najlepsze rozwiązanie, które powinny wdrożyć wszystkie firmy. Przykładowo, Sophos Intercept X wykorzystuje kompleksowe podejście do ochrony punktów końcowych poprzez łączenie wielu wiodących technik nowej generacji z metodami wykrywania złośliwego oprogramowania, ochrony przed exploitami oraz wbudowanym EDR.

 

Pełna wersja poradnika „How Ransomware Attacks” jest dostępna tutaj.

Artykuł autorstwa SophosLabs Uncut „How the Most Damaging Ransomware Evades IT Security” jest dostępny tutaj.

 

 

 

O Sophos:

Jako światowy lider w rozwiązaniach bezpieczeństwa nowej generacji, Sophos chroni ponad 409 000 organizacji każdego rozmiaru w ponad 150 krajach przed najbardziej zaawansowanymi zagrożeniami współczesności. SophosLabs, globalny zespół wykorzystujący ludzką wiedzę i naukę, jest motorem napędowych rozwiązań Sophos opartych na chmurze oraz sztucznej inteligencji, które chronią punkty końcowe (laptopy, serwery i urządzenia mobilne) oraz sieci przeciwko ewoluującym technikom cyberataków, m.in. ransomware, malware, exploity, eksfiltracja danych, włamy do sieci czy phishing.

Sophos Central, platforma natywna dla chmury, integruje całe portfolio produktów Sophos nowej generacji, m.in. Intercept X dla punktów końcowych czy XG firewall nowej generacji, w jeden system „synchronized security”.

Produkty Sophos są dostępne wyłącznie za pośrednictwem globalnego kanału dystrybucji obejmującego ponad 53 000 partnerów oraz dostawców usług zarządzanych (MSPs). Sophos udostępnia konsumentom swoje innowacyjne technologie komercyjne także poprzez Sophos Home.

Sophos, z siedzibą w Oxford w Wielkiej Brytanii, jest notowany na Londyńskiej Giełdzie Papierów Wartościowych pod symbolem „SOPH”. Więcej informacji na www.sophos.com.