Strona główna / Bezpieczeństwo / Jak walczyć z ransomware’em? Analizując jego zachowanie
wtorek 24 grudzień 2019 | Robert Kamiński
Jak walczyć z ransomware’em? Analizując jego zachowanie
W jaki sposób atakuje oprogramowanie ransomware? Na to pytanie odpowiedzieli eksperci Sophos, globalnego lidera w zakresie cyberbezpieczeństwa, którzy podzielili się nowym poradnikiem pt. „How Ransomware Attacks”.

Materiał, dostępny bezpłatnie w sieci, jest uzupełnieniem 2020 Threat Report, w którym poruszono zagadnienia dotyczące zagrożeń w cyberprzestrzeni, przed którymi specjaliści IT będą musieli się bronić w 2020 roku.

Poradnik SophosLabs jest źródłem szczegółowych informacji na temat najbardziej rozpowszechnionych typów ransomware, takich jak WannaCry, BitPaymer czy MegaCortex. Materiał pokazuje, w jaki sposób złośliwe oprogramowanie próbuje niezauważenie przemknąć przez zabezpieczenia poprzez wykorzystywanie zaufanych procesów, a następnie atakuje wewnętrzne systemy i zmusza je do zaszyfrowania jak największej liczby plików. W międzyczasie wyłączane są również procesy tworzenia kopii zapasowych oraz odzyskiwania danych. Wszystko dzieje się szybko – aby wyrządzić jak największe szkody, zanim zespół ds. bezpieczeństwa IT zorientuje się w sytuacji.

Narzędzia i techniki opisane w poradniku to m.in.:

  •  Główne kanały dystrybucji najpowszechniejszych rodzajów ransomware – złośliwe oprogramowanie tego typu zwykle jest dystrybuowane na trzy sposoby: kryptorobaki (np. WannaCry), Ransomware-as-a-Service (RaaS) (np. Sodinokibi) lub zautomatyzowane aktywne ataki (najpopularniejsza metoda wśród ransomware’ów).
  • Oprogramowanie ransomware specjalizujące się w cyfrowych podpisach, wykorzystujące kupione lub skradzione certyfikaty tożsamości. W ten sposób złośliwe pliki usiłują przekonać zabezpieczenia danego systemu, że można im ufać, a ich kod nie wymaga bardziej szczegółowej analizy.
  • Eskalacja przywilejów z wykorzystaniem exploitów, np. EternalBlue, do poszerzenia przywilejów dostępu. To umożliwia atakującemu instalację oprogramowania takiego jak narzędzia zdalnego dostępu (RATs), dzięki którymi można podglądać, zmieniać lub usuwać dane, tworzyć nowe konta z pełnymi uprawnieniami użytkownika czy też wyłączać oprogramowanie zabezpieczające.
  • Ruchy lateralne i przeczesywanie struktury sieci w poszukiwaniu plików i serwerów backupowych, aby wyrządzić większe szkody późniejszym atakiem ransomware’owym – rzecz jasna, cały czas złośliwe oprogramowanie stara się działać tak, aby uniknąć wykrycia przez zabezpieczenia. W ciągu godziny atakujący mogą napisać skrypt kopiujący i uruchomiający ransomware w punktach końcowych podłączonych do sieci i na serwerach. Aby przyśpieszyć atak, oprogramowanie może priorytetyzować dane na zdalnych lub współdzielonych dyskach, i skupiać się najpierw na dokumentach o mniejszych rozmiarach, a także uruchamiać wiele procesów szyfrujących naraz.
  • Zdalne ataki. Same serwery z plikami często nie są zainfekowane ransomware’em –  złośliwe oprogramowanie zwykle jest uruchomione na przynajmniej jednym punkcie końcowym, wykorzystując uprzywilejowane konto użytkownika do zdalnego atakowania dokumentów – czasami poprzez Remote Desktop Protocol, a czasami biorąc na cel rozwiązania zdalnego monitoringu i zarządzania (RMM), które z reguły są wykorzystywane przez dostawców usług zarządzanych (MSP) do zarządzania infrastrukturą IT klientów oraz systemami użytkowników końcowych.
  • Szyfrowanie i nazywanie plików. Istnieją różnorodne metody szyfrowania plików, łącznie z prostym nadpisaniem dokumentu, ale większość z nich to tylko dodatek – najważniejsze jest usunięcie backupu lub oryginalnej kopii, aby utrudnić proces odzyskiwania.

Poradnik wyjaśnia w jaki sposób te oraz inne narzędzia i techniki ataku są wykorzystywane przez 11 rodzin oprogramowania ransomware: WannaCry, GandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix oraz Sodinokibi.

 Jak chronić się przed ransomware?

 

  • Sprawdź, czy masz spis wszystkich urządzeń podłączonych do Twojej sieci, a wszystkie zabezpieczenia na nich są aktualne. Zawsze instaluj najnowsze aktualizacje tak szybko, jak to możliwe.
  • Zweryfikuj, czy Twoje komputery są chronione przed exploitem EternalBlue, który został wykorzystany do rozprzestrzeniania WannaCry – wystarczy podążać za instrukcjami znajdującymi się tutaj.
  • Przechowuj regularne backupy Twoich najważniejszych i aktualnych danych na urządzeniu niepodłączonym do sieci – to najlepszy sposób na uniknięcie konieczności płacenia okupu w przypadku ataku ransomware’owego.
  • Administratorzy powinni włączyć uwierzytelnienie wieloskładnikowe na wszystkich systemach zarządzania, które je wspierają, aby uniknąć wyłączenia zabezpieczeń przez atakującego.
  • Warto przede wszystkim jednak pamiętać, że w cyberbezpieczeństwie nie ma „stuprocentowych strzałów w dziesiątkę” – wielowarstwowy model bezpieczeństwa to najlepsze rozwiązanie, które powinny wdrożyć wszystkie firmy. Przykładowo, Sophos Intercept X wykorzystuje kompleksowe podejście do ochrony punktów końcowych poprzez łączenie wielu wiodących technik nowej generacji z metodami wykrywania złośliwego oprogramowania, ochrony przed exploitami oraz wbudowanym EDR.

 

Pełna wersja poradnika „How Ransomware Attacks” jest dostępna tutaj.

Artykuł autorstwa SophosLabs Uncut „How the Most Damaging Ransomware Evades IT Security” jest dostępny tutaj.

sophos

Podobne artykuły
zobacz więcej
Video
więcej
Video"
więcej
Facebook
więcej