Ransomware εναντίον επιχειρήσεων: Οι ερευνητές της Kaspersky Lab ανακάλυψαν μία αναδυόμενη και ανησυχητική τάση: όλο και περισσότεροι ψηφιακοί εγκληματίες μεταστρέφουν την προσοχή τους από επιθέσεις προς ιδιώτες, σε επιθέσεις με προγράμματα ransomware με στόχο επιχειρήσεις.
Τουλάχιστον οκτώ ομάδες ψηφιακών εγκληματιών που σχετίζονταν με την ανάπτυξη και τη διάδοση κρυπτογραφημένου προγράμματος ransomware έχουν αναγνωριστεί. Οι επιθέσεις έχουν πρωτίστως πλήξει χρηματοπιστωτικούς οργανισμούς παγκοσμίως. Οι ειδικοί της Kaspersky Lab έχουν καταγράψει περιπτώσεις όπου οι χρηματικές αξιώσεις υπολογίζονται σε περισσότερα από μισό εκατομμύριο δολάρια.
Στις οκτώ αναγνωρισμένες ομάδες συμπεριλαμβάνονται οι δημιουργοί του PetrWrap, που έχουν επιτεθεί σε χρηματοπιστωτικούς οργανισμούς παγκοσμίως, η διαβόητη ομάδα Mamba και έξι ακόμα ομάδες με άγνωστο όνομα, που στοχεύουν κυρίως εταιρικούς χρήστες. Είναι άξιο αναφοράς ότι αυτές οι έξι ομάδες μέχρι πρότινος αναμειγνύονταν σε επιθέσεις που κατά κύριο λόγο στόχευαν ιδιώτες και χρησιμοποιούσαν πανομοιότυπα προγράμματα. Τώρα έχουν επανεστιάσει τις προσπάθειές τους σε εταιρικά δίκτυα. Σύμφωνα με τους ερευνητές της Kaspersky Lab, ο λόγος για την τάση αυτή είναι ξεκάθαρος – οι εγκληματίες θεωρούν ότι οι επιθέσεις με προγράμματα ransomware εναντίον επιχειρήσεων έχουν προοπτικές για μεγαλύτερα κέρδη σε σχέση με τις μαζικές επιθέσεις εναντίον ιδιωτών. Μία επιτυχημένη ransomware επίθεση εναντίον μιας εταιρίας μπορεί εύκολα να σταματήσει την εύρυθμη λειτουργεία της επιχείρησης για ώρες ακόμα και ημέρες, καθιστώντας τους ιδιοκτήτες των εταιρειών που έχει δεχτεί επίθεση πιο πιθανούς υποψήφιους για να πληρώσουν λύτρα.
Γενικότερα οι τακτικές, οι τεχνικές και οι διαδικασίες που χρησιμοποιήθηκαν από αυτές τις ομάδες έχουν αρκετά κοινά στοιχεία. «Μολύνουν» το στοχοποιημένο οργανισμό με κακόβουλο λογισμικό μέσω ευάλωτων servers ή διαδίδοντας phishing email. Έπειτα, τα εγκαθιστούν επίμονα στο δίκτυο των θυμάτων και αναγνωρίζουν τους ευάλωτους εταιρικούς πόρους για να τους κρυπτογραφήσουν. Ακολούθως, σε αντάλλαγμα ζητούν λύτρα για την αποκρυπτογράφηση. Εκτός από τις ομοιότητές τους, μερικές από τις ομάδες διαθέτουν και τα δικά τους γνωρίσματα και χαρακτηριστικά.
Για παράδειγμα, η ομάδα Mamba χρησιμοποιεί το δικό της κακόβουλο λογισμικό κρυπτογράφησης, με βάση το λογισμικό ανοικτού κώδικα, DiskCryptor. Μόλις οι επιτιθέμενοι αποκτήσουν πρόσβαση στο δίκτυο, εγκαθιστούν το encryptor πάνω σε αυτό, χρησιμοποιώντας ένα νόμιμο βοηθητικό πρόγραμμα απομακρυσμένου ελέγχου για τα Windows. Η προσέγγιση αυτή καθιστά τις ενέργειες λιγότερο καχύποπτες για το προσωπικό ασφαλείας του οργανισμού – στόχου. Οι ερευνητές της Kaspersky Lab έχουν συναντήσει περιπτώσεις όπου τα λύτρα έχουν φτάσει σε ύψος μέχρι και ενός bitcoin (περίπου $1.000 έως τα τέλη Μαρτίου 2017) ανά ένα τερματικό σημείο αποκρυπτογράφησης.
