A Verizon 2020-as adatbetörési jelentése szerint a zsarolóprogramok a 3. leggyakoribb rosszindulatú támadás. Ennek legújabb bizonyítéka október 4-én történt, amikor a Universal Health Services (UHS), egy Fortune 500-as kórházi és egészségügyi szolgáltató a jelentések szerint leállította az Egyesült Államok különböző egészségügyi létesítményeinek rendszereit, miután kibertámadás érte belső hálózatát.
Bármilyen egészségügyi támadás halálos lehet, különösen a világjárvány jelenlegi helyzetét tekintve. Ez egy újabb olyan kibertámadás a közelmúltból, amely az IT infrastruktúra leállításával végződik egy zsarolóvírus-támadás miatt. Ebben az esetben az UHS néhány beteget a közeli kórházakba irányít át.
Sokan azonban nincsenek tisztában azzal, hogy a zsarolóprogram aktiválása csak a támadás utolsó szakasza. A végrehajtást megelőzően számos fázis és lehetőség van a támadás megállítására.
Nos, mi is pontosan a zsarolóvírus?
A ransomware egy olyan rosszindulatú szoftver, amelynek célja, hogy megakadályozza a számítógépes rendszerfájlok használatát váltságdíj kifizetésének követelésével. A zsarolóprogramok legtöbb változata titkosítja az érintett eszközön lévő fájlokat, elérhetetlenné teszi őket, és váltságdíjat követel a hozzáférés visszaállításáért.
A zsarolóprogramok kódja gyakran kifinomult, de nem kell annak lennie, mert a hagyományos rosszindulatú programok más formáival ellentétben általában nem kell sokáig észrevétlen maradnia ahhoz, hogy elérje célját. Ez a viszonylag könnyű megvalósítás és a nagy nyereséggel járó potenciál egyaránt vonzza a kiberbűnözés kifinomult szereplőit és a kezdő szereplőket a zsarolóvírus-kampányok lefuttatására.
"A bűnügyi fórumokon és piactereken talált zsarolóprogram-szálak 7%-ában "szolgáltatást" említettek, ami arra utal, hogy a támadóknak nem is kell, hogy maguk végezzék el a munkát." - 2020 Data Breach Investigations Report, 16. oldal.
A Ransomeware annyira népszerű, hogy olyan szolgáltatásokat lehet megvásárolni, amelyek a kiberbűnözők nevében gondoskodnak a végrehajtásról. Ilyen virágzó piac mellett a ransomeware és a ransomeware szolgáltatások várhatóan csak növekedni fognak.
Hogyan jut be a zsarolóprogram a hálózatba?
A támadók leggyakrabban úgy juttatnak el rosszindulatú fájlokat, hogy kihasználják a gyakori emberi hibákat, például az adathalász támadásokat, amikor a támadó olyan e-mailt küld, amely legitimnek tűnik, de arra ösztönzi az illetőt, hogy kattintson a linkekre vagy töltsön le egy mellékletet. A csatolt melléklet gyakran hordoz egy hasznos terhet, amely a rosszindulatú szoftvert szállítja. A támadók általában kihasználják az olyan nyílt felületeket, mint az RDP vagy a nem javított webes alkalmazások. A zsarolószoftvereket veszélyeztetett vagy rosszindulatú weboldalakon, drive-by-download támadásokon keresztül is eljuttatják. Egyes zsarolóvírus-támadásokat a közösségi médiából küldött üzenetek segítségével is elküldtek.
Általában a zsarolóvírusokat "shotgun" megközelítésben használják - amikor a támadók e-mail listákat vagy veszélyeztetett weboldalakat szereznek, és kirobbantják a zsarolóvírusokat.
Védekezés a zsarolóprogramok ellen
A rosszindulatú szoftverek megállításának több szakasza létezik a támadás életciklusa során. Az első szakasz a hálózatba való bejutás megakadályozása; a második szakasz a zsarolóvírus megállítása (feltételezve, hogy nem autonóm) a parancsnoki és vezérlő (C2) szerverrel való kommunikáció megakadályozása; a harmadik szakasz a végrehajtás megkezdése után azonnal, a hálózaton belüli oldalirányú mozgás előtt történő megállítása.
Az első szakasz - a rosszindulatú programok hálózatba jutásának megakadályozása - a legfontosabb. A támadók általában adathalász technikákat próbálnak alkalmazni, vagy kihasználják a nem biztonságos távoli hozzáférési kapcsolatokat, például a rosszul konfigurált RDP-kapcsolatokat, illetve a vállalati irányelveknek nem megfelelő végpontokon keresztül. Ezek az eszközök lehetővé tehetik a zsarolóprogram számára, hogy a hálózati szervezetbe való bekapcsolódást malacperselyként használják.
A második lépés - a rosszindulatú szoftverek C2-vel való kommunikációjának megakadályozása - általában tűzfal és hálózati alapú észlelőrendszer bevezetésével történik, amely a hálózati jeleket keresi.
A harmadik szakasz - a Ransomware aktiválódásának és hálózaton belüli terjedésének megakadályozása - ezen a ponton sokkal bonyolultabb és erőforrás-igényesebb.
OPSWAT megelőző megoldásokat kínál, hogy Ön megvédhesse magát a támadásoktól. Megoldásaink segítik a szervezeteket abban, hogy megakadályozzák a rosszindulatú szoftverek hálózatba jutását, például az e-mail átjáró biztonsági megoldással az adathalászat megállítására, a biztonságos hozzáférési megoldással a jogszabályi megfelelőség érvényesítésére, valamint a
file upload security that performs Deep CDR™ Technology (Content Disarm and Reconstruction) using MetaDefender Core. These are just some of the many products which OPWAST offers to help keep critical infrastructures networks secure from ransomware. For more information, contact us today.
Hivatkozások
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
