Zaautomatyzowane aktywne ataki to najczęstszy styl działania ransomware

29-01-2020, 10:27

Sophos opublikowało poradnik pt. „How Ransomware Attacks” dedykowany specjalistom ds. bezpieczeństwa. Treść koncentruje się wokół ataków ransomware, a konkretnie ich rodzajom, wykorzystywanym przez nie narzędziom oraz tym jak im zapobiegać. Materiał dostępny jest w sieci za darmo.

Poradnik SophosLabs jest uzupełnieniem 2020 Threat Report, w którym poruszono zagadnienia dotyczące zagrożeń w cyberprzestrzeni, przed którymi specjaliści IT będą musieli się bronić w 2020 roku. Publikacja to źródło informacji na temat najbardziej rozpowszechnionych typów ransomware, takich jak WannaCry, BitPaymer czy MegaCortex. Materiał pokazuje, w jaki sposób złośliwe oprogramowanie próbuje niezauważenie przemknąć przez zabezpieczenia poprzez wykorzystywanie zaufanych procesów, a następnie atakuje wewnętrzne systemy i zmusza je do zaszyfrowania jak największej liczby plików. W międzyczasie wyłączane są również procesy tworzenia kopii zapasowych oraz odzyskiwania danych. Wszystko dzieje się szybko – aby wyrządzić jak największe szkody, zanim zespół ds. bezpieczeństwa IT zorientuje się w sytuacji.

Narzędzia i techniki opisane w poradniku to m.in.:

  • Główne kanały dystrybucji najpowszechniejszych rodzajów ransomware – złośliwe oprogramowanie tego typu zwykle jest dystrybuowane na trzy sposoby: kryptorobaki (np. WannaCry), Ransomware-as-a-Service (RaaS) (np. Sodinokibi) lub zautomatyzowane aktywne ataki (najpopularniejsza metoda wśród ransomware’ów).
  • Oprogramowanie ransomware specjalizujące się w cyfrowych podpisach, wykorzystujące kupione lub skradzione certyfikaty tożsamości. W ten sposób złośliwe pliki usiłują przekonać zabezpieczenia danego systemu, że można im ufać, a ich kod nie wymaga bardziej szczegółowej analizy.
  • Eskalacja przywilejów z wykorzystaniem exploitów, np. EternalBlue, do poszerzenia przywilejów dostępu. To umożliwia atakującemu instalację oprogramowania takiego jak narzędzia zdalnego dostępu (RATs), dzięki którymi można podglądać, zmieniać lub usuwać dane, tworzyć nowe konta z pełnymi uprawnieniami użytkownika czy też wyłączać oprogramowanie zabezpieczające.
  • Ruchy lateralne i przeczesywanie struktury sieci w poszukiwaniu plików i serwerów backupowych, aby wyrządzić większe szkody późniejszym atakiem ransomware’owym – rzecz jasna, cały czas złośliwe oprogramowanie stara się działać tak, aby uniknąć wykrycia przez zabezpieczenia. W ciągu godziny atakujący mogą napisać skrypt kopiujący i uruchomiający ransomware w punktach końcowych podłączonych do sieci i na serwerach. Aby przyśpieszyć atak, oprogramowanie może priorytetyzować dane na zdalnych lub współdzielonych dyskach, i skupiać się najpierw na dokumentach o mniejszych rozmiarach, a także uruchamiać wiele procesów szyfrujących naraz.
  • Zdalne ataki. Same serwery z plikami często nie są zainfekowane ransomware’em – złośliwe oprogramowanie zwykle jest uruchomione na przynajmniej jednym punkcie końcowym, wykorzystując uprzywilejowane konto użytkownika do zdalnego atakowania dokumentów – czasami poprzez Remote Desktop Protocol, a czasami biorąc na cel rozwiązania zdalnego monitoringu i zarządzania (RMM), które z reguły są wykorzystywane przez dostawców usług zarządzanych (MSP) do zarządzania infrastrukturą IT klientów oraz systemami użytkowników końcowych.
  • Szyfrowanie i nazywanie plików. Istnieją różnorodne metody szyfrowania plików, łącznie z prostym nadpisaniem dokumentu, ale większość z nich to tylko dodatek – najważniejsze jest usunięcie backupu lub oryginalnej kopii, aby utrudnić proces odzyskiwania.

Poradnik wyjaśnia w jaki sposób te oraz inne narzędzia i techniki ataku są wykorzystywane przez 11 rodzin oprogramowania ransomware: WannaCry, GandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix oraz Sodinokibi.

Jak chronić się przed ransomware?

  • Sprawdź, czy masz spis wszystkich urządzeń podłączonych do Twojej sieci, a wszystkie zabezpieczenia na nich są aktualne. Zawsze instaluj najnowsze aktualizacje tak szybko, jak to możliwe.
  • Zweryfikuj, czy Twoje komputery są chronione przed exploitem EternalBlue, który został wykorzystany do rozprzestrzeniania WannaCry
  • Przechowuj regularne backupy Twoich najważniejszych i aktualnych danych na urządzeniu niepodłączonym do sieci – to najlepszy sposób na uniknięcie konieczności płacenia okupu w przypadku ataku ransomware’owego.
  • Administratorzy powinni włączyć uwierzytelnienie wieloskładnikowe na wszystkich systemach zarządzania, które je wspierają, aby uniknąć wyłączenia zabezpieczeń przez atakującego.
  • Warto jednak pamiętać, że w cyberbezpieczeństwie nie ma „stuprocentowych strzałów w dziesiątkę” – wielowarstwowy model bezpieczeństwa to najlepsze rozwiązanie, które powinny wdrożyć wszystkie firmy.

Pełna wersja poradnika „How Ransomware Attacks”


Źródło: materiał nadesłany do redakcji
  
znajdź w serwisie


RSS - Wywiad
Wywiad  
RSS - Interwencje
RSS - Porady
Porady  
RSS - Listy
Listy