Ακόμα ένα μοναδικό παράδειγμα των εργαλείων που χρησιμοποιούνται σε στοχευμένες επιθέσεις ransomware αποτελεί το PetrWrap. Η ομάδα αυτή στοχεύει κυρίως σε μεγάλες εταιρείες που έχουν ένα μεγάλο αριθμό κόμβων δικτύου. Οι εγκληματίες επέλεξαν προσεκτικά για κάθε επίθεση στόχους που διαρκούν για κάποιο χρονικό διάστημα: Το PetrWrap έχει παραμείνει επίμονα σε ένα δίκτυο έως και 6 μήνες.
«Πρέπει όλοι μας να γνωρίζουμε ότι η απειλή των στοχευμένων επιθέσεων με προγράμματα ransomware για επιχειρήσεις αυξάνεται, φέρνοντας απτές οικονομικές απώλειες. Η τάση είναι ανησυχητική, καθώς οι φορείς ransomware ξεκίνησαν τη «σταυροφορία» τους για νέα και πιο επικερδή θύματα. Υπάρχουν πολλοί περισσότεροι πιθανοί ransomware στόχοι που κυκλοφορούν ελεύθεροι, με τις επιθέσεις να επιφέρουν ακόμη πιο καταστροφικές συνέπειες», δήλωσε ο Anton Ivanov, Senior Security Researcher, Anti-Ransom της Kaspersky Lab.
Για την προστασία των οργανισμών από τέτοιου είδους επιθέσεις, οι ειδικοί σε θέματα ασφάλειας της Kaspersky Lab συμβουλεύουν:
- Να δημιουργείτε κατάλληλα και έγκαιρα αντίγραφα ασφαλείας των δεδομένων σας, έτσι ώστε αυτά να μπορούν να χρησιμοποιηθούν για την επαναφορά των πρωτότυπων αρχείων μετά από ένα περιστατικό απώλειας δεδομένων.
- Χρησιμοποιήστε μια λύση ασφαλείας με τεχνολογίες ανίχνευσης βασισμένες σε συμπεριφορικά στοιχεία. Οι τεχνολογίες αυτές μπορούν να «πιάσουν» κακόβουλο λογισμικό, συμπεριλαμβανομένων των προγραμμάτων ransomware, βλέποντας πώς λειτουργεί κατά τη διάρκεια της επίθεσης στο σύστημα και καθιστά δυνατή την ανίχνευση καινούριων και ακόμα άγνωστων δειγμάτων ransomware.
- Επισκεφθείτε την ιστοσελίδα No More Ransom, μια κοινή πρωτοβουλία με στόχο να βοηθήσει τα θύματα των προγραμμάτων ransomware να ανακτήσουν τα κρυπτογραφημένα δεδομένα τους, χωρίς να χρειάζεται να πληρώσουν τους εγκληματίες.
- Να ελέγχετε το εγκατεστημένο λογισμικό, όχι μόνο στα τερματικά σημεία, αλλά και σε όλους τους κόμβους και τους servers του δικτύου και να το διατηρείτε ενημερωμένο.
- Να πραγματοποιείτε αξιολόγηση ασφάλειας του δικτύου ελέγχου (δηλαδή, έναν έλεγχο ασφάλειας, δοκιμές διείσδυσης, ανάλυση χάσματος) για να εντοπιστούν και να εξαλειφθούν τυχόν κενά ασφαλείας. Επανεξετάστε τους εξωτερικούς παρόχους και τις πολιτικές ασφαλείας τρίτων σε περίπτωση που έχουν άμεση πρόσβαση στο δίκτυο ελέγχου.
- Ζητήστε εξωτερική Πληροφόρηση: πληροφορίες από αξιόπιστους παρόχους βοηθούν τους οργανισμούς να προβλέψουν τις μελλοντικές επιθέσεις κατά της εταιρείας.
- Εκπαιδεύστε τους υπαλλήλους σας, με ιδιαίτερη έμφαση στο λειτουργικό και τεχνικό προσωπικό και στην ευαισθητοποίησή του για τις πρόσφατες απειλές και επιθέσεις.
- Παροχή προστασίας μέσα και έξω από την περίμετρο. Μια σωστή στρατηγική ασφάλειας πρέπει να διαθέτει σημαντικούς πόρους για την ανίχνευση επίθεσης και την απόκριση σε αυτή προκειμένου να εμποδίσει μια επίθεση πριν φτάσει σε κρίσιμης σημασίας αντικείμενα.
Για περισσότερες πληροφορίες σχετικά με τις στοχευμένες Ransomware επιθέσεις, μπορείτε να διαβάστε το blogpost στον ειδικό ιστότοπο Securelist.com.