Η προληπτική αντιμετώπιση των περιστατικών ransomware είναι κάτι παραπάνω από σημαντική, αφού η εκδήλωση αυτών των επιθέσεων μπορεί να έχουν καταστροφικές συνέπειες εταιρικό επίπεδο.
Παναγιώτης Καλαντζής
Διευθυντής Τομέα
Ιωάννης Λάλος
Security Consultant
Τομέας Information Security Governance Risk & Compliance
SYNTAX Πληροφορική ΑΕΒΕΕ
www.syntax.gr
Φανταστείτε το ακόλουθο σενάριο. Έχετε περάσει τις τελευταίες εβδομάδες εργαζόμενοι σε μια κρίσιμη αναφορά που θα καθορίσει την επιχειρησιακή στρατηγική του οργανισμού σας για την επόμενη δεκαετία. Όταν η εργασία ολοκληρώθηκε, η προσπάθεια αποστολής του αρχείου στους κατάλληλους παραλήπτες απέτυχε, και ένα περίεργο μήνυμα εμφανίστηκε.
“Τα αρχεία σε αυτόν τον υπολογιστή έχουν κρυπτογραφηθεί. Έχετε 96 ώρες για να υποβάλετε την πληρωμή, διαφορετικά τα αρχεία σας θα καταστραφούν μόνιμα”
Έχετε πέσει θύμα κακόβουλου λογισμικού ransomware. Δεν δημιουργήσατε αντίγραφο ασφαλείας για την εργασία σας. Στην πραγματικότητα δεν έχετε αντίγραφα ασφαλείας από τα αρχεία σας για μήνες. Τι μπορείτε να κάνετε;
Δυστυχώς, στην περίπτωση του ransomware, μετά την κρυπτογράφηση των αρχείων, δεν υπάρχει τίποτα που μπορείτε να κάνετε αν δεν έχετε προβλέψει την λήψη αντιγράφων ασφάλειας – εκτός από τη μείωση των ζημιών σας ή την πληρωμή των λύτρων. Ακόμα και μετά την πληρωμή, η ανάκτηση των αρχείων δεν είναι εξασφαλισμένη.
Για τις επιχειρήσεις σε όλο τον κόσμο, οι κίνδυνοι είναι υψηλοί. Το πρόσφατο ξέσπασμα του WanaCryt0r ήταν η μεγαλύτερη επίθεση ransomware στην ιστορία του Διαδικτύου, αποκλείοντας την πρόσβαση των νοσοκομειακών εργαζομένων σε κρίσιμα δεδομένα, και έχοντας ως αποτέλεσμα την διακοπή των δραστηριοτήτων των οργανισμών σε 150 χώρες.
Εικόνα 1. WanaCryt0r Ransomware
Αυτά τα είδη επιθέσεων μπορεί να έχουν καταστροφικές συνέπειες εταιρικό επίπεδο, από την απώλεια πολύτιμων δεδομένων μέχρι το κλείσιμο των νοσοκομειακών υπηρεσιών στη μέση των διαδικασιών έκτακτης ανάγκης. Σε ορισμένες περιπτώσεις, πρόκειται για ζήτημα ζωής ή θανάτου. Αυτός είναι ο λόγος για τον οποίο είναι τόσο σημαντική η προληπτική αποτροπή περιστατικών ransomware.
Είδη ransomware
Το πρώτο βήμα στην πρόληψη επιθέσεων ransomware είναι η αναγνώριση των διαφορετικών τύπων ransomware απειλών. Η σοβαρότητα των επιθέσεων ransomware μπορεί να κυμαίνεται από απλή ενόχληση σε αυξημένης σοβαρότητας περιστατικά οριστικής απώλειας δεδομένων.
