Conform raportului Verizon Data Breach Report 2020, ransomware este al treilea cel mai frecvent atac malware. O dovadă recentă în acest sens s-a întâmplat pe 4 octombrie, când Universal Health Services (UHS), un furnizor de spitale și de servicii medicale din Fortune 500, a raportat că a oprit sistemele din diferite unități medicale din SUA după ce un atac cibernetic i-a afectat rețeaua internă.
Un atac de orice fel asupra sistemului de sănătate poate fi letal, mai ales având în vedere starea actuală a pandemiei. Acesta este un alt atac cibernetic recent care se încheie cu închiderea infrastructurii IT din cauza unui atac ransomware. În acest caz, UHS redirecționează unii pacienți către spitale din apropiere.
Cu toate acestea, mulți oameni nu sunt conștienți de faptul că activarea ransomware-ului este doar etapa finală a unui atac. Înainte de execuție, există multe faze și oportunități de a opri atacul.
Ei bine, ce este mai exact ransomware?
Ransomware este un software malițios conceput pentru a împiedica utilizarea fișierelor din sistemul informatic, cerând plata unei răscumpărări. Majoritatea variantelor de ransomware criptează fișierele de pe dispozitivul afectat, făcându-le indisponibile și cerând plata unei răscumpărări pentru a restabili accesul la acestea.
Codul ransomware este adesea sofisticat, dar nu trebuie să fie, deoarece, spre deosebire de alte forme de malware convențional, nu are nevoie să rămână nedetectat pentru o perioadă lungă de timp pentru a-și atinge ținta. Această relativă ușurință de implementare față de potențialul de profit ridicat, atrage atât actorii sofisticați din domeniul criminalității informatice, cât și actorii începători să desfășoare campanii de ransomware.
"În 7% din discuțiile despre ransomware găsite pe forumurile și piețele criminale, a fost menționat "serviciul", sugerând că atacatorii nici măcar nu trebuie să fie capabili să facă ei înșiși treaba." - Raportul 2020 Data Breach Investigations Report, p. 16.
Ransomeware-ul este atât de popular încât există servicii pe care le puteți achiziționa și care se ocupă de implementare în numele criminalului cibernetic. Cu o piață atât de înfloritoare, se așteaptă ca ransomeware și serviciile de ransomeware să crească.
Cum își găsește ransomware-ul calea spre rețea?
Cea mai frecventă metodă prin care un atacator poate livra fișiere malițioase este exploatarea erorilor umane comune, cum ar fi atacurile de phishing, în care atacatorul trimite un e-mail care pare legitim, dar care încurajează persoana să dea clic pe link-uri sau să descarce un atașament. Atașamentul atașat poartă adesea o încărcătură utilă care livrează software-ul rău intenționat. Atacatorii tind să exploateze interfețe expuse, cum ar fi RDP sau aplicații web neprotejate. Ransomware este, de asemenea, livrat pe site-uri web compromise sau rău intenționate, prin intermediul atacurilor de tip drive-by-download. Unele atacuri ransomware au fost trimise, de asemenea, prin intermediul mesageriei din social media.
De obicei, ransomware-ul este folosit în cadrul abordării "shotgun" - în care atacatorii obțin liste de e-mailuri sau site-uri web compromise și lansează ransomware.
Protejați-vă împotriva ransomware
În timpul ciclului de viață al atacului, există mai multe etape pentru a opri programele malware. Prima etapă este împiedicarea intrării în rețea; a doua etapă pentru oprirea ransomware-ului (presupunând că nu este autonom) va fi împiedicarea comunicării acestuia cu serverul de comandă și control (C2); a treia etapă va fi oprirea acestuia imediat după ce a început să se execute și înainte de a se deplasa lateral în rețea.
Prima etapă - împiedicarea pătrunderii programelor malware în rețea - este cea mai importantă. De obicei, atacatorii vor încerca să folosească tehnici de phishing sau să profite de conexiunile de acces la distanță nesecurizate, cum ar fi conexiunile RDP configurate greșit și prin intermediul unor puncte finale care nu respectă politica companiei. Aceste dispozitive pot permite ransomware-ului să se suprapună pe baza conexiunii în rețeaua organizației.
A doua etapă - împiedicarea malware-ului de a comunica cu un C2 - se realizează, de obicei, prin implementarea unui firewall și a unui sistem de detectare bazat pe rețea pentru a căuta semnături de rețea.
Cea de-a treia etapă - oprirea activării și extinderii Ransomware-ului în rețea - este în acest moment mult mai complicată și consumatoare de resurse.
OPSWAT oferă soluții preventive pentru a vă putea apăra împotriva atacurilor. Soluțiile noastre ajută organizațiile să prevină pătrunderea malware-ului în rețele, cum ar fi soluția de securitate pentru gateway-ul de e-mail pentru a opri phishing-ul, soluția de acces securizat pentru a ajuta la validarea conformității și
securitatea încărcării fișierelor care efectuează Deep CDR (Content Disarm and Reconstruction) folosind MetaDefender Core. Acestea sunt doar câteva dintre numeroasele produse pe care OPWAST le oferă pentru a ajuta la menținerea rețelelor infrastructurilor critice în siguranță împotriva ransomware. Pentru mai multe informații, contactați-ne astăzi.
Referințe
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
