Toυ Γιώργου Κοντογιάννη
Security Operations Center Supervisor
Algosystems – www.algosystems.gr
Η τεχνολογία στις μέρες μας εξελίσσεται με γοργούς ρυθμούς, με σκοπό να συμβάλει όσο το δυνατόν περισσότερο στην ταχύτερη και αποδοτικότερη επεξεργασία χρήσιμων δεδομένων και πληροφοριών σε οργανισμούς και επιχειρήσεις. Παράλληλα όμως, υπάρχει ραγδαία εξέλιξη των κακόβουλων επιθέσεων και απειλών που στόχο έχουν την πρόσβαση, την επεξεργασία και την εκμετάλλευση όλων αυτών των πολύτιμων δεδομένων και πληροφοριών.
Μια από τις πιο γνωστές και επικίνδυνες απειλές πλέον, είναι το γνωστό σε όλους – ευελπιστώ όχι από προσωπική εμπειρία – Ransomware. Tα τελευταία δε χρόνια είναι της μόδας ο συγκεκριμένος τύπος επίθεσης, το όλο concept όμως ξεκινάει 30 χρόνια πίσω…Ο πρώτος τύπος κακόβουλου λογισμικού (malware) που κρατούσε δεδομένα ως λύτρα έκανε την εμφάνισή του το μακρινό 1991, όταν ένας βιολόγος έστελνε μολυσμένα floppy disks μέσω παραδοσιακού ταχυδρομείου, τα οποία υποτίθεται ότι περιείχαν σπάνιες μελέτες σχετικά με το AIDS.
Στο πέρασμα των χρόνων το Ransomware άλλαξε πολλές μορφές και στόχους, με την πιο πρόσφατη να είναι το Cryptojacking, μια τεχνική που εκμεταλλεύεται τη λογική του DDoS attack, ώστε να κάνει αθόρυβα BitCoin Mining. Η σύγχρονη γενιά Ransomware έχει εξελιχθεί κατά πολύ. Πλέον, στόχος είναι λιγότερο οι μεμονωμένοι χρήστες και περισσότερο οι παραγωγικοί servers μιας εταιρείας οι οποίοι έχουν αποθηκευμένη, κρίσιμη πληροφορία.
Μένοντας στο τώρα, (και) τα στατιστικά επιβεβαιώνουν ότι υπάρχει μια σημαντική αύξηση σε τέτοιου τύπου απειλές από τότε που ξεκίνησε η πανδημία του Covid-19, τάση που φαίνεται να ανθίζει παρά να συρρικνώνεται.
Ειδικότερα:
- Η χρήση Ransomware έχει αυξηθεί κατά ~200% σε σχέση με την περίοδο 2018-2019.
- Το κόστος για να ανακτηθεί η “κρυπτογραφημένη πληροφορία” μιας τέτοιας επίθεσης έχει αυξηθεί κατά ~220% από το
- Το Q4 του 2020 οι επιθέσεις Ransomware οι οποίες έχουν συμβάλει σε ένα “data breach” σε επιχειρησιακό περιβάλλον έχουν αυξηθεί κατά 22% σε σχέση με το αντίστοιχο Q
- Μέσα σε ένα μόνο quarter(Q2 σε Q3 του 2020) ο Μ.Ο. των πληρωμών ως λύτρα ανέβηκε κατά 30%.
Τα νούμερα επιβεβαιώνουν λοιπόν για το Ransomware, το πόσο επιθετικά κινείται! Numbers don’t lie…
Στη συνέχεια, ας δούμε ενδεικτικά κάποιες συγκεκριμένες επιθέσεις “νέας γενιάς”, ώστε να καταλάβουμε πόσο επικίνδυνη έχει φτάσει να είναι στις μέρες μας αυτή η απειλή.