Scareware – Σε αντίθεση με ότι το όνομα προϊδεάζει, το scareware κακόβουλο λογισμικό – σε σύγκριση με άλλους τύπους ransomware – δεν είναι τόσο τρομακτικό. Το scareware περιλαμβάνει αποστολή μηνυμάτων, που φαίνεται να προέρχονται από λογισμικό ασφάλειας ή τμήματα τεχνικής υποστήριξης, και ισχυρίζονται ότι ανακαλύφθηκαν κομμάτια κακόβουλου λογισμικού και ο μόνος τρόπος να απαλλαγούμε από αυτά είναι η πληρωμή μιας αμοιβής. Ακόμα όμως και αν δεν αναλάβουμε καμιά δράση, θα συνεχίσουμε να βομβαρδιζόμαστε από τα ανωτέρω μηνύματα, αλλά τα αρχεία μας είναι ουσιαστικά ασφαλή.
Screen lockers – Το κακόβουλο λογισμικό τύπου screen locker είναι λογισμικό αυξημένης επικινδυνότητας σε σχέση με το scareware. Η μόλυνση του υπολογιστή από κακόβουλο λογισμικό τύπου screen locker σημαίνει ότι η πρόσβαση του χρήστη έχει αποκλειστεί, αφού κατά την εκκίνηση εμφανίζεται ένα παράθυρο πλήρους μεγέθους οθόνης το οποίο συχνά συνοδεύεται από επίσημο σήμα κάποιας κρατικής αρχής (συνήθως του FBI ή της σφραγίδας του Υπουργείου Δικαιοσύνης των Η.Π.Α.) αναφέροντας ότι έχει εντοπιστεί παράνομη δραστηριότητα και επιβάλλεται η καταβολή πρόστιμου.
Encrypting ransomware –Το κακόβουλο λογισμικό τύπου encrypting ransomware είναι λογισμικό ύψιστης επικινδυνότητας. Αυτός ο τύπος ransomware κρυπτογραφεί τα αρχεία του χρήστη αποκλείοντας την πρόσβασή του στα αρχεία αυτά, απαιτώντας πληρωμή για την αποκρυπτογράφησή τους και την επαναφορά της πρόσβασης του χρήστη σε αυτά. Ο αυξημένος βαθμός επικινδυνότητας οφείλεται στο γεγονός ότι άπαξ και τα αρχεία κρυπτογραφηθούν από το κακόβουλο λογισμικό, πολύ σπάνια η επαναφορά των αρχείων είναι εφικτή μέσω της χρήσης λογισμικών ασφάλειας. Ακόμα και η πληρωμή των ζητούμενων λύτρων δεν εξασφαλίζει την επαναφορά των αρχείων.
Εικόνα 2. Η Ιστορία του Ransomware
Προληπτικά μέτρα προστασίας έναντι επιθέσεων ransomware
Η απάντηση στο ερώτημα των τρόπων προστασίας έναντι επιθέσεων ransomware, είναι αυτή της υιοθέτησης υγιεινής ασφάλειας (βασικών μέτρων ασφάλειας – security hygiene) και βέλτιστων πρακτικών.
