Οι επιθέσεις ransomware αυξάνονται καθημερινά. Μια μέση επίθεση ransomware μπορεί να διαρκέσει από 60 έως 120 ημέρες πριν ο ιδιοκτήτης της συσκευής καταλάβει τι συμβαίνει.
Το σημείο που δεν υπάρχει πια ίχνος αμφιβολίας είναι όταν το κακόβουλο λογισμικό αρχίσει να κρυπτογραφεί τον σκληρό δίσκο του θύματος. Τι συμβαίνει τις προηγούμενες μέρες;
Ποιοι είναι οι πρώτοι δείκτες για τους IT που προσπαθούν να εντοπίσουν μια επίθεση ransomware πριν προκαλέσει μεγάλη ζημιά; Τι πρέπει να κάνετε αν ανακαλύψετε μια επίθεση που είναι σε εξέλιξη;
Όπως προαναφέραμε η κρυπτογράφηση των αρχείων από το ransomware είναι το τελευταίο που θα συμβεί. Πριν την κρυπτογράφηση, οι κακόβουλοι χρήστες θα περάσουν εβδομάδες, ερευνώντας το δίκτυο για να ανακαλύψουν αδυναμίες. Μια από τις πιο συνηθισμένες διαδρομές που χρησιμοποιούν για να σερβίρουν ransomware είναι να εισέλθουν σε εταιρικά δίκτυα είναι μέσω Remote Desktop Protocol (RDP) που συνήθως αφήνονται ανοιχτά στο Διαδίκτυο.
Το lockdown για τον ιό έστειλε πολύ από το προσωπικό των εταιρειών να εργάζεται από το σπίτι, και έτσι οι περισσότερες έδωσαν πρόσβαση RDP για να διευκολύνουν την απομακρυσμένη εργασία. Αυτό δίνει ένα άνοιγμα στους επιτιθέμενους με ransomware, οπότε η σάρωση των συστημάτων που είναι στο Διαδίκτυο με ανοιχτές θύρες RDP είναι ένα πρώτο βήμα.
Πριν προχωρήσουμε να αναφέρουμε κάτι βασικό: αν δείτε πάρα πολλά μηνύματα ηλεκτρονικού “ψαρέματος” θα μπορούσε να είναι η ένδειξη μιας επίθεσης. Με αυτό το χέρι στο δίκτυο, οι χάκερ θα εξερευνήσουν από εκεί για να δουν τι άλλο μπορούν να βρουν για να επιτεθούν.
Ένα άλλο προειδοποιητικό σήμα θα μπορούσε να είναι εργαλεία λογισμικού που εμφανίζονται να λειτουργούν στο δίκτυο. Οι επιτιθέμενοι μπορεί να ξεκινήσουν με τον έλεγχο ενός μόνο υπολογιστή σε ένα δίκτυο και θα χρειαστούν εργαλεία.
Έτσι αν δείτε σαρωτές δικτύου, όπως το AngryIP ή το Advanced Port Scanner, ήρθε η ώρα να κάνετε ένα check in με κάποιον που γνωρίζει. Εάν κανείς δεν παραδεχτεί ότι χρησιμοποιεί τον σαρωτή δικτύου, θα πρέπει να διερευνήσετε.
Μια άλλη κόκκινη σημαία είναι οποιαδήποτε ανίχνευση του MimiKatz, είναι ένα από τα εργαλεία που χρησιμοποιούνται πιο συχνά από τους hacker μαζί με τον Microsoft Process Explorer, στις προσπάθειές τους να κλέψουν κωδικούς πρόσβασης και στοιχεία σύνδεσης.
Μόλις αποκτήσουν πρόσβαση στο δίκτυο, οι επιτιθέμενοι με το ransomware θα προσπαθήσουν να αποκτήσουν πρόσβαση σε κάποιο λογαριασμό διαχειριστή. Αυτό θα τους βοηθήσει να απενεργοποιήσουν το λογισμικό ασφαλείας με εφαρμογές που έχουν δημιουργηθεί για την αναγκαστική κατάργηση λογισμικού, όπως το Process Hacker, το IOBit Uninstaller, το GMER και το PC Hunter.
Αυτές οι εφαρμογές είναι είναι νόμιμες, αλλά σε λάθος χέρια προκαλούν ζημιές.
Αναζητήστε για νέους λογαριασμούς που έχουν δημιουργηθεί. Προλάβετε: μόλις οι εισβολείς αποκτήσουν δικαιώματα διαχειριστή, θα προσπαθήσουν να εξαπλωθούν στο δίκτυο, χρησιμοποιώντας το PowerShell.
Όλο αυτό μπορεί να διαρκέσει εβδομάδες, και ίσως ακόμη και μήνες, εξαρτάται από τα δεδομένα που έχετε στο σύστημά σας. Επειδή όσο πιο αργά κινούνται μέσω του δικτύου, τόσο πιο δύσκολο είναι να εντοπιστούν οι hackers δεν βιάζονται και προσπαθούν να αποφύγουν λάθη που θα τους αποκαλύψουν.
Πολλά εργαλεία ασφαλείας καταγράφουν την επισκεψιμότητα στο δίκτυο μόνο για ένα ορισμένο χρονικό διάστημα, πράγμα που σημαίνει ότι εάν οι hackers συνδέονται εβδομάδες, είναι πολύ πιο δύσκολο να εντοπιστεί το σημείο εισόδου, αφού θα έχει διαγραφεί από τα logs.
Υπάρχουν επίσης ορισμένα σημάδια που δείχνουν ότι μια επίθεση με ransomware πλησιάζει στο τέλος της. Οι εισβολείς θα προσπαθήσουν να απενεργοποιήσουν την υπηρεσία καταλόγου Active Directory, τα domain controllers και να καταστρέψουν τυχόν αντίγραφα ασφαλείας που μπορούν να βρουν. Θα απενεργοποιήσουν τυχόν συστήματα ανάπτυξης λογισμικού που θα μπορούσαν να χρησιμοποιηθούν για την λήψη ενημερώσεων. Μετά χτυπάνε!
Λοιπόν, πώς να σταματήσετε τους επιτιθέμενους; Το πιο σημαντικό πράγμα είναι να ελέγξετε τις συνεδρίες RDP. Η αλλαγή κωδικού πρόσβασης σε βασικά συστήματα, μπορεί να είναι χρήσιμη αλλά εάν οι hackers μπορούν να χρησιμοποιήσουν το RDP, τέτοια βήματα δεν θα έχουν αποτέλεσμα. Ελέγξτε για μη αναμενόμενους λογαριασμούς διαχειριστή και περιορίστε την χρήση του PowerShell.
Διατηρείτε ενημερωμένο το λογισμικό σας και το λειτουργικό σας σύστημα. Πολλές επιθέσεις ransomware χρησιμοποιούν κενά ασφαλείας που έχουν επιδιορθωθεί με κάποια ενημέρωση.
Για τις επιθέσεις ransomware που έρχονται μέσω email, η εκπαίδευση του προσωπικού και η δική σας, οι ισχυροί κωδικοί και ο έλεγχος ταυτότητας δύο παραγόντων, θα βοηθήσει στην αποτροπή ή την επιβράδυνση των εισβολέων.
