Познати още от 80-те години на миналия век, криптовирусите или т.нар. рансъмуер: зловредни програми, при чието изпълнение бива осъществено частично или пълно дисково криптиране, вече няколко години мъчат обикновените потребители и компаниите. И макар първите да бяха пощадени до известна степен в последните години, то рансъмуер заплахите са си все така жизнени и изглежда, че няма никъде да ходят. В публикация от вчера, Оливер Таваколи от Vectra AI, разглежда на страниците на Threat Post основните класове рансъмуер и ефективните методи за борба с тях.
Атаките с криптовируси днес не са това, което бяха преди няколко години. Все по-рядко чуваме за масовите спам кампании, доставящи рансъмуер на случаен принцип и заразяващи хиляди системи, докато хакерите чакат някой да плати откуп. Вместо това, киберпрестъпната икономика се ориентира към атаката на големи компании с милионни приходи от дейността си. Освен това, те предприеха тактиката на „двойното изнудване“ с кражба на чувствителна информация и криптиране. Освен сигурна печалба, по този начин обаче хакерите нанасят невиждани щети на жертвата си, засягайки не само портфейла ѝ, но и репутацията ѝ.
Таваколи разграничава два основни класа рансъмуер групи и стратегии: „стоковият“ рансъмуер и ръчно контролираният рансъмуер.
Първият тип оперира, както посочва Таваколи, на автопилот. Атакуващата страна може и сам да изготвя фишинг кампанията, която да направи така че рансъмуерът да попадне на системата, но веднъж попаднал там, работата му е автоматизирана. „С този тип рансъмуер, откупът, който се иска е по принцип доста скромен, с бизнес модел, който разчита на инфектирането на хиляди системи и очакването на някакъв процент да плати парите, които се искат“, пише Таваколи.
В подобни случаи, като например при CryptoLocker, всички файлове на системата биват инфектирани, като криптирането на мрежово разположени ресурси във времето на разпространението на този тип рансъмуер заплахи е по-скоро изключение, отколкото практика.
Именно това обаче се явява следващата стъпка в еволюцията на рансъмуер заплахите. Следващата генерация криптовируси търси подобни външни устройства и ги криптира. Тук някъде и вече киберпрестъпниците започват да обръщат по-голямо внимание на бизнесите, които логично се явяват и по-платежоспособна цел от обикновения потребител. Т.е., хакерите се ориентират натам, където са истинските пари.
Последната стъпка в еволюцията на стоковия рансъмуер се явява добавянето на функционалности на интернет червей или автоматизирано разпространение в мрежовия периметър без нужда от предприемане на действие от страна на жертвата на вторичните инфекции. Пример за този тип рансъмуер заплахи се явява небезизвестният WannaCry.
Що се отнася до ръчно управляваните рансъмуер операции, този тип атаки вече са по-сложни в техническо отношение и при тях исканият откуп е далеч по-висок. Целенасочените атаки изискват предварителни дейности, включващи техники за взлом в мрежата на конкретната жертва и проучвателни дейности за вътрешността ѝ. Повечето от стъпките, които извършват хакерите тук не са автоматизирани, тъй като те са съобразени със спецификите на съответните конфигурации, софтуерни и хардуерни особености. Освен това, обичайно подобни операции са с далеч по-голяма продължителност от кампаниите със стоковия рансъмуер. Веднъж след като е осъществен пробива, установени са слабостите, от които може атакуващата страна да се възползва и са проучени надлежно информационните масиви в мрежата, всички инструменти и подготвени стратегии за големия удар влизат в действие за един финален удар. Едни от първите, които използват подобен modus operandi за осъществяване на целите се явяват SamSam, придобили известност през 2018. Последната засега стъпка в еволюцията на разпространението на криптовируси се явява споменатия метод на двойното изнудваане. Примерите тук са вече добре известни: Maze, Ryuk, DarkSide и много други. И да не забравяме успеха на RaaS (Ransomware-as-a-Service) или „рансъмуер, като услуга“ бизнес модела, при който създателите на рансъмуер заплахите отдават „под наем“ кодовата и сървърната си инфраструктура на не толкова умели престъпници да разпространяват програмите им срещу процент от печалбата им. Този подход осигурява защита на истинските създатели на рансъмуера, тъй като не те са реалните извършители на атаката, докато в същото време им носи гарантирана печалба.
Какво може да сторят бизнесите и обикновените потребители, за да избягат от опасностите, свързани с криптовирусните заплахи? Обичайните съвети ги знаете: поддържайте винаги обновен софтуера си, използвайте надеждни и модерни решения за сигурност – хардуерни и софтуерни, правете редовно архив на информацията си и най-важното – винаги проявявайте здрав разум, когато сърфирате в Мрежата, отваряте електронни писма и се забавлявате в любимата си социална мрежа. По отношение на т.нар. стоков рансъмуер или традиционните заплахи, които може да откриете да речем като прикачен файл в писмо от неизвестен подател, горните предохранителни мерки би трябвало да са достатъчни.
Малко по-различно обаче стоят нещата при рансъмуер червеите и по-модерните и агресивни варианти. Затова и Таваколи препоръчва налагането на по-сложни стратегии в случая – микросегментация, политики на най-ниски привилегии за точките, които не се нуждаят от широки права и достъп, zero-trust политики и други, основани на широко приети в индустрията протоколи за бизнеса, които ще ограничат разпространението на заразта. При рансъмуер операциите, контролирани лично от хакерите обаче, много от тези методи може да не са достатъчно ефективни. „Това означава, че успехът за защитаващия няма да дойде само чрез спазване на предварително написани политики, заздравени конфигурации или поставянето на някакви защитни контроли. И макар и полезни до известна степен, вероятно е един достатъчно мотивиран хакер да преодолее тези защити“, пише Таваколи.
Тук той препоръчва осъществяването на гъвкава и всестранна видимост над ресурсите и постоянен мониторинг, комбинация от стратегии за преднамерено търсене на заплахите и разследваща дисциплина, които целят разкриването на зловредните действия преди те да са се разпрострели до момента, от който няма връщане назад.