Βασικό και πρωτεύων μέτρο είναι η ενημέρωση των χρηστών. Ένας από τους πιο συνηθισμένους τρόπους με τους οποίους οι υπολογιστές έχουν μολυνθεί με ransomware είναι μέσω της κοινωνικής μηχανικής. Η εκπαίδευση των χρηστών για τον τρόπο ανίχνευσης καμπάνιας phishing, ύποπτων ιστότοπων και άλλων απατών είναι ύψιστης σημασίας. Και πάνω από όλα, η άσκηση κοινής λογικής είναι σε θέση να αποτρέψει πληθώρα επιθέσεων ransomware. Εάν φαίνεται ύποπτο, πιθανότατα είναι. Επιπρόσθετα, είναι επιτακτική η συχνή ενημέρωση των συστημάτων και του λογισμικού που χρησιμοποιείται για εταιρικούς σκοπούς. Η πιο πρόσφατη επιδημία ransomware WannaCry εκμεταλλεύτηκε μια ευπάθεια στο λογισμικό της Microsoft. Ενώ η εταιρεία είχε κυκλοφορήσει μια διορθωτική έκδοση (patch) για την εν λόγω ευπάθεια ασφαλείας τον Μάρτιο, πολλοί δεν εγκατέστησαν την ενημέρωση – καθιστώντας τους οργανισμούς ευάλωτους στην συγκεκριμένη επίθεση. Είναι σίγουρα αρκετά κοπιώδης η διαδικασία διαρκούς παρακολούθησης των νέων ευπαθειών και των αντίστοιχων διορθωτικών πακέτων (patches και plugins), και η εφαρμογή τους στα αντίστοιχα συστήματα. Για τον λόγο αυτό, η αυτόματη ενημέρωση των συστημάτων είναι μια πρόταση που αξίζει την διερεύνηση της εφαρμοσιμότητάς της στα συστήματά σας. Επίσης, ίσως αξίζει να διερευνηθεί η πιθανότητα χρήσης εξειδικευμένων λύσεων, όπως το Symantec Patch Management Solution[1].
Η επιλογή κατάλληλων τεχνολογικών αντίμετρων, επίσης δεν θα πρέπει να αμεληθεί. Παρότι, ιστορικά, οι επιθέσεις ransomware ξεκινούσαν μέσω phishing emails, στο μέλλον είναι πιθανό να δούμε περισσότερες επιθέσεις μέσω ευάλωτων εφαρμογών διαδικτύου όπως JBOSS, WordPress, και Joomla. Καθίσταται, λοιπόν, επιτακτική η ανάπτυξη και ενεργοποίηση τεχνολογιών πρόληψης σχετικών επιθέσεων. Ενδεικτικά αναφέρουμε:
- To IPS[2] (Intrusion Prevention System) αποκλείει κάποιες απειλές που ένα παραδοσιακό antivirus μόνο δεν μπορεί να σταματήσει.
- Τις τεχνολογίες προστασίας σε πραγματικό χρόνο χρησιμοποιώντας heuristics και δεδομένα φήμης (reputation data), όπως η τεχνολογία SONAR[3] της εταιριάς Symantec, για να ανιχνεύσουν επικείμενες και άγνωστες απειλές.
- Τις τεχνολογίες απομόνωσης ύποπτων ή αμφισβητήσιμων ως προς την λειτουργικότητα αρχείων, όπως η τεχνολογία Insight[4] της εταιριάς Symantec
Τέλος, αλλά ίσως περισσότερο σημαντικό, είναι η δημιουργία αντιγράφων ασφαλείας των δεδομένων σε τακτική βάση. Με αυτό τον τρόπο, η πιθανή απώλεια δεδομένων λόγω επίθεσης ransomware έχει ελάχιστο αντίκτυπο σε προσωπικό ή επιχειρησιακό επίπεδο, με δεδομένη την ύπαρξη των δεδομένων σε κάποιο ενημερωμένο αντίγραφο ασφάλειας. Φυσικά, είναι επιτακτική η ασφάλιση των δεδομένων με την εφαρμογή κανόνων περιορισμού πρόσβασης. Είναι συνετό να παρέχεται πρόσβαση μόνο για ανάγνωση σε αρχεία που βρίσκονται σε δικτυακούς δίσκους και να παρέχεται δικαίωμα πρόσβασης μόνο αν είναι απόλυτα αναγκαίο. Με τον περιορισμό των δικαιωμάτων των χρηστών περιορίζουμε τα αρχεία που μπορεί να κρυπτογραφηθούν από μία απειλή ransomware.
Πώς γίνετε η αφαίρεση ενός ransomware
Στην απευκταία περίπτωση μόλυνσης των συστημάτων από ransomware, δυστυχώς δεν μπορούμε να κάνουμε πολλά πράγματα. Στην συντριπτική πλειοψηφία των περιπτώσεων, η κρυπτογράφηση από ένα ransomware δεν μπορεί να “σπάσει”.