Types of Ransomware in 2020-2021:
- Maze Ransomware
Γνωστό και ως “ChaCha Ransom”.Αποτελεί την πιο κακόφημη απειλή για επιχειρησιακά περιβάλλοντα. Δρα δημοσιοποιώντας ευαίσθητα εταιρικά δεδομένα. Οι επιτιθέμενοι απειλούν το θύμα, ότι αν δεν πληρώσει τα λύτρα, θα δημοσιοποιήσουν περαιτέρω ευαίσθητα δεδομένα. - REvil Ransomware
Κάθε φορά που το θύμα αρνείται να πληρώσει τα λύτρα μέσα στο συγκεκριμένο χρονικό διάστημα που έχει ορίσει ο επιτιθέμενος, τα λύτρα διπλασιάζονται. Επίσης, και σε αυτήν την περίπτωση, προσωπικά δεδομένα γίνονται published στο internet αν το θύμα δεν ακολουθήσει τις εντολές που του έχουν υποδείξει. - Ryuk Ransomware
Ένα από τα πιο ενεργά malwares τον τελευταίο καιρό. Μπλοκάρει την πρόσβαση σε ένα αρχείο/σύστημα/συσκευή, χρησιμοποιώντας encryption end to end, μέχρι να πληρωθούν τα απαιτούμενα λύτρα. Συνήθως χρησιμοποιεί άλλα malwares για να κάνει infect ένα σύστημα και σαν κύριο στόχο έχει εταιρίες-κολοσσούς και κυβερνητικές υπηρεσίες. - Tycoon Ransomware
Είναι γραμμένο σε Java και στοχεύει τον εκπαιδευτικό, όπως επίσης και τον τομέα ανάπτυξης εφαρμογών.
Κύριο πλεονέκτημά του είναι, ότι προσβάλλει τόσο Windows όσο και Linux λειτουργικά συστήματα. - NetWalker Ransomware
Προσβάλει ένα εταιρικό δίκτυο και στη συνέχεια κρυπτογραφεί όλες τις συνδεδεμένες Windows συσκευές.
Διαδίδεται μέσω Corona Virus Phishing Emails και στοχεύει επιχειρήσεις, κυβερνητικές υπηρεσίες και νοσοκομεία.
Πρέπει να πανικοβληθούμε δηλαδή;;
Έχοντας πάρει μια καλή γεύση του πόσο καταστροφικό μπορεί να αποβεί ένα ransomware για μια επιχείρηση στην εποχή μας, το να λάβουμε όσο το δυνατόν αποδοτικότερα “μέτρα προστασίας”, αποτελεί μονόδρομο.Οι εξειδικευμένες απειλές απαιτούν πλέον πιο προχωρημένες τεχνολογίες, μεγαλύτερο ταλέντο και επιμελέστερη διαχείριση περιστατικών σε σχέση με το παρελθόν.Δεν αρκεί να έχεις μόνο το καλύτερο software, αλλά και τους κατάλληλους ανθρώπους, εξιδεικευμένους στο cybersecurity, σε συνδυασμό με αποδοτικά processes και ένα SIEM εργαλείο το οποίο θα σε βοηθήσει να πραγματοποιήσεις network και endpoint threat monitoring, prevention, detection και response για τον εκάστοτε οργανισμό.
Η παρακολούθηση του business μας από ένα Security Operations Center (SOC) είναι η λύση, χωρίς να αποτελεί πανάκεια.
- Οι SOC experts είναι συνεχώς up to date με τις πιο πρόσφατες μεθόδους επιθέσεων, ώστε να τις αντιμετωπίσουν.
- Το ransomware εντοπίζεται πριν καν αυτό εισέλθει στο δίκτυο ή πολύ γρήγορα αφού έχει εκτελεστεί, σώζοντας τον οργανισμό από περαιτέρω απώλειες.
- Η κεντρικοποιημένη συλλογή πληροφορίας η οποία εισέρχεται ή εξέρχεται από έναν δίκτυο, δίνει την δυνατότητα εντοπισμού ανωμαλιών πολύ γρήγορα.
- Το file integrity monitoring, μπορεί να αναγνωρίσει αλλαγές σε αρχεία, οι οποίες να παραπέμπουν σε δυνητική απειλή.
- Ένα SIEM εργαλείο, μπορεί να συνδυαστεί ιδανικά με μια λύση (Μ)EDR (Managed Endpoint Detection and Response), ώστε να μπλοκάρει και να απομονώνει από το υπόλοιπο δίκτυο “μολυσμένα” workstations.
- Εξειδικευμένα alerts στο SIEM, μπορούν να εντοπίσουν Mail Campaign Attacks τα οποία αποτελούν έναν από τους κύριους τρόπους μόλυνσης και διάδοσης του Ransomware σε εταιρικά περιβάλλοντα.
Στο τέλος της ημέρας όμως, παίζει και θα παίζει πάντα το σημαντικότερο ρόλο…ο ανθρώπινος παράγοντας.
Όσα αντίμετρα και να πάρουμε, όσα Next Gen Security προϊόντα και αν αγοράσουμε για την υποδομή μας, δεν θα πρέπει ποτέ να ξεχνάμε ότι το συνεχές training και το awareness του τελικού χρήστη ενός οργανισμού, είναι αυτό που εντέλει θα αποδειχθεί καθοριστικό και σωτήριο..