Τα περιστατικά Ransomware τα τελευταία χρόνια γίνονται όλο και περισσότερα και με πολύ σημαντικές οικονομικές και νομικές επιπτώσεις σε επιχειρήσεις και οργανισμούς.

Παναγιώτης Πιέρρος, pierros@tictac.gr

Managing Director of Tictac Cyber Security

www.tictaclabs.com | www.tictac.gr

 

 

Χαριτολογώντας αναφέρουμε πολλές φορές ότι είναι τόσο συχνά τα περιστατικά Cyber Attacks που χωρίζουμε τις επιχειρήσεις σε δύο κατηγορίες στις μέρες μας:

Επιχειρήσεις που έχουν πέσει θύματα Cyber Attack και το γνωρίζουν και σε αυτές που έχουν πέσει θύμα αλλά δεν το γνωρίζουν ακόμα.

Στο παρόν άρθρο θα εστιαστούμε στο πώς έχουν εξελιχθεί οι επιθέσεις Ransomware, τι μπορείτε να κάνετε αν πέσετε θύμα Ransomware και πώς μπορείτε να προστατευτείτε.

Τι γίνεται όταν ένας οργανισμός έρχεται αντιμέτωπος με μια Ransomware επίθεση;

Τις πρώτες ώρες επικρατεί μια ιδιαίτερα δύσκολη κατάσταση στον οργανισμό ή την επιχείρηση όπου κανείς δεν γνωρίζει την έκταση της ζημιάς.

Η επιχείρηση συνήθως διακόπτει τη λειτουργία της καθώς πολλά από τα συστήματα της δεν λειτουργούν, δηλαδή δεν μπορούν να κοπούν τιμολόγια, δεν λειτουργεί η μηχανογράφηση, δεν μπορούν να γίνουν καταχωρήσεις στα συστήματα και το τεχνικό τμήμα βρίσκεται σε μια πολύ δυσμενή κατάσταση. Αμέσως μετά συνήθως διαπιστώνουμε ότι και τα εφεδρικά αντίγραφα της υποδομής είναι και αυτά κρυπτογραφημένα από το Ransοmware και δεν μπορούμε να τα επαναφέρουμε. Και αυτό γίνεται διότι στις μέρες μας οι επιτιθέμενοι έχουν μελετήσει πολύ καλά την υποδομή μας και γνωρίζουν πώς παίρνουμε Backup και που βρίσκονται τα backup, οπότε έχουν κρυπτογραφήσει και τα σημεία των εφεδρικών αντιγράφων.

Στη συνέχεια ξεκινάει η πίεση της διοίκησης να «βγούμε γρήγορα στον αέρα» με ότι έχουμε, ενώ παράλληλα το τμήμα μηχανογράφησης λόγω της πίεσης της κατάστασης, προσπαθεί να επαναφέρει ότι έχει, αγνοώντας τον κίνδυνο ότι οι επιτιθέμενοι μπορεί να είναι ακόμα μέσα στην υποδομή.

Οι επιθέσεις που γίνονται στις μέρες μας έχουμε διαπιστώσει ότι μπορεί να έχουν ξεκινήσει μήνες πριν. Από κάποιο endpoint κάποιος τρίτος έχει κάνει την είσοδο του στην υποδομή μας και βρίσκεται εκεί για μεγάλο διάστημα πριν δώσει το τελικό χτύπημα και κρυπτογραφήσει την υποδομή. Το φαινόμενο του APT (Advanced Persistent Threat) είναι πολύ συχνό. Αυτό σημαίνει ότι οι επιτιθέμενοι έχουν επιλέξει έναν οργανισμό βάσει των οικονομικών του και αναλώνουν αρκετό χρόνο για να εισέλθουν, να παραμείνουν και να πάρουν έλεγχο σε όσα περισσότερα σημεία του δικτύου είναι εφικτό. Όταν εντοπίσουν τον στόχο τους (π.χ. τον ERP Server, τον Backup Server, το τιμολογιακό μας σύστημα κλπ) τότε θα κάνουν την επίθεση τους.

