Ransomware este acum o amenințare pentru întreprinderi: cum poate ajuta OPSWAT

Ce este Ransomware?

În cazul improbabil în care nu ați auzit niciodată de cea mai rapidă amenințare în creștere în domeniul securității cibernetice, ransomware este un tip de malware care este instalat pe ascuns pe un sistem, blochează sau criptează datele din sistem și cere o răscumpărare pentru eliberarea sau decriptarea acestora.

Ransomware-ul a înflorit în 2016, în parte din cauza politicilor de securitate prost definite (inclusiv lipsa unor copii de rezervă regulate) de către consumatori și IMM-uri, iar în parte din cauza tacticilor ingenioase de inginerie socială folosite de infractorii cibernetici.

După cum arată acest videoclip de la Cisco, imaginea hackerului în hanorac este de mult depășită - apariția"ransomware as a service" a permis persoanelor cu abilități de programare limitate, sau chiar zero, să folosească kituri de ransomware bine împachetate pentru a lansa încărcături malware și a extorca bani de la întreprinderi neavizate. Kiturile de ransomware pot fi achiziționate pentru doar 100 de dolari pe internetul întunecat.

Întreprinderile trebuie să fie foarte îngrijorate de Ransomware

Caracterul lucrativ al modelului ransomware îl face seducător pentru infractorii cibernetici. Având în vedere profitabilitatea tot mai mare a ransomware-ului ca serviciu, ransomware-ul nu mai reprezintă o preocupare doar pentru întreprinderile mici și mijlocii și pentru consumatori.

Din nefericire, percepția generală în rândul întreprinderilor este că ransomware-ul este o problemă a consumatorilor sau a IMM-urilor și nu reprezintă un motiv de îngrijorare. Aceasta este o presupunere periculoasă din mai multe motive:

1. Adevărul este că întreprinderile sunt într-adevăr afectate de ransomware - în 2016, 40% dintre întreprinderile intervievate au fost afectate de ransomware, potrivit cercetării Malwarebytes(via ZDNet).
2. Chiar dacă modelul de securitate al organizației dvs. este matur și aveți modele bine definite de recuperare în caz de dezastru, trebuie să luați în considerare costul copiilor de rezervă incomplete, mecanismele limitate de recuperare pentru datele critice și timpul necesar pentru o recuperare completă.
3. Ransomware evoluează rapid - noile variante folosesc o abordare fără fișiere, ceea ce face mai dificilă detectarea lor de către scanerele de fișiere. Și mai deconcertant este nivelul de sofisticare din ce în ce mai ridicat al variantelor de ransomware - o variantă recentă numită Locky folosește o criptare RSA și AES extrem de puternică, criptează fișierele nu doar pe sistemul infectat, ci și pe unitățile de rețea neprotejate conectate la punctul de infectare și șterge instantaneele de umbră ale volumului. Cu alte cuvinte, anticipează acțiunile de remediere și este special concepută pentru a vă împiedica să vă restaurați fișierele prin ștergerea copiilor de umbră.

Vectorii de atac

Potrivit majorității cercetătorilor în domeniul securității cibernetice, 2016 a fost anul șantajului. Unele dintre metodele populare utilizate pentru a scăpa încărcătura utilă a programelor malware în 2016 au inclus:

E-mailuri de phishing cu atașamente sau linkuri malițioase (Locky, Torrentlocker, CTB-Locker)

O metodă de atac obișnuită în 2016 a fost următoarea: Un angajat al unei întreprinderi primește ceea ce pare a fi un e-mail legitim cu un atașament (cum ar fi o factură). Atunci când atașamentul este deschis, codificarea documentului apare distorsionată (plină de caractere de gunoi). Ar putea fi afișat un mesaj similar cu acesta: "Dacă vedeți codificarea incorectă a datelor, vă rugăm să activați macrourile". Imediat ce utilizatorul activează macrourile, ransomware-ul este descărcat și sarcina utilă este executată.

Scheme de inginerie socială

Infractorii cibernetici își dau seama că, în majoritatea întreprinderilor moderne, cea mai slabă verigă de securitate este utilizatorul. Schemele de inginerie socială presupun, de obicei, păcălirea angajaților neștiutori pentru a le oferi informații de identificare personală sau date precum parolele de sistem.

Utilizarea kiturilor de exploatare

Kiturile de exploatare sunt seturi de instrumente malware care exploatează vulnerabilități cunoscute sau necunoscute atunci când o țintă potențială vizitează un site web compromis. Aceste atacuri sunt adesea efectuate prin intermediul publicității de tip malvertising. Unul dintre cele mai cunoscute kituri de exploatare care există în prezent este kitul de exploatare Angler. Potrivit raportului de securitate de la jumătatea anului al Cisco, în 2015, Angler a reprezentat 36% din penetrarea utilizatorilor în atacurile cibernetice observate până în acel moment.

Cum puteți evita să fiți victima unui ransomware?

