Evenimentele actuale si cele recente din ultimii doi-trei ani ne arata ca gruparile IT criminale au atacat cu ransomware companii mici, corporatii cu prezenta globala, utilizatori individuali, fabrici-gigant din industrie, structuri vitale ale aparatului de stat (aparate administrative, sistemul de sanatate, etc, chiar si tari intregi. Astfel de atacuri se traduc intotdeauna in pierderi financiare semnificative, lovituri de imagine impreuna cu pierderea increderii in respective entitate, si, cel mai grav, cu punerea in pericol a vietilor omenesti. Este fireasca dorinta de a incerca minimizarea acestor consecinte, insa nu trebuie pierdut din vedere faptul ca un astfel de atac trebuie impiedicat sa aiba succes si a doua oara.
Industria ransomware-ului este extrem de profitabila pentru atacatori si s-a transformat dintr-un virus troian anexat unui mail de spam intr-o infrastructura accesibila sub forma de serviciu pus la dispozitie de creatorii malware-ului oricui doreste sa il achizitioneze din Dark Web pentru o parte din profit.
Sa ne imginam ca organizatia dumneavoastra a fost victima unui atac ransomware si acest lucru ajunge in presa sau pe site-uri “underground” ale hackerilor. Imediat acest lucru va atrage atentia unor alti atacatori, mai ales daca alegeti sa platiti rascumpararea, din doua motive: primul, pentru ca este un semn ca aveti o infrastructura vulnerabila si al doilea, pentru ca aratati ca sunteti dispusi sa negociati. Cele doua motive sunt suficiente pentru ca atacatorii sa considere ca merita efortul de a va ataca a doua oara. Asa ca trebuie sa fiti pregatiti de acest scenariu probabil.
Intrebarea “cum putem preveni atacul sa se intample a doua oara” trebuie avuta in vedere in momentul in care se decide daca se plateste sau nu rascumpararea. Sub presiune, plata rascumpararii pare o solutie viabila, poate singura de a iesi din impas. Insa trebuie avut in vedere ca:
- Chiar daca informatiile furate nu sunt facute publice, plata rascumpararii nu inseamna ca atacatorii nu pot le vinde mai departe unor alti criminali si nu inseamna ca nu pot folosi informatiile in alte atacuri asupra organizatiei.
- Prin plata rascumparatii finantati activitatea hackerilor ceea ce duce la incurajarea acestora si cresterea numarului de atacuri.
- Prin plata rascumpararii oferiti un semn clar de slabiciune si veti fi atacat si a doua oara.
Principala recomandare este sa nu platiti si pentru a evita si a doua oara neplacerile cauzate de ransomware este bine:
- Sa investigati cum anume ati fost atacati prima data pentru a identifica sistemele vulnerabile si pentru a le lua masurile necesare. Etapa de threat investigation poate fi facuta cu resurse interne sau, daca este nevoie, puteti apela la specialisti externi.
- Sa aveti pus la punct si implementat un plan de raspuns la un incident de securitate pentru a fi proactivi in timpul atacului si pentru a-l bloca eficient fara ca vreun sistem sau utilizator sa fie in pericol.
- Dupa etapa de clean-up a ransomware-ului, faceti fresh install de OS si restore din backup-uri “curate”. Daca este cazul, aplicati update-urile de sistem si toate patch-urile de securitate disponibile.
- Atacatorii se folosesc foarte mult de tehnici de inginerie sociala asa ca investiti intr-un program de training pentru angajati astfel incat acestia sa devina constienti de pericolele care exista in online/offline si sa fie mai rigurosi cu securitatea dispozitivelor si a datelor cu care lucreaza. Un program de security awareness este principalul mod de a intari veriga umana din lantul securitatii organizatiei.
- Daca accesul initial a fost facut prin folosirea unor credentiale compromise, schimbati toate parolele folosite de acel sistem si implementati o politica de MFA pentru autentifcare.
- Implementati o solutie de antivirus/antimalware/endpoint protection pentru toate dispozitivele folosite de organizatiei, inclusiv servere si telefoane mobile.
Mihai Dumitrascu, Sr Systems Engineer