A zsarolóvírus most már vállalati fenyegetés: hogyan segíthet az OPSWAT

Mi a Ransomware?

Abban a valószínűtlen esetben, ha még nem hallott volna a kiberbiztonság leggyorsabban növekvő fenyegetéséről, a zsarolóprogramok olyan típusú rosszindulatú szoftverek, amelyeket titokban telepítenek egy rendszerre, zárolják vagy titkosítják a benne lévő adatokat, és váltságdíjat követelnek az adatok felszabadításáért vagy visszafejtéséért.

A zsarolóvírusok 2016-ban virágzásnak indultak, részben a fogyasztók és a kkv-k által rosszul meghatározott biztonsági irányelvek (beleértve a rendszeres biztonsági mentések hiányát), részben pedig a kiberbűnözők által alkalmazott zseniális social engineering taktikák miatt.

Ahogy ez a Cisco által készített videó is mutatja, a kapucnis hacker képe már rég elavult - a"zsarolóvírus mint szolgáltatás" megjelenése lehetővé tette, hogy a korlátozott, vagy akár nulla programozói készséggel rendelkező emberek szépen csomagolt zsarolóvírus-készleteket használhassanak a rosszindulatú programok terjesztésére és az óvatlan vállalkozások pénzének kicsikarására. A ransomware-készleteket akár 100 dollárért is meg lehet vásárolni a sötét weben.

A vállalkozásoknak nagyon kell aggódniuk a Ransomware miatt

A zsarolóvírus-modell jövedelmező jellege miatt csábító a kiberbűnözők számára. A szolgáltatásként nyújtott zsarolóvírusok növekvő jövedelmezőségével a zsarolóvírusok már nem csak a kis- és középvállalkozások és a fogyasztók számára jelentenek gondot.

Sajnos a vállalatok körében még mindig az az általános felfogás uralkodik, hogy a zsarolóvírusok fogyasztói vagy kis- és középvállalati probléma, és nem igazán adnak okot aggodalomra. Ez több okból is veszélyes feltételezés:

1. Tény, hogy a vállalatokat valóban érintik a zsarolóvírusok - 2016-ban a Malwarebytes kutatása szerint a megkérdezett vállalatok 40%-át érte ez a probléma(a ZDNet-en keresztül).
2. Még ha a szervezet biztonsági modellje kiforrott is, és jól meghatározott katasztrófa utáni helyreállítási modellekkel rendelkezik, akkor is figyelembe kell vennie a hiányos biztonsági mentések költségeit, a kritikus fontosságú adatok korlátozott helyreállítási mechanizmusait és a teljes helyreállítás időigényét.
3. A zsarolóvírusok gyorsan fejlődnek - az új változatok fájl nélküli megközelítést alkalmaznak, ami megnehezíti a fájlellenőrzések számára a felismerésüket. Még nyugtalanítóbb a zsarolóvírusváltozatok egyre kifinomultabbá válása - a Locky nevű legújabb változat rendkívül erős RSA és AES titkosítást alkalmaz, nemcsak a fertőzött rendszerben lévő fájlokat titkosítja, hanem a fertőzés helyéhez kapcsolódó, nem feltérképezett hálózati meghajtókat is, és törli a kötet árnyékképeit. Más szóval, előre látja a helyreállító intézkedéseket, és kifejezetten úgy tervezték, hogy az árnyékmásolatok törlésével megakadályozza a fájlok helyreállítását.

Támadási vektorok

2016 a legtöbb kiberbiztonsági kutató szerint a zsarolás éve volt. A 2016-ban a rosszindulatú programok hasznos terhének leadására alkalmazott népszerű módszerek közé tartozott többek között:

Célzott adathalász e-mailek rosszindulatú mellékletekkel vagy linkekkel (Locky, Torrentlocker, CTB-Locker)

Egy gyakori támadási módszer 2016-ban a következő volt: Egy vállalati alkalmazott legitimnek tűnő e-mailt kap egy csatolmányt (például egy számlát). A melléklet megnyitásakor a dokumentum kódolása zavarosnak tűnik (tele van szemét karakterekkel). Egy ehhez hasonló üzenet jelenhet meg: "Ha helytelen adatkódolást lát, kérjük, engedélyezze a makrókat". Amint a felhasználó engedélyezi a makrókat, a zsarolóprogram letöltődik és a hasznos teher végrehajtódik.

Social Engineering rendszerek

A kiberbűnözők felismerik, hogy a legtöbb modern vállalkozásban a leggyengébb biztonsági láncszem a felhasználó. A social engineering sémák jellemzően a gyanútlan alkalmazottak megtévesztését foglalják magukban, hogy átadják a PII-t vagy olyan adatokat, mint például a rendszer jelszavai.

Exploit Kitek használata

Az Exploit-készletek olyan rosszindulatú programkészletek, amelyek ismert vagy ismeretlen sebezhetőségeket használnak ki, amikor a potenciális célpont meglátogat egy veszélyeztetett webhelyet. Ezeket a támadásokat gyakran malvertisingon keresztül hajtják végre. Az egyik leghírhedtebb, ma létező exploit kit az Angler exploit kit. A Cisco Midyear Security Report szerint 2015-ben az Angler az addig megfigyelt kibertámadásokban a felhasználói penetráció 36%-át tette ki.

Hogyan kerülheti el, hogy zsarolóvírus áldozatává váljon?

