Jak si udržet náskok před ransomwarem

Ransomware je stále oblíbeným programem kyberzločinců, kteří pomocí něj blokují obětem přístup k datům a hrozí jejich zveřejněním, pokud nebudou splněny jejich požadavky. V současné době aktéři ransomwarových hrozeb fungují téměř výhradně jako služba a dělí se o povinnosti a zisky napříč hierarchickými úrovněmi. Jak je bohužel vidět na nedávném útoku na amerického provozovatele palivového potrubí, který zaplatil výkupné ve výši pěti milionů USD, "byznys" vzkvétá. Podle nedávné analýzy centra IC3 FBI způsobil organizovaný ransomware zaměřený na americké subjekty v loňském roce rekordní škody. Celosvětově se náklady na ransomware snadno pohybují ve stovkách milionů a pravděpodobně i v miliardách.

Tým Bitdefender Labs se aktivně zabývá výzkumem ransomwaru a pomohl orgánům činným v trestním řízení zlikvidovat velké skupiny kyberzločinců, jejichž hodnota se odhaduje na stovky milionů, například GandCrab, Hansa, Sipulimarket, Wall Street Market a Silkkitie. Jen ransomwarový dekryptor GandCrab společnosti Bitdefender ušetřil obětem více než 76 milionů dolarů na výkupném.

Dvojí vydírání, dvojí škoda

Ransomware existuje v mnoha variantách - každá z nich je pravidelně nabízena jako služba konkurenčními zločineckými skupinami a skupinami národních států - a ransomwarové gangy mají tendenci se vzájemně živit, kdykoli jedna skupina učiní inovativní průlom. Dnes již neexistující skupina Maze Team byla průkopníkem techniky dvojího vydírání, která nutila oběti k placení tím, že jim před zašifrováním ukradla data, a pak hrozila jejich zveřejněním, pokud nebudou požadavky na výkupné splněny. Fungovalo to tak dobře, že v průběhu roku 2020 začali agresoři používající ransomware kmenů jako Sodinokibi, Ryuk, DopplePaymer a Egregor používat toto nové donucovací schéma k vydírání svých obětí.

Autoři Maze však pro svůj úspěch udělali ještě více. V nedávné zprávě společnosti Bitdefender vysvětlujeme, jak Maze ničil zálohy vytvořené systémem Windows, například stínové kopie svazků. Dotazem na třídu Win32_ShadowCopy WMI Maze našel stínové kopie a odstranil je. (Tato technika je uvedena v rámci MITRE ATT&CK pod označením T1490 - alias Inhibit System Recovery.)

Vzhledem k tomu, že v sázce je tolik peněz, organizace se snaží zajistit, aby se nestaly další obětí, a mnohé se obracejí na kybernetické pojištění jako na prostředek ochrany před některými dopady incidentu. Takové kybernetické pojištění však obvykle pokrývá pouze přímé škody a neřeší dopady na podnikání a pověst v důsledku ztráty dat a skutečné náklady na zaměstnance, kteří se musí zotavit.

Tento přístup se nedoporučuje. Podle Lindy Cameron, nové výkonné ředitelky britského Národního centra pro kybernetickou bezpečnost, "pojištění kybernetické bezpečnosti" může skutečně pomoci pokrýt náklady, ale nemůže nahradit lepší základní kybernetickou bezpečnost a co nejvíce ztížit útoky ransomwaru. Přinejmenším jedna významná pojišťovna kybernetické bezpečnosti nedávno uvedla, že přestane vyplácet pojistné plnění obětem ransomwaru jen proto, aby ve zjevné odvetě zjistila, že část jejích operací byla napadena ransomwarem.

Prevence je nejlepší lék

Nejlepší strategií, jak ransomwaru předejít nebo alespoň snížit jeho dopad, je pravidelné vyhodnocování bezpečnostních rizik a průběžné záplatování podpořené technologickými kontrolami.

Ransomware je velmi přizpůsobivý. Jeho tvůrci pečlivě navrhují jednotlivé moduly malwaru tak, aby se vyhnuly odhalení technologiemi kybernetické bezpečnosti. Jak však ukázala historie, i malé zpoždění při detekci může poskytnout dostatek času k tomu, aby došlo k potenciálně nevratnému zašifrování souborů. Obrana proti ransomwaru proto vyžaduje vícevrstvý přístup založený na preventivní ochraně.

Bitdefender GravityZone pro ochranu před ransomwarem

Vzhledem k tomu, že ransomwarové útoky téměř vždy zahrnují různé vektory útoku, vyžaduje dobrá strategie proti ransomwaru ostražitost na více frontách.

GravityZone je navržena tak, aby zajistila účinnou ochranu proti ransomwaru, která je založena na pochopení celého řetězce kybernetických útoků a mapování obrany odpovídající jednotlivým fázím útoku:

1. Řízení rizik a snížení plochy pro útoky

GravityZone využívá více vrstev pro zmírnění rizik, a to na úrovni systému, zařízení i uživatele. 

Patch Management pomáhá organizacím udržovat operační systémy a aplikace aktuální v celé instalační základně systému Windows, včetně stolních a přenosných pracovních stanic, fyzických serverů a virtuálních serverů.

