Poradnik SophosLabs jest uzupełnieniem 2020 Threat Report, w którym poruszono zagadnienia dotyczące zagrożeń w cyberprzestrzeni, przed którymi specjaliści IT będą musieli się bronić w 2020 roku. Publikacja to źródło informacji na temat najbardziej rozpowszechnionych typów ransomware, takich jak WannaCry, BitPaymer czy MegaCortex. Materiał pokazuje, w jaki sposób złośliwe oprogramowanie próbuje niezauważenie przemknąć przez zabezpieczenia poprzez wykorzystywanie zaufanych procesów, a następnie atakuje wewnętrzne systemy i zmusza je do zaszyfrowania jak największej liczby plików. W międzyczasie wyłączane są również procesy tworzenia kopii zapasowych oraz odzyskiwania danych. Wszystko dzieje się szybko – aby wyrządzić jak największe szkody, zanim zespół ds. bezpieczeństwa IT zorientuje się w sytuacji.
Narzędzia i techniki opisane w poradniku to m.in.:
- Główne kanały dystrybucji najpowszechniejszych rodzajów ransomware – złośliwe oprogramowanie tego typu zwykle jest dystrybuowane na trzy sposoby: kryptorobaki (np. WannaCry), Ransomware-as-a-Service (RaaS) (np. Sodinokibi) lub zautomatyzowane aktywne ataki (najpopularniejsza metoda wśród ransomware’ów).
- Oprogramowanie ransomware specjalizujące się w cyfrowych podpisach, wykorzystujące kupione lub skradzione certyfikaty tożsamości. W ten sposób złośliwe pliki usiłują przekonać zabezpieczenia danego systemu, że można im ufać, a ich kod nie wymaga bardziej szczegółowej analizy.
- Eskalacja przywilejów z wykorzystaniem exploitów, np. EternalBlue, do poszerzenia przywilejów dostępu. To umożliwia atakującemu instalację oprogramowania takiego jak narzędzia zdalnego dostępu (RATs), dzięki którymi można podglądać, zmieniać lub usuwać dane, tworzyć nowe konta z pełnymi uprawnieniami użytkownika czy też wyłączać oprogramowanie zabezpieczające.
- Ruchy lateralne i przeczesywanie struktury sieci w poszukiwaniu plików i serwerów backupowych, aby wyrządzić większe szkody późniejszym atakiem ransomware’owym – rzecz jasna, cały czas złośliwe oprogramowanie stara się działać tak, aby uniknąć wykrycia przez zabezpieczenia. W ciągu godziny atakujący mogą napisać skrypt kopiujący i uruchomiający ransomware w punktach końcowych podłączonych do sieci i na serwerach. Aby przyśpieszyć atak, oprogramowanie może priorytetyzować dane na zdalnych lub współdzielonych dyskach, i skupiać się najpierw na dokumentach o mniejszych rozmiarach, a także uruchamiać wiele procesów szyfrujących naraz.
- Zdalne ataki. Same serwery z plikami często nie są zainfekowane ransomware’em – złośliwe oprogramowanie zwykle jest uruchomione na przynajmniej jednym punkcie końcowym, wykorzystując uprzywilejowane konto użytkownika do zdalnego atakowania dokumentów – czasami poprzez Remote Desktop Protocol, a czasami biorąc na cel rozwiązania zdalnego monitoringu i zarządzania (RMM), które z reguły są wykorzystywane przez dostawców usług zarządzanych (MSP) do zarządzania infrastrukturą IT klientów oraz systemami użytkowników końcowych.
- Szyfrowanie i nazywanie plików. Istnieją różnorodne metody szyfrowania plików, łącznie z prostym nadpisaniem dokumentu, ale większość z nich to tylko dodatek – najważniejsze jest usunięcie backupu lub oryginalnej kopii, aby utrudnić proces odzyskiwania.
Poradnik wyjaśnia w jaki sposób te oraz inne narzędzia i techniki ataku są wykorzystywane przez 11 rodzin oprogramowania ransomware: WannaCry, GandCrab, SamSam, Dharma, BitPaymer, Ryuk, LockerGoga, MegaCortex, RobbinHood, Matrix oraz Sodinokibi.
Jak chronić się przed ransomware?
- Sprawdź, czy masz spis wszystkich urządzeń podłączonych do Twojej sieci, a wszystkie zabezpieczenia na nich są aktualne. Zawsze instaluj najnowsze aktualizacje tak szybko, jak to możliwe.
- Zweryfikuj, czy Twoje komputery są chronione przed exploitem EternalBlue, który został wykorzystany do rozprzestrzeniania WannaCry
- Przechowuj regularne backupy Twoich najważniejszych i aktualnych danych na urządzeniu niepodłączonym do sieci – to najlepszy sposób na uniknięcie konieczności płacenia okupu w przypadku ataku ransomware’owego.
- Administratorzy powinni włączyć uwierzytelnienie wieloskładnikowe na wszystkich systemach zarządzania, które je wspierają, aby uniknąć wyłączenia zabezpieczeń przez atakującego.
- Warto jednak pamiętać, że w cyberbezpieczeństwie nie ma „stuprocentowych strzałów w dziesiątkę” – wielowarstwowy model bezpieczeństwa to najlepsze rozwiązanie, które powinny wdrożyć wszystkie firmy.
Pełna wersja poradnika „How Ransomware Attacks”