1. Utilizați o soluție anti-malware puternică; ideal ar fi să folosiți mai multe soluții. După cum demonstrează graficul comparativ OPSWAT, probabilitatea de a detecta un focar de malware crește exponențial odată cu puterea scanării multiple. OPSWAT's MetaDefender Core platforma de detectare și prevenire a amenințărilor utilizează peste 100 de motoare anti-malware, de igienizare a datelor, de vulnerabilități și alte motoare de securitate pentru cea mai bună protecție împotriva amenințărilor cunoscute și necunoscute. Scanarea multiplă vă ajută nu numai să îmbunătățiți semnificativ ratele de detecție, ci și să reduceți timpul de expunere la focare. În plus, API-urile MetaDefender's permit o integrare ușoară cu soluțiile existente. Citiți mai multe despre MetaDefender Core .

2. Să aibă un politică de securitate a întreprinderii bine definită care să fie aplicată la toate nivelurile organizației.

3. Înapoi, înapoi, înapoi și înapoi! Asigurați-vă că se fac în mod regulat copii de rezervă ale fișierelor și că organizația dumneavoastră are un plan bine definit de backup și de recuperare în caz de dezastru. Asigurați-vă că ați verificat în prealabil cu furnizorul dvs. costurile și timpul pentru o recuperare completă în cazul unei lovituri la o infrastructură critică.

4. Investiți într-un proxy web bun sau în gateway-uri web securizate, care adaugă un strat suplimentar de apărare și vă protejează serverele de expunerea la infecții. MetaDefender ICAP Server expune o interfață ICAP care permite administratorilor de sistem să integreze cu ușurință tehnologia de scanare multiplă și de igienizare a datelor OPSWAT într-un proxy web existent pentru scanarea anti-malware a tuturor descărcărilor și încărcărilor HTTP. Citiți mai multe despre aceasta aici.

5. Abordarea vulnerabilităților. Reducerea sau eliminarea vulnerabilităților are ca rezultat reducerea numărului de opțiuni pentru utilizatorii rău intenționați de a obține acces la informații securizate. Vulnerabilitățile nepotrivite reprezintă o problemă serioasă. Chiar dacă politica dvs. de securitate impune actualizări regulate, unii angajați s-ar putea să fie iritați de notificările constante de actualizare și să dezactiveze actualizările automate.

Cu MetaDefender Core 's Vulnerability Engine, puteți:

• Scanați sistemele pentru vulnerabilități cunoscute în repaus, fără a fi nevoie să le porniți.
• Verificați dacă software-ul prezintă vulnerabilități cunoscute înainte de a fi instalat.
• Scanați rapid sisteme întregi și aplicații în curs de execuție pentru vulnerabilități

Descărcați un instrument gratuit de evaluare a vulnerabilității pentru a obține un raport rapid privind vulnerabilitatea punctelor dvs. terminale aici.

6. Creșterea gradului de conștientizare a securității în cadrul organizației. Asigurați-vă că angajații dvs. sunt conștienți de cei mai comuni vectori de atac: phishing și inginerie socială. 7. Investiți în soluții puternice de securitate a e-mailurilor - un gateway de e-mail securizat nu este întotdeauna suficient. MetaDefender Email Security adaugă un strat de protecție mai puternic la gateway-urile securizate de e-mail existente.

7. În cazul organizațiilor care au o politică Bring Your Own Device (BYOD), asigurați-vă că utilizatorii nu instalează aplicații nesemnate sau de la terți. Investiți în soluții de mobilitate pentru întreprinderi care permit practici BYOD mai sigure, cum ar fi mediile virtuale, clasificarea datelor și soluțiile de scanare a integrității dispozitivelor.

Ce se întâmplă dacă ești deja infectat?

1. Izolați dispozitivul infectat din rețea cât mai repede posibil. Acest lucru ajută la prevenirea răspândirii ransomware-ului.
2. Verificați dacă aveți puncte de restaurare a sistemului sănătoase care pot fi utilizate pentru a recupera fișiere.
3. Dacă ați investit într-o soluție de backup și recuperare în caz de dezastru, verificați cu echipa de asistență pentru a confirma dacă datele pot fi recuperate.
4. În unele cazuri, ar putea fi posibil să vă decriptați fișierele. Iată câteva instrumente de decriptare a ransomware-ului disponibile în mod gratuit, furnizate de companiile anti-malware:
   • https://noransom.kaspersky.com/
   • https://www.avast.com/ransomware-decryption-tools
   • http://www.avg.com/us-en/ransomware-decryption-tools

O listă completă de instrumente gratuite de decriptare a ransomware pentru deblocarea fișierelor este menținută de către cei de la Windows Club. De asemenea, verificați proiectul No More Ransom pentru a verifica dacă vă puteți recupera fișierele criptate.

Ca o notă finală, OPSWAT nu recomandă plata răscumpărării. Nu există nicio garanție că, după primirea răscumpărării, atacatorii vor decripta fișierele și s-ar putea să vă expuneți unor cereri de răscumpărare suplimentare.

Pentru a afla mai multe despre modul în care OPSWAT vă poate proteja organizația de ransomware, contactați-ne astăzi.