Co se týče chybných konfigurací, nesprávně nakonfigurované systémy nechávají dveře otevřené útokům ransomwaru, včetně nastavení zabezpečení prohlížeče, nastavení sítě a pověření, nastavení zabezpečení operačního systému, jako jsou otevřené porty, nedůležité služby a povolené nástroje pro správu skriptů (např. PowerShell). GravityZone vyhledává chybné konfigurace systému a dokáže automaticky vzdáleně aktualizovat mnoho nastavení chybně nakonfigurovaných počítačů a zároveň upozornit správce, aby obnovili ostatní nastavení.

Správa rizik a analýza (Risk Management and Analytics) nepřetržitě skenuje koncové body na zranitelnosti aplikací a vydává doporučení pro stanovení priorit a nápravu. Zastaralé aplikace se známými zranitelnostmi (CVE) mohou být zneužity autory ransomwaru ke zneužití funkcí programu nebo ke stažení škodlivého obsahu z internetu. GravityZone skenuje zranitelnosti CVE a řadí zranitelnosti aplikací podle závažnosti, aby správci mohli okamžitě přijmout nápravná opatření.

Nástroj Human Risk Analytics sleduje, kde si uživatelé prohlížejí stránky, jaké soubory otevírají, k jakým umístěním souborů přistupují, jak a kde se přihlašují na rizikové webové stránky, a sleduje hygienu a opakované používání hesel, aby bylo možné rizikové chování napravit.

2. Na řadě je prevence

Ransomware se běžně šíří prostřednictvím vektorů sociálního inženýrství, jako jsou phishingové nebo spamové e-mailové odkazy a přílohy škodlivých souborů. Mnoho útoků však využívá také bezsouborové vektory (fileless attacks), což znamená, že útok probíhá v paměťovém prostoru. Bitdefender automaticky blokuje bezsouborové útoky ve fázi před spuštěním, čímž zabraňuje šifrování souborů a zachovává plný přístup k systému. GravityZone také využívá vysoce vyladěné modely strojového učení k odhalování nového a neznámého malwaru (tj. malwaru využívajícího chyby Zero Day) v několika fázích řetězce likvidace útoku. Pokročilé technologie proti zneužití navíc dokáží automaticky identifikovat a ukončit škodlivé procesy.

Na úrovni sítě používá Bitdefender behaviorální heuristiku k analýze aktivity hostitelské sítě v reálném čase a k posílení kontroly proti technikám zneužití, které mohou exfiltrovat osobní informace ze sítě. Využívá strojové učení k blokování exploitů ransomwaru, které přicházejí přes vstupní body sítě, a zastavuje škodlivou aktivitu ve fázích počátečního přístupu, přístupu k pověření, objevení a bočního přesunu útoku.

GravityZone se automaticky a nepřetržitě trénuje, aby se zlepšilo rozpoznávání malwaru pomocí jednoho z největších repozitářů vzorků v oboru, shromážděných ve "volné přírodě" z naší sítě milionů globálních senzorů. Vzhledem k tomu, že se ransomware neustále vyvíjí, bude Bitdefender pravidelně a přesně detekovat nové vzory v období před spuštěním a za běhu.

3. Když jde o čas - včasné odhalení se počítá

Průběžné monitorování pomáhá včas odhalit útok. GravityZone monitoruje běžící procesy v reálném čase - modifikace klíčů registru, čtení/zápisy souborů, šifrovací akce - a identifikuje podezřelé nebo škodlivé procesy, které mohou bezpečnostní týmy automaticky nebo ručně ukončit.

4. Prevence není 100% neprůstřelná

Ne všechny útoky lze zablokovat nebo jim zabránit a některé fáze útoku se projevují pomalu v průběhu času. Detekce a reakce na koncové body (EDR) hraje důležitou roli při zmírňování ransomwaru. automaticky koreluje více indikátorů útoku a kompromitace se škodlivou aktivitou pozorovanou v systému a v síti, což usnadňuje rychlou a přesnou reakci na incident, která zkracuje dobu pobytu útočníka a usnadňuje rychlé obnovení souborů z ransomwaru.

5. Síla záloh odolných proti neoprávněné manipulaci

Kdykoli se případný nový kmen ransomwaru pokusí zašifrovat soubory, funkce GravityZone pro zmírnění ransomwaru automaticky vytvoří zálohu cílových souborů, která bude po zablokování malwaru obnovena. Bitdefender automaticky zablokuje procesy zapojené do útoku a zahájí nápravu, přičemž zároveň informuje správce IT.

Kombinací těchto vzájemně se doplňujících technologií a metod do integrovaného přístupu chrání GravityZone organizace účinněji před známým i neznámým ransomwarem.

Boj proti ransomwaru je nepřetržitá práce a zahrnuje použití nástrojů, ale také vyhodnocení zdrojů pro rychlou a účinnou identifikaci narušení a rychlou reakci. Mnoho organizací není schopno zajistit nepřetržité pokrytí, ať už z důvodu omezeného rozpočtu, kvalifikovaného personálu nebo času. Těmto společnostem může služba řízené detekce a reakce pomoci zabránit provedení a šíření útoků ransomwaru. Služba je poskytována kombinací špičkových bezpečnostních technologií Bitdefender, kterým důvěřují organizace a dodavatelé zabezpečení po celém světě. Služby Bitdefender MDR kombinují GravityZone s nepřetržitými bezpečnostními operacemi a vyhledáváním hrozeb zkušenými bezpečnostními analytiky.

Další informace:

Školení kybernetické bezpečnosti
Co je ransomware?

Zdroj článku: Bitdefender