Stirile despre atacuri de tip ransomware au devenit deja parte din cotidian si nu ne mai surprind atunci cand auzim ca o mare companie a cazut victima unui astfel de malware. Frecventa extrem de ridicata cu care este lansat ransomware-ul “out in the wild” ne spune ca este doar o chestiune de timp pana cand fiecare dintre noi sa devina tinta atacatorilor. Acestia lucreaza in mod constat la crearea unor noi variante de virus, precum si la modificarea celor deja existenti pentru a trece neobservati de filtrele de securitate implementate de organizatii. Atacatorii au schimbat si modul in care incearca sa isi sporeasca sansele de a obtine rascumpararea ceruta.
Ransomware-ul este un tip de malware care reuseste sa exfiltreze datele de pe un sistem dupa care cripteaza acele date si trimite o nota de rascumparare catre victima in care ii spune acesteia ca daca nu plateste o anumita suma de bani, acele date furate vor fi pierdute pentru totdeauna. Acesta a fost primul mod in care hackerii au incercat sa obtina profit de pe urma atacului.
Totusi, nu toate victimele s-au grabit sa plateasca rascumpararea gandindu-se ca nu au nicio garantie ca facand acest lucru isi vor obtine inapoi datele sau nu vor fi santajate pentru si mai multi bani.
Asa ca, pentru a “stimula” organizatiile sa plateasca, atacatorii au trecut la o metoda de santaj dublu. Pe langa riscul de a pierde datele, organizatiile mai riscau ca datele furate sa fie facute si publice de catre hackeri. Pentru unele companii, acest risc s-a dovedit a fi prea mare si au platit suma ceruta.
In goana lor dupa un profit si mai mare, hackerii si-au upgradat “jocul” cu o noua tactica de santaj. Organizatiile sunt supuse acum unui risc triplu:
- riscul de a-si pierde pentru totdeauna datele
- riscul de a avea informatii confidentiale publicate pe Internet
- si, noutatea, riscul ca clientii organizatiei sa fie santajati cu datele stocate de aceasta si furate de hackeri
Hackerii acum incearca sa inteleaga datele furate, sa le filtreze si sa foloseasca aceste informatii pentru a identifica parteneri, colaboratori si clienti de-ai organizatiei pe care sa ii santajeze cu publicarea informatiilor despre ei pe Internet. Potentiala lovitura de imagine poate fi devastatoare pentru organizatie, pe langa problemele pe care le poate avea in functie de legislatia din fiecare tara.
Unul dintre primele cazuri identificate de santaj triplu este cel al unei clinici de psihoterapie din Finlanda, Vastaamo. Pe scurt, un hacker a notificat clinica de faptul ca a intrat in posesia dosarelor angajatilor si, mai important, a pacientilor si a cerut o rascumparare de 40 de Bitcoin. Compania a platit suma ceruta, insa acest lucru nu a fost suficient pentru atacator care a inceput sa contacteze si pacientii clinicii si i-a santajat pe fiecare cu suma de 240 USD ca sa nu publice notitele luat de doctor in timpul sesiunilor de terapie.
Un alt exemplu este al gruparii REvil care ofera RaaS – Ransomware as a Service si care a anuntat ca face disponibil gratis un feature prin care partenerii de business ai unei organizatii, ca si anumite site-uri de media sa fie notificate printr-un apel telefonic de situatia in care se afla organizatia, tot pentru a o motiva sa plateasca suma de bani ceruta.
Pare ca hackerii gasesc mereu metode noi prin care sa ne “convinga” sa ii platim, incuranjandu-i astfel sa continue cu astfel de atacuri si practic finantandu-le activitatea. Organizatiile pot lua urmatoarele actiuni pentru a evita infectarea cu ransomware:
- pregatire: organizatia trebuie sa aiba implementata:
– o politica de securitate cu privire la modul in care datele pot fi accesate (nivele de privilegiu, metode de autentificare, drepturi de modificare, accesul din Internet la fisiere,etc.)
– o politica de backup care vizeaza minim cele mai importante fisiere
– o politica de verificare a accesului in doi pasi (2FA/MFA)
– training pentru angajati pentru cresterea nivelului de constientizare cu privire la recunoasterea unor semne de infectie cu malware si pentru a dezvolta o buna igiena cibernetica
- preventie: organizatia trebuie sa implementeze:
– sisteme de securitate on-premises care sa inspecteze traficul din retea si sa notifice personalul IT daca este detectata o probleme
– solutii de securitate pentru endpoint-uri, mai ales ca inca se lucreaza de acasa sau intr-un scenario hibrid
– solutii de securitate pentru cloud: pentru fisierele pastrate in cloud, pentru aplicatiile gazduite acolo si pentru instantele virtuale
- monitorizare: organizatia trebuie sa “vada” ce se intampla in reteaua sa:
– monitorizarea activitatii endpoint-urilor printr-o solutie de EDR
– colectarea logurilor de la echipamentele de retea
– inspectia traficului criptat
– analizarea si triajul alarmelor printr-o solutie de tip SIEM/SOAR
Mihai Dumitrascu, Sr Systems Engineer