1. Használjon erős kártevőirtó megoldást; ideális esetben használjon több megoldást. Ahogy az OPSWAT összehasonlító táblázata is mutatja, a többszörös szkenneléssel exponenciálisan nő a rosszindulatú programok elkapásának valószínűsége. OPSWAT's MetaDefender Core fenyegetésfelismerő és -megelőző platformja több mint 100 rosszindulatú szoftver elleni, adatszanálási, sebezhetőségi és egyéb biztonsági motort használ, hogy a legjobb védelmet nyújtsa az ismert és ismeretlen fenyegetések ellen. A többszörös szkenneléssel nemcsak a felismerési arányt javíthatja jelentősen, hanem a járványkitettség idejét is csökkentheti. Emellett a MetaDefender's API-k lehetővé teszik a meglévő megoldásokkal való egyszerű integrációt. További információ a MetaDefender Core .

2. Van egy jól meghatározott vállalati biztonsági politika amelyet a szervezet minden szintjén érvényesítenek.

3. Vissza, vissza és vissza! Gondoskodjon arról, hogy a fájlokat rendszeresen mentse, és hogy szervezetének legyen egy jól meghatározott biztonsági mentési és katasztrófa utáni helyreállítási terve. Feltétlenül tájékozódjon előzetesen a szolgáltatójánál a teljes helyreállítás költségeiről és idejéről egy kritikus infrastruktúrát ért támadás esetén.

4. Fektessen be egy jó webes proxyba vagy biztonságos webes átjárókba, amelyek egy további védelmi réteget adnak hozzá, és megvédik szervereit a fertőzésnek való kitettségtől. MetaDefender ICAP Server egy ICAP felületet tesz közzé, amely lehetővé teszi a rendszergazdák számára, hogy az OPSWAT's multi-szkennelési és adatszanálási technológiáját könnyen integrálják egy meglévő webes proxyba a rosszindulatú szoftverek elleni szkenneléshez az összes HTTP letöltés és feltöltés esetében. Bővebben itt olvashat róla.

5. A sebezhetőségek kezelése. A sebezhetőségek csökkentése vagy kiküszöbölése kevesebb lehetőséget biztosít a rosszindulatú felhasználók számára, hogy hozzáférjenek a biztonságos információkhoz. A javítatlan sebezhetőségek komoly problémát jelentenek. Még ha a biztonsági szabályzat rendszeres frissítéseket is ír elő, egyes alkalmazottakat irritálhatnak az állandó frissítési értesítések, és kikapcsolhatják az automatikus frissítéseket.

A MetaDefender Core's Vulnerability Engine segítségével:

• Nyugalmi állapotban lévő rendszerek vizsgálata ismert sebezhetőségek után, anélkül, hogy be kellene kapcsolni őket.
• Ellenőrizze a szoftvert ismert sebezhetőségek szempontjából, mielőtt telepíti azt.
• Teljes rendszerek és futó alkalmazások gyors ellenőrzése sebezhetőségek szempontjából

Töltse le az ingyenes sebezhetőségi értékelő eszközt, hogy gyors jelentést kapjon a végpontok sebezhetőségéről itt.

6. A biztonságtudatosság növelése a szervezeten belül. Biztosítsa, hogy alkalmazottai tisztában legyenek a leggyakoribb támadási vektorokkal: az adathalászattal és a social engineeringgel. Fektessen be hatékony e-mail biztonsági megoldásokba - egy biztonságos e-mail átjáró nem mindig elég. MetaDefender Email Security erősebb védelmi réteget ad a meglévő biztonságos e-mail átjárókhoz.

7. A saját eszközt (BYOD) használó szervezetek esetében biztosítsa, hogy a felhasználók ne telepítsenek alá nem írt vagy harmadik féltől származó alkalmazásokat. Fektessen be olyan vállalati mobilitási megoldásokba, amelyek lehetővé teszik a biztonságosabb BYOD-gyakorlatokat, például virtuális környezetek, adatosztályozás és eszközintegritás-ellenőrző megoldások.

Mi van, ha már fertőzött vagy?

1. A lehető leggyorsabban különítse el a fertőzött eszközt a hálózattól. Ez segít megelőzni a zsarolóprogram terjedését.
2. Ellenőrizze, hogy vannak-e egészséges rendszer-visszaállítási pontjai, amelyek felhasználhatók a fájlok visszakeresésére.
3. Ha biztonsági mentési és katasztrófa-helyreállítási megoldásba fektetett be, ellenőrizze a támogatási csapatával, hogy az adatok helyreállíthatók-e.
4. Bizonyos esetekben lehetséges lehet a fájlok visszafejtése. Íme néhány szabadon elérhető zsarolóvírus visszafejtő eszköz, amelyet a malware-ellenes cégek biztosítanak:
   • https://noransom.kaspersky.com/
   • https://www.avast.com/ransomware-decryption-tools
   • http://www.avg.com/us-en/ransomware-decryption-tools

A fájlok feloldására szolgáló ingyenes zsarolóprogram-dekódoló eszközök teljes listáját a Windows Club jó emberei tartják fenn. A No More Ransom projektet is megnézheti, hogy megállapítsa, vissza tudja-e állítani a titkosított fájlokat.

az OPSWAT nem javasolja a váltságdíj kifizetését. Nincs garancia arra, hogy a váltságdíj kézhezvétele után a támadók visszafejtik a fájlokat, és további váltságdíjköveteléseknek is kiteheti magát.

Ha többet szeretne megtudni arról, hogy az OPSWAT hogyan védheti meg szervezetét a zsarolóprogramoktól, lépjen kapcsolatba velünk még ma.