Cat valoreaza datele companiei dumneavoastra? Cat sunteti dispusi sa platiti pentru aceste date? Daca reteaua este infectata cu un virus ransomware in urma unei brese de securitate s-ar putea sa fiti nevoiti sa raspundeti la aceste intrebari.
Pierderea datelor reprezinta doar o fata o impactului financiar pe care o astfel de lovitura il are asupra companiei, downtime-ul provocat pana la restaurarea sistemelor putand fi chiar mai costisitor. De asemenea, organizatia isi poate pierde credibilitatea in fata clientilor si increderea partenerilor de afaceri si a investitorilor.
In 2020, la fiecare 14 secunde a avut loc un atac ransomware, iar pentru acest an frecventa este 11 secunde. Ransomware-ul a devenit astfel tipul de infractionalitate cibernetica cu cea mai mare rata de crestere in ultimii ani. Este absolut imperativ ca orice organizatia sa ia masurile necesare pentru a minimiza sansele unei infectari, dar si pentru a micsora efectele unui atac executat cu succes asupra datelor companiei. Pregatirea in fata unui ransomware trebuie sa ia in calcul partea de training a angajatilor si partea de tehnologie implementata in retea.
Ransomaware-ul este o tehnica de santajare prin care actorii malitiosi care reusesc sa cripteze datele de pe calculatoarele utilizatorilor, le tin ostatice pana cand se plateste o rascumparare pentru ele. Cu toate ca tinta predilecta este un calculator, in ultima perioada din ce in ce mai multe dispozitive mobile cad victime acestui tip de atac, intrucat avem din ce in ce mai multe informatii personale si sensibile stocate pe aceste device-uri.
Modul tipic de desfasurare al unui atac este urmatorul: utilizatorul fie deschide un fisier primit ca atasament intr-un email, fie viziteaza un site web malitios. Odata ce fisierul este deschis, virusul incepe sa cripteze anumite locatii de pe sistem sau intregul hard disk si notifica user-ul ca o rascumparare trebuie platita pentru a-si recupera fisierele. Sumele de bani cerute de atacatori sunt exprimate de obicei in cryptomonede pentru ca acestia sa isi pastreze anonimitatea.
O situatie des intalnita este cea in care creatorul virusului anticipeaza reactia utilizatorului care va cauta pe Internet o solutie care sa il ajute sa inlature singur virusul. Desigur, utilizatorul va trebui sa plateasca pentru a putea avea access la softul anti-ransomware, creat de atacator si publicat pe anumite site-uri legitime. Atacatorul nu are cum sa se asigure ca victimele vor cumpara acest software, dar, din perspectiva lui, nu are nimic de pierdut, ci doar de castigat (si mai multi bani). De cele mai multe ori, aceste software-uri “minune” se dovedesc a fi ineficiente, ceea ce costa o organizatie si mai multi bani si mai mult timp. Pentru a pune sare pe rana, aceste programe pot contine ele insele inca mai mult malware, repornind un nou ciclu de atac asupra companiei.
Este importanta distinctia dintre atac si infectie. Fiecare atasament malitios dintr-un email sau fiecare URL de phishing primit intr-un email reprezinta un atac, dar reteaua se infecteaza doar cand cineva deschide acel fisier sau da click pe acel link. Atacatorii au la dispozitie cateva cai prin care reusesc sa creeze brese de securitate in organizatie si sunt intr-o cautare continua de identificare a unor oportunitati noi de exploatare. Se estimeaza ca aproximativ 37% din infectarile cu ransomware au provenit din atasamente malitioase din email-uri si 27% din link-uri malitioase primite fie pe email, fie prin canale de social media. Pe masura ce utilizatorii devin din ce in ce mai pregatiti sa recunoasca acesti vectori de atac, hackerii sunt nevoiti sa devina mai creativi si isi indreapta atentia catre serviciul de RDP (Remote Desktop Protocol) pe care multe companii il fac accesibil direct din Internet. Practic, facand acest lucru este ca si cum deschidem usa de la intrare poftind inauntru pe orice doreste sa ne “viziteze” reteaua. O problema majora pe care multe companii o au este ca nu reusesc sa faca partea de “traceback” si sa identifice parcursul atacatorilor in procesul de executie a ransomware-ului in interiorul retelei. Nestiind ce element vulnerabil a fost compromis, este aproape imposibil ca organizatia sa se apere impotriva unui nou atac.
