A Verizon 2020-as adatbetörési jelentése szerint a zsarolóprogramok a 3. leggyakoribb rosszindulatú támadás. Ennek legújabb bizonyítéka október 4-én történt, amikor a Universal Health Services (UHS), egy Fortune 500-as kórházi és egészségügyi szolgáltató a jelentések szerint leállította az Egyesült Államok különböző egészségügyi létesítményeinek rendszereit, miután kibertámadás érte belső hálózatát.
Bármilyen egészségügyi támadás halálos lehet, különösen a világjárvány jelenlegi helyzetét tekintve. Ez egy újabb olyan kibertámadás a közelmúltból, amely az IT infrastruktúra leállításával végződik egy zsarolóvírus-támadás miatt. Ebben az esetben az UHS néhány beteget a közeli kórházakba irányít át.
Sokan azonban nincsenek tisztában azzal, hogy a zsarolóprogram aktiválása csak a támadás utolsó szakasza. A végrehajtást megelőzően számos fázis és lehetőség van a támadás megállítására.
Nos, mi is pontosan a zsarolóvírus?
A ransomware egy olyan rosszindulatú szoftver, amelynek célja, hogy megakadályozza a számítógépes rendszerfájlok használatát váltságdíj kifizetésének követelésével. A zsarolóprogramok legtöbb változata titkosítja az érintett eszközön lévő fájlokat, elérhetetlenné teszi őket, és váltságdíjat követel a hozzáférés visszaállításáért.
A zsarolóprogramok kódja gyakran kifinomult, de nem kell annak lennie, mert a hagyományos rosszindulatú programok más formáival ellentétben általában nem kell sokáig észrevétlen maradnia ahhoz, hogy elérje célját. Ez a viszonylag könnyű megvalósítás és a nagy nyereséggel járó potenciál egyaránt vonzza a kiberbűnözés kifinomult szereplőit és a kezdő szereplőket a zsarolóvírus-kampányok lefuttatására.
"A bűnügyi fórumokon és piactereken talált zsarolóprogram-szálak 7%-ában "szolgáltatást" említettek, ami arra utal, hogy a támadóknak nem is kell, hogy maguk végezzék el a munkát." - 2020 Data Breach Investigations Report, 16. oldal.
A Ransomeware annyira népszerű, hogy olyan szolgáltatásokat lehet megvásárolni, amelyek a kiberbűnözők nevében gondoskodnak a végrehajtásról. Ilyen virágzó piac mellett a ransomeware és a ransomeware szolgáltatások várhatóan csak növekedni fognak.
Hogyan jut be a zsarolóprogram a hálózatba?
A támadók leggyakrabban úgy juttatnak el rosszindulatú fájlokat, hogy kihasználják a gyakori emberi hibákat, például az adathalász támadásokat, amikor a támadó olyan e-mailt küld, amely legitimnek tűnik, de arra ösztönzi az illetőt, hogy kattintson a linkekre vagy töltsön le egy mellékletet. A csatolt melléklet gyakran hordoz egy hasznos terhet, amely a rosszindulatú szoftvert szállítja. A támadók általában kihasználják az olyan nyílt felületeket, mint az RDP vagy a nem javított webes alkalmazások. A zsarolószoftvereket veszélyeztetett vagy rosszindulatú weboldalakon, drive-by-download támadásokon keresztül is eljuttatják. Egyes zsarolóvírus-támadásokat a közösségi médiából küldött üzenetek segítségével is elküldtek.
Általában a zsarolóvírusokat "shotgun" megközelítésben használják - amikor a támadók e-mail listákat vagy veszélyeztetett weboldalakat szereznek, és kirobbantják a zsarolóvírusokat.
Védekezés a zsarolóprogramok ellen
A rosszindulatú szoftverek megállításának több szakasza létezik a támadás életciklusa során. Az első szakasz a hálózatba való bejutás megakadályozása; a második szakasz a zsarolóvírus megállítása (feltételezve, hogy nem autonóm) a parancsnoki és vezérlő (C2) szerverrel való kommunikáció megakadályozása; a harmadik szakasz a végrehajtás megkezdése után azonnal, a hálózaton belüli oldalirányú mozgás előtt történő megállítása.
Az első szakasz - a rosszindulatú programok hálózatba jutásának megakadályozása - a legfontosabb. A támadók általában adathalász technikákat próbálnak alkalmazni, vagy kihasználják a nem biztonságos távoli hozzáférési kapcsolatokat, például a rosszul konfigurált RDP-kapcsolatokat, illetve a vállalati irányelveknek nem megfelelő végpontokon keresztül. Ezek az eszközök lehetővé tehetik a zsarolóprogram számára, hogy a hálózati szervezetbe való bekapcsolódást malacperselyként használják.
A második lépés - a rosszindulatú szoftverek C2-vel való kommunikációjának megakadályozása - általában tűzfal és hálózati alapú észlelőrendszer bevezetésével történik, amely a hálózati jeleket keresi.
A harmadik szakasz - a Ransomware aktiválódásának és hálózaton belüli terjedésének megakadályozása - ezen a ponton sokkal bonyolultabb és erőforrás-igényesebb.
OPSWAT megelőző megoldásokat kínál, hogy Ön megvédhesse magát a támadásoktól. Megoldásaink segítik a szervezeteket abban, hogy megakadályozzák a rosszindulatú szoftverek hálózatba jutását, például az e-mail átjáró biztonsági megoldással az adathalászat megállítására, a biztonságos hozzáférési megoldással a jogszabályi megfelelőség érvényesítésére, valamint a
fájlfeltöltés biztonsága, amely a Deep CDR (Content Disarm and Reconstruction) MetaDefender Core. Ez csak néhány a sok termék közül, amelyet az OPWAST kínál, hogy segítsen a kritikus infrastruktúrák hálózatainak védelmében a zsarolóprogramoktól. További információért még ma lépjen kapcsolatba velünk.
Hivatkozások
https://enterprise.verizon.com/resources/reports/dbir/
https://www.blackfog.com/the-state-of-ransomware-in-2020/
https://www.microsoft.com/en-us/download/details.aspx?id=101738
