Zacznijmy od definicji z Wikipedii:
Ransomware (zbitka słów ang. ransom „okup” i software „oprogramowanie”) – oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych (często poprzez techniki szyfrujące), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego.
Same ataki Ransomware dziś już ewoluowały, w związku z coraz częściej prawidłowo wdrożonymi zabezpieczanymi jakim są między innymi backupy, które pozwalają odworzyć zaszyfrowane środowiska.
Ewolucja polega na tym, że atakujący przed samym zaszyfrowaniem plików, dane wcześniej wyprowadzają z organizacji, celem ich późniejszego upublicznienia, aby mieć dodatkowy argument negocjacyjny, w celu wyłudzenia okupu.
W poradniku CERT POLSKA, wskazano najczęstsze źródła ataku, którymi są:
• podatności w publicznie dostępnych usługach – VPN, RDP, serwer pocztowy, itp. Często podatności są wykorzystywane już w ciągu godzin, lub dni po pojawieniu się publicznej informacji o ich istnieniu,
• niewystarczająco zabezpieczone (najczęściej słabe hasło) kanały zdalnego dostępu do infrastruktury oraz publicznych usług – RDP, VNC, FTP, bazy danych, itp.,
• maile nakłaniające do pobrania i uruchomienia załączonego lub umieszczonego w linku pliku.
W dzisiejszym artykule przyjrzymy się bliżej działaniom prewencyjnym:
1. BACKUPY
Powszechnie używane w obszarze cyberbezpieczeństwa powiedzenie:
„Organizacje dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili”
i w tym przypadku jest jak najbardziej trafne i do zastosowania celem obrony przed Ransomware.
Samo wykonywanie kopii to jednak nie wszystko. Należy również pamiętać o tym :
- aby prawidłowo je weryfikować, co często nie jest realizowane i w momencie, w którym zachodzi potrzeba jej odtworzenia, okazuje się, że kopia nie działa;
- należy prawidłowo określić kopie jakich systemów i baz danych kopiujemy i jak często, tak aby odtworzyć prawidłowo całość naszej infrastruktury. Dla przykładu wskazujemy tutaj systemy, w których zmiany w bazie danych zachodzą np. raz na 1, 3 miesiące. W niektórych przypadkach próba przywrócenia danych, jeśli posiadamy jedynie kopię bazy z ostatnich 7 dni, może okazać się nieskuteczna;
- w kontekście do samego ataku ransomware należy zawsze pamiętać, aby kopia zapasowa nie była podłączona jako zasób w sieci, w przeciwnym razie również zostanie ona zaszyforwana.
Podsumowując należy zapamiętać zasadę 3,2,1, 0 – 3 kopie, na co najmniej 2 różnych nośnikach, 1 w odizolowanym środowisku, 0 błędów przy odtwarzaniu.
2. Regularna aktualizacja oprogramowania i wykorzystywanych narzędzi
Brak niektórych łatek, powoduje, że luki w naszych narzędziach mogą być widoczne z sieci dla atakujących i są niezwłoczne przez nich wykorzystywane.
3. Segmentacja sieci
Odpowiednie odseparowanie sieci, pozwoli w przypadku skutecznego ataku, na wyrządzenie szkód jedynie w części zasobów.
4. Inwentaryzacja publicznie dostępnych usług
Jak wskazuje CERT POLSKA
Obecnie, infekcje złośliwym oprogramowaniem ransomware najczęściej są zapoczątkowane poprzez niezabezpieczone lub podatne usługi dostępne z poziomu internetu.
Dlatego tak ważne jest zinwentaryzowanie, spisanie usług udostępnionych w sieci, a następnie określenie aktualnego stanu oprogramowania, które udostępniają te usługi w sieci.
Dzięki inwentaryzacji można upewnić się czy:
• dana usługa rzeczywiście powinna być dostępna z poziomu internetu ?
• oprogramowanie udostępniające usługę jest odpowiednio zaktualizowane lub czy są zaaplikowane najnowsze łatki bezpieczeństwa ?
• zastosowana jest odpowiednia polityka haseł, oraz jeśli to możliwe, uwierzytelnianie wieloskładnikowe ?
5. Zabezpieczenie użytkowników:
- odpowiednie filtrowanie poczty oraz zasobów, w zakresie rozszerzeń
- szkolenia pracowników z cyberbezpieczeństwa.
6. Wdrożenie polityki logowania zdarzeń, konfiguracja monitoringu i SIEM.
7. Wdrożenie rozwiązań identyfikujących i ograniczających ataki (IDS, IPS, WAF, NGFW, NAC).
8. Wdrożenie rozwiązań Endpoint Security i DLP.
9. Konfiguracja honeypotów, celem wykrycia atakującego w naszych zasobach.
10. Wpisanie w bazę, „fałszywych” rekordów, aby potwierdzić prawdziwość wyprowadzonych danych w przypadku negocjacji z atakującymi.
Osoby zainteresowane przykładem procesu negocjacji okupu, zapraszamy do artykułu niebezpieczenika:
Na koniec chcemy podkreślić, że oczywiście powyższe działania prewencyjne, nie uchronią nas w 100% przed atakiem, natomiast ich większa liczba, powoduje, że sito, a raczej liczba sit wzrasta, a zatem same dziury w naszych systemach, przez które może przedostać się atakujący jest mniejsza.
A, co zrobić jeśli już zostaliśmy zaatakowani, opiszemy Państwu w kolejnym artykule.
Pozdrawiamy,
Zespół rodo.pl
Źródła:
https://cert.pl/uploads/docs/CERT_Polska_Poradnik_ransomware.pdf