Έχουμε δει περιπτώσεις, σε μεγάλους οργανισμούς, όπου οι επιτιθέμενοι βρίσκονται για πάνω από μήνα στις υποδομές των θυμάτων, καταστρέφουν τα backup αρχεία την ώρα που γράφονται σε εξωτερικούς δίσκους και παρατηρούν τον κύκλο των offline backups. Όταν ο κύκλος κλείσει και έχουν καταστρέψει τα backup όλου του κύκλου, τότε χτυπάνε τα Live συστήματα.

Να σημειώσουμε δε ότι προγράμματα ανάκτησης δεδομένων δεν βοηθάνε να επαναφέρουμε τα αρχεία μας στις περισσότερες περιπτώσεις.

Όταν οι επιτιθέμενοι τελειώσουν τη δουλειά τους, μέσα σε λίγη ώρα μπορούν να κρυπτογραφήσουν την υποδομή σας και να ζητήσουν λύτρα για το ξεκλείδωμα των αρχείων σας, πληρωτέα σε Bitcoin. Επίσης στις μέρες μας οι επιτιθέμενοι έχουν υποκλέψει σημαντικά αρχεία του οργανισμού τα οποία απειλούν να τα διαρρεύσουν δημόσια, με δυσμενείς οικονομικές και νομικές επιπτώσεις για τον οργανισμό.

Ποιες είναι οι ενέργειες που πρέπει να γίνουν μετά από Ransomware επίθεση

Η διαχείριση ενός περιστατικού Ransomware είναι μια ιδιαίτερα πολύπλοκη διαδικασία κατά την οποία χρειάζεται σωστός συντονισμός και εμπειρία ώστε να μειωθεί το Downtime και οι Οικονομικές απώλειες του οργανισμού.

Στην Tictac Cyber Security εδώ και αρκετά χρόνια έχουμε αναπτύξει μια μοναδική προσέγγιση στην διαχείριση περιστατικών Ransomware. Η ομάδα μας έχει διαχειριστεί εκατοντάδες περιστατικά Ransomware τόσο στην Ελλάδα όσο και στο εξωτερικό.

Τι σημαίνει όμως διαχείριση του περιστατικού και ποιος είναι ο ρόλος της Tictac Ransomware Incident Response Team;

  • Αναγνωρίζουμε άμεσα την οικογένεια του Ransomware και κάνουμε συμπεριφορική ανάλυση και Dark Web Research στην πολύ μεγάλη βάση δεδομένων μας για να δούμε ποια είναι τα χαρακτηριστικά των επιτιθέμενων. Κάθε ομάδα έχει ιδιαίτερα χαρακτηριστικά.
  • Ξεκινάμε άμεσα τη διαδικασία διαπραγμάτευσης των λύτρων. Η Tictac Cyber Security ακολουθεί ένα πρωτόκολλο ενεργειών, το οποίο βασίζεται στην πολύ μεγάλη εμπειρία από το χειρισμό πάρα πολλών Ransomware Attacks. Γνωρίζουμε τα όρια μας και προτεραιότητα μας είναι να μην ρισκάρουμε την επικοινωνία και να εκπροσωπούμε τα συμφέροντα του πελάτη μας.
  • Συντονίζουμε τις δράσεις της διοίκησης και του τεχνικού τμήματος ώστε να κρατήσουμε όλα τα ενδεχόμενα ανοικτά, να διερευνήσουμε τρόπους ανάκτησης δεδομένων και να υπολογίσουμε την έκταση της ζημιάς σε οικονομικά μεγέθη
  • Δοκιμάζουμε Decryptors από προηγούμενες υποθέσεις, κάνουμε Reverse engineering σε κώδικα του malware (στις λίγες υποθέσεις που είναι αυτό εφικτό) και ανάκτηση δεδομένων σε όσα αρχεία είναι εφικτό
  • Έχουμε τη δυνατότητα να πραγματοποιήσουμε Fast Digital Forensics σε όλο το δίκτυο του οργανισμού άμεσα και μέσα σε 3 μέρες από το Deployment των εργαλείων μας να απαντήσουμε σε σημαντικά ερωτήματα: Πόσο καιρό ήταν μέσα ο Hacker, από ποιο endpoint ήρθε η μόλυνση, τι αρχεία έφυγαν από το δίκτυο μας προς τα έξω και εάν ο Hacker βρίσκεται ακόμα στην υποδομή μας.
  • Ασφαλίζουμε την υποδομή. Φροντίζουμε να χρησιμοποιήσουμε Ransomware Aware Backup λύσεις και Deny-all εργαλεία για να αποστειρώσουμε το περιβάλλον και να αποτρέψουμε νέες κακόβουλες ενέργειες όσο είμαστε μέσα στο περιστατικό.
  • Παρέχουμε συνεχές Monitoring 24/7 (Security Operation Center Service) για την μελλοντική προστασία της υποδομής, μέσω υπηρεσιών MSSP (Managed Security Services Provider).
  • Αναλαμβάνουμε να βοηθήσουμε τον πελάτη στις νομικές διαδικασίες που αφορούν το συμβάν, με εξειδικευμένους νομικούς συμβούλους στα Cyber Incidents
  • Παρέχουμε Cryptocurrency/Bitcoin Payment Facilitation Services
  • Παρέχουμε Reporting ενεργειών για τις ασφαλιστικές εταιρίες

