През април 2021г. нидерландските супермаркети се сблъскват с недостиг на хранителни стоки. Причината не е суша или внезапно нараснало търсене. По-скоро причината е атака на софтуер за откуп. През последните години компании, университети, училища, лечебни заведения и други организации бяха обект на заплахи от типа ransomware, което го превърна в най-тежката криза в областта на сигурността в интернет.

Пейзажът на рансъмуера

Окупиращият софтуер съществува от повече от 30 години, но през последното десетилетие се превърна в доходоносен източник на приходи за кибергрупи и банди. От 2015г. насам бандите за рансъмуер се насочват към организации, а не към физически лица. Вследствие на това сумите за откуп се увеличиха значително, достигайки милиони долари.

Ransomware е ефективен, защото оказва натиск върху жертвите по два, взаимно допълващи се начина. Първо, като заплашва жертвите, че ще унищожи данните им. Второ, като заплашва, че ще оповести атаката. Втората заплаха има непряко въздействие, но е също толкова сериозна (ако не и по-сериозна). Публикуването може да предизвика регулаторни проблеми и проблеми със съответствието, както и негативни дългосрочни ефекти върху марката.

Ето няколко примера за реални бележки за откуп:

Рансъмуерът като услуга (RaaS) се превърна в най-разпространения вид рансъмуер. При RaaS атаките инфраструктурата за рансъмуер се разработва от киберпрестъпници и след това се предоставя на други нападатели за ползване. Атакуващите клиенти могат да платят за използването на софтуера или да си поделят плячката със създателите. Етай Маор, старши директор „Стратегия за сигурност“ в Cato Networks, коментира: „Съществуват и други форми на RaaS. След получаване на плащането за откуп някои групи за рансъмуер продават всички данни за мрежата на жертвата на други банди. Това означава, че следващата атака е много по-лесна и проста и може да бъде напълно автоматизирана, тъй като не изисква седмици на откриване и анализ на мрежата от страна на нападателите.“

Някои от основните играчи на RaaS, които са известни с това, че превърнаха пейзажа на RaaS в това, което е днес, са CryptoLocker, който зарази над четвърт милион системи през 2000г. и спечели повече от 3 млн. долара за по-малко от четири месеца, CryptoWall, който спечели над 18 млн. долара и предизвика консултация на ФБР, и накрая Petya, NotPetya и WannaCry, които използваха различни видове експлойти, включително ransomware.

Как ФБР помага в борбата с рансъмуера

Организация, която е обект на атака, със сигурност изпитва разочарование и объркване. Един от първите препоръчителни начини на действие е да се свържете с екип за реагиране при инциденти. Екипът по ПВ може да помогне при разследването, възстановяването и преговорите. След това ФБР също може да помогне.

Част от мисията на ФБР е да повишава осведомеността за ransomware. Благодарение на широката си местна и глобална мрежа те имат достъп до ценна разузнавателна информация. Тази информация може да помогне на жертвите при преговорите и при операциите. Например ФБР може да е в състояние да предостави информация за профила на даден хакер въз основа на неговия биткойн портфейл.

За да помогне на жертвите на рансъмуер и да предотврати рансъмуер, ФБР е създало 56 кибернетични работни групи в своите полеви офиси. Тези оперативни групи работят в тясно сътрудничество с IRS, Министерството на образованието, Службата на генералния инспектор, Федералната служба за защита и щатската полиция. Те са в тесен контакт и със Сикрет сървис и имат достъп до регионални криминалистични лаборатории. За киберпрестъпленията, свързани с националната сигурност, ФБР разполага със специален отряд.

Заедно с киберотряда ФБР управлява денонощно кибернаблюдение, което представлява център за наблюдение за координиране на работата на полевите служби, частния сектор и други федерални и разузнавателни агенции. Съществува и Център за оплаквания от престъпления в интернет, ic3.gov, за регистриране на оплаквания и определяне на тенденциите.

Предотвратяване на рансъмуер атаки навреме

Повечето атаки с рансъмуер не трябва изобщо да достигат до точката, в която е необходимо ФБР. По-скоро те могат да бъдат избегнати предварително. Рансъмуерът не е еднократна атака. Вместо това поредица от тактики и техники допринасят за неговото изпълнение. Чрез предварително идентифициране на уязвимостите в мрежата и сигурността, които позволяват атаката, организациите могат да блокират или ограничат способността на извършителите да разгръщат  ransomware. Етай Маор добави: „Трябва да преосмислим концепцията, че „нападателите трябва да са в готовност само веднъж, защитниците трябва да са нащрек през цялото време“. Кибератаката е комбинация от множество тактики и техники. Като такава, на нея може само да се противодейства с холистичен подход, с множество конвергирани системи за сигурност, които споделят контекст в реално време. Това е точно това, което SASE архитектурата, а не друга, предлага на защитниците“.

Например, тук са всички стъпки в атака на REvil срещу добре известен производител, начертани в рамките на MITER ATT&CK. Както можете да видите, има множество фази, които са се случили преди действителния откуп и са били от съществено значение за неговия „успех“. Чрез смекчаване на тези рискове атаката можеше да бъде предотвратена.

Ето пордобно картографиране и на атака на Sodinokobi:

Картографирана  Maze  атака към рамката MITER:

Друг начин за картографиране на рансъмуер атаки е чрез топлинни карти, които показват колко често се използват различни тактики и техники. Ето топлинна карта на атаките Maze:

Един от начините за използване на тези съпоставяния е за мрежов анализ и системно тестване. Чрез тестване на устойчивостта на системата към тези тактики и техники и чрез прилагане на контроли, които могат да смекчат всички рискове, организациите намаляват риска от атака с ransomware от определен извършител върху техните критични ресурси.

Как да избегнем атаките

Някои нападатели с ransomware са достатъчно „любезни“ да предоставят на организациите най-добри практики за защита от бъдещи атаки на ransomware. Препоръките включват:

• Изключване на локалните пароли
• Използване на сигурни пароли
• Принудително прекратяване на администраторските сесии
• Конфигуриране на групови правила
• Проверка на достъпа на привилегировани потребители
• Гарантиране, че работят само необходимите приложения
• Ограничаване на надеждността на Anti-Virus
• Инсталиране на EDR
• 24 часови системни администратори
• Осигуряване на уязвими портове
• Следете за неправилно конфигурирани защитни стени

И още…

Маор от Cato Networks подчертава: „Нищо в това, което няколко Ransomware групи казват, че организациите трябва да направят, не е ново. Тези най-добри практики се обсъждат от години. Причината, поради която все още работят, е, че се опитваме да ги прилагаме, като използваме несвързани, точкови решения. Не работи и няма да работи. Архитектурата на SASE, в облака, където всички решения за сигурност споделят контекст и имат способността да виждат потока на всяка мрежа и да получат холистичен поглед върху жизнения цикъл на атаката, може да изравни условията за игра срещу кибератаки“.

Предотвратяване на рансъмуер: Текуща дейност

Точно като миенето на зъбите или упражненията, хигиената на сигурността е постоянна, методична практика. Известно е, че нападателите с рансъмуер посещават отново местопрестъплението и искат втори откуп, ако проблемите не бъдат решени. Чрез използване на средства за контрол на сигурността, които могат ефективно да смекчат заплахите за сигурността и наличието на подходящ план за реагиране при инциденти, рисковете могат да бъдат сведени до минимум, както и деня на заплащане на нападателите. ФБР е тук, за да помогне и да предостави информация, която може да помогне, да се надяваме, че няма да е необходима помощ.