Cum se poate apăra împotriva ransomware-ului

Știm cu toții că ransomware-ul este una dintre cele mai distructive variante de malware. Vorbești despre a face clic pe link-ul greșit și de a dispărea ca datele organizației tale să fie dispărute într-o mlaștină de criptă criptată sau chiar sistemele de operare ale serverului (sisteme de operare) și alte fișiere critice pur și simplu dispărând într-o zi. Puteți plăti răscumpărarea, dar acest lucru poate fi nu numai scump, dar, de asemenea, nu are nicio garanție că cei răi vă vor da datele înapoi.

Când ești lovit, alegerile tale sunt sumbre: speră că poți restabili sistemele în funcțiune folosind backup-uri bazate pe cloud sau plătești răscumpărarea și speră că cheia de decriptare funcționează. Dar asta doar dacă ești lovit. O mai bună alegere este să nu vă lăsați fișierele criptate în primul rând sau, în cazul în care unele fișiere sunt lovite, atunci atacul să nu se răspândească. Cheia este să îmbunătățiți jocul de securitate al companiei dvs. pentru a nu fi atacat.

Cum să evitați un atac Ransomware

Primul pas este ceea ce Israel Barak, directorul de securitate a informațiilor (CISO) al dezvoltatorului de software de detecție și reacție finală Cybereason numește „IT și igienă de securitate”. Aceasta înseamnă evitarea vulnerabilităților și filtrarea e-mailului și a traficului web. Înseamnă, de asemenea, furnizarea de instruire pentru utilizatori și asigurarea faptului că petetele pentru sistemul de operare, aplicațiile și produsele de securitate sunt complet actualizate.

Al doilea pas constă în continuarea activității și strategia de recuperare. Acest lucru înseamnă de fapt a face un plan pentru când lucrurile merg prost în loc să sperăm că nu vor. Barak a spus că aceasta include copiile de rezervă în loc și testate, știind cum veți recupera serviciile afectate, știind de unde veți primi resurse de calcul pentru recuperare și știind că planul dvs. complet de recuperare va funcționa, deoarece efectiv ați testat-o

Al treilea pas este să aveți o protecție anti-malware în loc. Barak a spus că aceasta include protejarea împotriva malware-ului care intră în rețeaua dvs. și protecția împotriva executării de malware în timpul instalării dvs. Din fericire, majoritatea programelor malware sunt destul de ușor de reperat, deoarece autorii de malware împărtășesc frecvent rutine de succes.

De ce Ransomware-ul este diferit

Din păcate, ransomware-ul nu este ca alte malware. Barak a spus că, deoarece ransomware-ul este rezident doar pe un computer, nu este greu de evitat detectarea înainte de a finaliza criptarea și a trimis mesajul ransomware. În plus, spre deosebire de alte tipuri de malware, malware-ul care efectuează efectiv criptarea fișierelor poate ajunge pe calculatoarele victimei doar câteva momente înainte de începerea criptării.

Două tipuri de malware relativ recente - Ryuk și SamSam - intră în sistemele dvs. sub îndrumarea unui operator uman. În cazul Ryuk, acel operator se află probabil în Coreea de Nord, și cu SamSam, în Iran. În fiecare caz, atacul începe cu găsirea acredităților care permit intrarea în sistem. Odată ajuns acolo, operatorul examinează conținutul sistemului, decide ce fișiere să cripteze, ridică privilegiile, caută și dezactivează software anti-malware și link-uri către backup-uri care să fie, de asemenea, criptate sau, în unele cazuri, dezactivează backup-urile. Apoi, după câteva luni de pregătire, malware-ul de criptare este încărcat și lansat; s-ar putea să-și termine treaba în câteva minute - mult prea repede pentru ca un operator uman să intervină.

„În SamSam, ei nu au folosit phishing-ul convențional”, a explicat Carlos Solari, vicepreședintele dezvoltatorului de soluții de cibersecuritate Comodo Cybersecurity și fostul CIO al Casei Albe. "Au folosit site-uri web și au furat datele de acreditare ale oamenilor și au folosit forța brută pentru a obține parolele."

Solari a spus că aceste intruziuni nu sunt frecvent detectate, deoarece nu există niciun malware implicat până la final. Dar el a spus că, făcute corect, există modalități de a opri atacul în acest moment. De obicei, a spus el, infractorii vor merge după serviciile de director pentru rețea și îi vor ataca pentru a putea obține privilegiile la nivel administrativ necesare pentru organizarea lor pentru atac. În acest moment, un sistem de detectare a intruziunilor (IDS) poate detecta modificările și, dacă operatorii de rețea știu ce să caute, atunci pot bloca sistemul în jos și pot da afară intrusilor.

„Dacă sunt atenți, atunci își vor da seama că cineva este pe dinăuntru”, a spus Solari. "Este important să găsiți informații despre amenințări interne și externe. Căutați anomalii în sistem."