Metode de preventie a unui atac ransomware
Instruirea personalului pentru a spori gradul de vigilenta si reticenta in ceea ce primeste mailurile suspicioase si continutul acestora: documente Office care pot contine macro-uri, arhive, si mai ales excutabile, precum si URL-uri. Daca un email suna prea frumos ca sa fie adevarat, cel mai probabil asa si este. Utilizatorii trebuie sa recunoasca astfel de situatii, sa exercite precautie si sa notifice departamentul IT pentru ca putea face o analiza detaliata a continutului si sa poata oferi un verdict asupra legitimitatii acestuia.
Implementarea principiului privilegiului minim, insemnand ca unui utilizator trebuie sa i se acorde un nivel de acces suficient cat pentru a-si putea indeplini task-urile specifice jobului sau. Rolul de administrator va fi oferit unui numar limitat de persoane, care au nevoie de acces global. Astfel, se va reduce simtitor riscul de a pune in pericol 100% din datele organizatiei.
Backup pentru date practic cu o frecventa ridicata, si izolarea acestui backup de retea (off the grid). Astfel, chiar daca ransomware-ul reuseste sa cripteze intreaga retea, se pot sterge masinile infectate, se pot reinstala sistemele si se pot restaura datele, totul cu pierderi minime. Cu cat trece mai mult timp intre backup-uri, cu atat datele vor fi supuse unui risc mai mare.
Folosirea tehnologiei corespunzatoare este imperativa pentru protectia datelor companiei. Implementare unor filtre antispam puternice care sa poate identifica fisierele executabile si care sa le poate “detona” intr-un mediu controlat (sandboxing) cu scopul de a urmari comportamentul acestora, configurarea firewall-urilor pentru a bloca trafic care origineaza de la adresa IP cunoscute ca fiind malitioase. Mentinerea la zi a acestor sisteme de securitate prin updatarea constanta a bazelor de date de semnaturi, a domeniilor malitioase si a altor feed-uri de securitate, precum si aplicarea celor mai recente patch-uri de securitate vor reduce riscul de infectie cu ransomware.
Metode de “damage control” in urma unei infectari
Chiar daca oamenii au primit un training bun si chiar daca se folosesc cele mai moderne sisteme de securitate, hackerii perseverenti vor reusi sa isi “croiasca” drum prin retea. Ce se poate face?
Izolarea masinilor infectate pentru a evita compromiterea altor sisteme si penetrarea altor zone din retea, reducand impactul total al atacului. Primul pas pe care orice ransomware il face este sa scaneze reteaua sa vada ce alte sisteme mai pot fi compromise prin aceeasi vulnerabilitate exploatata prima data. Segregarea retelei, folosirea de mecanisme de control, implementarea functiilor de autentificare pot minimiza numarul de masini care pot fi compromise.
Securizarea datelor neafectate care inca mai pot fi accesate si schimbarea parolelor pentru a limita si mai mult impactul atacului.
Examinarea log-urilor din sistem pentru a putea face macar o parte minima de forensics prin care sa se determine care a fost portita de intrare in retea, care a fost prima victima a ransomware-ului si ce alte sisteme ar putea fi compromise.
A plati sau a nu plati?
In cazul in care nu mai este nimic de facut si toate sistemele au fost compromise, daca datele au fost pierdute si chiar si back-urile au fost corupte ramane intrebarea daca sa platim sau nu rascumpararea.
Daca platim, nimeni si nimic nu garanteaza ca datele vor fi recuperate. Statistic, 1 din 5 companii care au cazut victime unui atac ransomware si au platit nu si-au recuperat fisierele. Mai mult, daca platim vom incuraja atacatorii sa ceara si mai multi bani si compania va fi din nou in vizorul acestora, stiind ca plateste rascumpararea.
Daca nu platim, riscam sa pierdem pentru totdeauna datele criptate, caz in care doar un plan de disaster recovery bine pus la punct si corect implementat mai poate salva ziua. Autoritatile sugereaza ca cererile atacatorilor sa nu fie satisfacute, insa in acelasi timp recunosc ca, in cazul in care compania nu are backupuri pentru date, plata rascumpararii este unica sansa de a recupera acele fisierele.
Mihai Dumitrascu, Sr Systems Engineer