Εάν κάποιο σύστημα έχει προσβληθεί από ransomware και τα δεδομένα σας έχουν κρυπτογραφηθεί, προτείνουμε τα εξής βήματα.
- Μην Πληρώσετε τα λύτρα. Εάν πληρώσετε τα λύτρα:
- Δεν υπάρχει εγγύηση ότι ο εισβολέας θα προμηθεύσει μία μέθοδο για να ξεκλειδώσετε τον υπολογιστή σας ή να αποκρυπτογραφήσετε τα αρχεία σας.
- Ο εισβολέας πιθανότατα θα χρησιμοποιήσει τα χρήματα από τα λύτρα σας για να χρηματοδοτήσει επιθέσεις εναντίον άλλων χρηστών.
- Απομόνωση του μολυσμένου συστήματος. Η ενέργεια αυτή συνίσταται να πραγματοποιηθεί πριν το ransomware καταφέρει να επιτεθεί σε προσβάσιμους δικτυακούς δίσκους
- Επαναφορά των κατεστραμμένων αρχείων από ένα πρόσφατο αντίγραφό ασφάλειας
- Υποβολή του κακόβουλου λογισμικού σε σχετικές υπηρεσίες κατασκευαστών antivirus όπως το Security Response[5] της εταιρίας Symantec. Με τον τρόπο αυτό, επιταχύνεται η διαδικασία της ανάλυσης της απειλής από τις σχετικές υπηρεσίες των κατασκευαστών antivirus και επιτρέπουν τη δημιουργία νέων υπογραφών και την βελτίωση της άμυνας εναντίων των ransomware.
Σχετικά με την SYNTAX Πληροφορική ΑΒΕΕ
Η SYNTAX Πληροφορική Α.Β.Ε.Ε. ( www.syntax.gr ) ιδρύθηκε το 1994 και δραστηριοποιείται στην Ευρώπη και στον Αραβικό Κόλπο.
Η SYNTAX προσφέρει σε μεγάλες επιχειρήσεις και οργανισμούς τη δυνατότητα να αφομοιώνουν τεχνολογίες αιχμής και βέλτιστες πρακτικές, έτσι ώστε να διαφοροποιούνται στην αγορά, και να μειώνουν το λειτουργικό τους κόστος, αποκτώντας ανταγωνιστικό πλεονέκτημα και βέλτιστη αποτελεσματικότητα (ROI).
Η εταιρία παρέχει συμβουλευτικές υπηρεσίες, αναλαμβάνει έργα μελετών, ανάπτυξης, υλοποίησης και υποστήριξης τεχνολογιών αιχμής, λειτουργίας & διαχείρισης συστημάτων ΙΤ και εκχωρεί εξειδικευμένο προσωπικό με συμβάσεις ορισμένου χρόνου.
Τομείς εξειδίκευσης: Applications Lifecycle Management – Data Management – Security, Governance, Risk & Compliance – IT Operations, Business Service & SLA Management.
Τον κατάλογο των πελατών κοσμούν κορυφαίες μεγάλες επιχειρήσεις και οργανισμοί από όλους τους τομείς της οικονομίας.
Η SYNTAX είναι πιστοποιημένη κατά ISO 9001: 2008 και 27001: 2013 και μέλος των φορέων ΣΕΠΕ, ΣΕΣΜΑ, ITSMF και TMF.
[1] https://www.symantec.com/products/endpoint-hybrid-cloud-security/endpoint-management/patch-management-solution
[2] https://support.symantec.com/en_US/article.TECH104434.html
[3] https://support.symantec.com/en_US/article.HOWTO80968.html
[4] https://support.symantec.com/en_US/article.HOWTO80989.html
[5] https://www.symantec.com/security_response/