Cum să te protejezi

Pentru companiile mai mici, Solari sugerează că companiile vor găsi un Centru de operațiuni de securitate (RET) de detecție și răspuns (MDR) gestionat ca serviciu. El a adăugat că este posibil ca companiile mai mari să dorească să găsească un Furnizor de servicii de securitate gestionate (MSSP). Oricare dintre soluții va face posibilă urmărirea evenimentelor de securitate, inclusiv punerea în scenă înaintea unui atac major ransomware.

Pe lângă monitorizarea rețelei dvs., este important să vă faceți rețeaua, astfel încât să fie cât mai inospitabil pentru infractori. Potrivit lui Adam Kujawa, directorul Malwarebyte Labs, un pas esențial este segmentarea rețelei tale, astfel încât un intrus să nu poată trece pur și simplu prin rețeaua ta și să aibă acces la orice. "Nu ar trebui să vă păstrați toate datele în același loc", a spus Kujawa. "Ai nevoie de un nivel de securitate mai profund."

Dar, dacă se dovedește că nu ați detectat etapele invazive înainte de atacul ransomware, atunci există un alt strat sau răspuns, care este detectarea comportamentului malware-ului atunci când începe criptarea fișierelor.

„Ceea ce am adăugat este un mecanism comportamental care se bazează pe un comportament tipic ransomware-ului”, explică Barak. El a spus că un astfel de software urmărește ce ar putea face ransomware-ul, cum ar fi criptarea fișierelor sau ștergerea copiilor de siguranță, iar apoi se ia măsuri pentru a omorî procesul înainte de a putea face vreun prejudiciu. „Este mai eficient împotriva tulpinilor de ransomware care nu s-au mai văzut niciodată.”

Avertismente timpurii și protecții

Pentru a furniza o formă de avertizare timpurie, Barak a spus că Cybereasonul face un alt pas. „Ceea ce am făcut este să folosim un mecanism de excepție”, a spus el. "Când software-ul Cybereason continuă, creează o serie de fișiere de bază care sunt poziționate în folderele de pe hard disk, care ar face ca ransomware-ul să încerce să le cripteze mai întâi." El a spus că modificările la aceste fișiere sunt detectate imediat, Apoi, software-ul Cybereason sau un software similar de la Malwarebytes va încheia procesul și, în multe cazuri, va contine malware-ul, astfel încât să nu poată face alte daune.

Deci, există mai multe niveluri de apărare care pot preveni un atac de ransomware și, dacă le aveți pe toate funcționale și la locul lor, atunci un atac de succes ar trebui să urmeze o serie de eșecuri pentru a se întâmpla. Și puteți opri acele atacuri oriunde de-a lungul lanțului.

Ar trebui să plătiți Ransomul?

Dar să presupunem că decideți că doriți să plătiți răscumpărarea și să restaurați operațiunile imediat? "Pentru unele organizații, este o opțiune viabilă", a spus Barak.

Ar trebui să evaluați costul întreruperii afacerii pentru a stabili dacă costul reintrării în funcțiune este mai bun decât costul restaurării, toate lucrurile avute în vedere. Barak a spus că, pentru atacurile cu ransomware-ul de afaceri, „în majoritatea cazurilor, primiți fișierele înapoi”.

Dar Barak a spus că, dacă plata răscumpărării este o posibilitate, atunci ai alte considerente. "Cum ne pregătim în avans pentru a avea mecanismul de negociere a costurilor de recuperare a serviciilor? Cum le plătim? Cum formăm mecanismul pentru a intermedia acel tip de plată?"

Potrivit lui Barak, aproape fiecare atac ransomware include un mijloc de comunicare cu atacatorul, iar majoritatea întreprinderilor încearcă să negocieze un acord pentru care atacanții ransomware sunt de obicei deschisi. De exemplu, puteți decide că aveți nevoie doar de o parte din mașinile care au fost criptate și de a negocia doar pentru returnarea acestor mașini.

• Cea mai bună protecție Ransomware pentru 2019 Cea mai bună protecție Ransomware pentru 2019
• Hackerii SamSam Ransomware se acumulează în 5, 9 milioane de dolari Hackerii SamSam Ransomware se acumulează în 5, 9 milioane de dolari
• 2 iranieni în spatele atacurilor SamSam Ransomware, revendicări din SUA 2 iranieni în spatele atacurilor SamSam Ransomware, revendicări din SUA

"Planul trebuie pus în aplicare înainte de timp. Cum veți răspunde, cine va comunica, cum veți plăti răscumpărarea?" A spus Barak.

În timp ce plata este o opțiune viabilă, pentru majoritatea organizațiilor, aceasta rămâne o opțiune pentru ultimul șanț, nu un răspuns direct. Există multe variabile pe care nu le poți controla în acel scenariu, în plus, după ce ai plătit o singură dată, nu poți garanta niciodată că nu vei fi atacat pentru mai mulți bani în viitor. Un plan mai bun este să folosești o apărare solidă, care este suficient de dificilă pentru a devia majoritatea atacurilor malware și pentru a învinge pe puținii care reușesc. Dar orice ai decide, nu uita că, practic, fiecare soluție necesită să vă sprijiniți religios. Fă-o acum, fă-o des și testează des, de asemenea, pentru a te asigura că lucrurile vor funcționa fără probleme.