Co dzieje się podczas ataku z wykorzystaniem ransomware?
Atak typu ransomware uszkadza dane krytyczne
Ransomware ma dla firmy bardzo poważne skutki, ponieważ niszczy dane krytyczne. Oprogramowanie ransomware szuka ważnych plików i szyfruje je w taki sposób, że nie można tego cofnąć, paraliżując działanie organizacji szybciej niż inne złośliwe aplikacje.
Początki zagrożeń ze strony ransomware
Większość ataków typu ransomware zaczyna się od złośliwej wiadomości e-mail. Często taka wiadomość zawiera link do strony WWW kontrolowanej przez atakującego, z której użytkownik pobiera malware. Może też zawierać złośliwy załącznik z kodem. Otwarcie go przez użytkownika spowoduje pobranie ransomware.
Zwykle jako załączników atakujący używają dokumentów pakietu Microsoft Office. Office ma interfejs Visual Basic for Applications (VBA), którego atakujący używają do tworzenia skryptów. Nowsze wersje pakietu Office wyłączają funkcję, która automatycznie uruchamia skrypty makr po otwarciu pliku. Malware wyświetla monit o pozwolenie na wykonanie skryptu na co wielu użytkowników wyraża zgodę. Właśnie dlatego złośliwe makra nadal są niebezpieczne.
Makro pakietu Office pobiera ransomware z serwera atakującego, dzięki czemu malware zaczyna działać na lokalnym urządzeniu. Ransomware skanuje sieć i lokalny magazyn w poszukiwaniu plików o znaczeniu krytycznym, a jeśli je znajdzie – szyfruje je. Zwykle używa do tego standardu szyfrowania Advanced Encryption Standard (AES) ze 128- lub 256-bitowym kluczem. Dzięki temu proces jest odporny na ataki siłowe. Czasem ransomware używa również szyfrowania z kluczem publicznym / prywatnym, np. algorytmu Rivesta-Shamira-Adlemana (RSA).
Odzyskiwanie danych i usuwanie ransomware
Deweloperzy ransomware tworzą funkcję, która uniemożliwia użytkownikom usunięcie aplikacji bez wcześniejszego opłacenia okupu. Niektórzy hakerzy używają blokad ekranu, aby użytkownicy nie mogli uzyskać dostępu do pulpitu systemu Windows. W związku z tym, że biblioteki kryptograficzne użyte do zaszyfrowania plików są zabezpieczone, po usunięciu malware dane nadal są zaszyfrowane i niedostępne.
FBI radzi firmom, aby nie płaciły okupu. Inni eksperci twierdzą, że po zapłaceniu okupu pliki zostały odszyfrowane. Czasem atakujący nie dostarczają klucza do odszyfrowania, nawet jeśli okup zapłacono. W takim przypadku firma, która stała się celem ataku, zostaje bez plików i bez pieniędzy. Ransomware można usunąć, ale odzyskanie plików bez zapłacenia okupu jest mało prawdopodobne, chyba że wcześniej wykonano kopię zapasową.
Większość dostawców oprogramowania antywirusowego udostępnia do pobrania poprawki lub rozwiązania, które usuwają ransomware. Po pozbyciu się malware można przywrócić pliki z kopii zapasowej. Oprócz tego można przywrócić ustawienia fabryczne komputera. To ostatnie działanie przywraca komputer do stanu z momentu zakupu. Wszelkie oprogramowanie innych firm należy ponownie zainstalować.
Brytyjska firma z branży zabezpieczeń Sophos Group zbadała ścieżkę ataku Ryuka, która bywa też nazywana „attack kill chain”. Zobacz poniższy schemat.
Ochrona przed programami ransomware
Urządzenia i dane można chronić przed ransomware na kilka sposobów. Infekcja zwykle zaczyna się od złośliwej wiadomości e-mail, więc warto zacząć od zabezpieczeń cybernetycznych skierowanych przeciwko malware, które skanują wiadomości przychodzące pod kątem podejrzanych linków lub załączników. Jeśli zagrożenie zostanie znalezione, poddają wiadomości kwarantannie, dzięki czemu nie trafiają one do skrzynek odbiorczych użytkowników.
Skuteczne jest również filtrowanie zawartości w sieci. Dzięki niemu użytkownicy nie mogą uzyskać dostępu do stron WWW kontrolowanych przez atakujących. W połączeniu z filtrami poczty e-mail filtrowanie zawartości jest efektywnym sposobem na powstrzymanie ransomware i większości malware przed wniknięciem do sieci wewnętrznej.
Oprogramowanie antywirusowe powinno działać na wszystkich urządzeniach sieciowych, w tym na smartfonach. Oprogramowanie antywirusowe zapobiega zaszyfrowaniu plików przez ransomware i usuwa je z systemu, zanim prześle ono swoje zasoby. Jeśli w organizacji ustanowiono zasady przynoszenia własnych urządzeń (BYOD), ważne jest, aby uruchamiać na urządzeniach użytkowników program antywirusowy.
W zapobieganiu atakom ransomware pomagają również szkolenia użytkowników. Ransomware często zaczyna się od phishingu i inżynierii społecznej, więc przeszkolenie użytkowników w zakresie identyfikowania ataków to jeden ze sposobów walki z malware. Połączenie szkoleń i systemów antywirusowych znacznie zmniejsza zagrożenie ze strony cyberbezpieczeństwa. Jeśli systemy antywirusowe zawiodą, użytkownicy przeszkoleni pod kątem identyfikowania ataków nie dadzą się oszukać i nie uruchomią złośliwych plików wykonywalnych.
Przykłady ransomware
Kilka typów ransomware nadal wpływa na działanie firm, mimo że globalne zagrożenie malware zasadniczo zostało wyeliminowane. Ich celem jest wymuszanie pieniędzy od osób i firm, które nie wdrożyły skutecznych zabezpieczeń.
Jednym z pierwszych znanych programów ransomware o globalnym wpływie był CryptoLocker. Celem jego ataków były komputery z systemem Windows i były one powszechne w 2014 r. Zarażenie zwykle zaczynało się od wiadomości e-mail i złośliwego załącznika. Następnie oprogramowanie szyfrowało ważne pliki przy użyciu szyfrowania asymetrycznego z kluczem publicznym / prywatnym (RSA).
Locky to przykład ransomware opartego na inżynierii społecznej. Pojawiło się w 2016 r. w złośliwym dokumencie Word załączonym do wiadomości e-mail. Po otwarciu pliku użytkownicy widzieli niewyraźną treść z wyjątkiem komunikatu o konieczności włączenia makr. Po włączeniu makr i ponownym otwarciu pliku następowało wgranie kodu Locky.
Bad Rabbit to przykład malware dobrowolnie pobieranego przez użytkowników. To zagrożenie rozprzestrzeniało się, udając aktualizację programu Adobe Flash. Po uruchomieniu malware następowało szyfrowanie plików i ponowne uruchomienie systemu. Bad Rabbit zapobiegał rozruchowi komputera i wyświetlał komunikat o tym, że aby odszyfrować pliki, należy zapłacić okup.
Zapobieganie ransomware
To tylko kila przykładów ransomware, które wciąż zatruwają życie organizacji. Twórcy ransomware stale opracowują nowe sposoby blokowania plików dla okupu. Zrozumienie jak działa ransomware pozwala wdrożyć odpowiednie środki ochrony. Przed ransomware można się uchronić dzięki skutecznemu rozwiązaniu antywirusowemu, szkoleniom użytkowników i filtrom poczty elektronicznej blokującym złośliwe wiadomości.
Powiązane badania
Powiązane artykuły