Υπηρεσίες Cyber Security δοκιμασμένες στο πεδίο της μάχης

Στην Tictac Cyber Security το μοντέλο εργασίας μας ξεκίνησε πολύ διαφορετικά από τους υπόλοιπους παρόχους υπηρεσιών MSSP. Δοκιμαστήκαμε πολλές φορές στο πεδίο της μάχης καθώς εκατοντάδες οργανισμοί οποιουδήποτε μεγέθους, τόσο στην Ελλάδα όσο και στο εξωτερικό έχουν εμπιστευτεί την ομάδα της Tictac Cyber Security για να μειώσουν τις οικονομικές τους απώλειες και να επισπεύσουν την επίλυση ενός Ransomware Incident.

Τα τελευταία χρόνια και μετά από μελέτη αρκετών περιστατικών η Tictac Cyber Security προσφέρει και σε επιχειρήσεις που θέλουν να προστατεύσουν την υποδομή τους MSSP Services. Αναλαμβάνουμε δηλαδή την ασφάλεια της υποδομής σας ώστε εσείς να συνεχίσετε να κάνετε τη δουλειά σας.

Από το 2017 η Tictac Cyber Security συνεργάζεται με ένα δίκτυο μεταπωλητών, που κατά κύριο λόγο είναι Εταιρίες πληροφορικής ή MSSPs σε όλη την Ελλάδα και τους εκπαιδεύει πώς να παρέχουν υπηρεσίες Κυβερνοασφάλειας.

H Tictac Cyber Security μεταξύ άλλων από τον Αύγουστο του 2019 είναι επίσημος αντιπρόσωπος σε Ελλάδα και Κύπρο των εταιριών:

Επίσης είναι πάροχος υπηρεσιών Cloud Backup με δοκιμασμένα προϊόντα τα οποία είναι Ransomware Aware και έχουν δοκιμαστεί ότι θα μπορεί να γίνει Restoration της υποδομής ακόμα και μετά από επιθέσεις Ransomware.

H Tictac Cyber Security ανήκει στον όμιλο Tictac Laboratories που λειτουργεί από το 1999 και είναι γνωστή για την ανάκτηση δεδομένων. Αυτή τη στιγμή ο όμιλος αποτελείται από την Tictac Data Recovery και την Tictac Cyber Security.  Μπορείτε να δείτε τον αναλυτικό οδηγό προστασίας από Ransomware για να προετοιμαστείτε κατάλληλα για τις απειλές που πλέον αντιμετωπίζουμε καθημερινά: https://tictac.gr/odigos-prostasias-apo-ransomware-pos-tha-prostateyto-apo-ransomware/