Το Ransomware συνεχώς εξελίσσεται και σήμερα οι κυβερνοεγκληματίες είναι πολύ πιο έξυπνοι στην προσέγγισή τους. Ωστόσο υπάρχουν τρόποι προκειμένου οι οργανισμοί να αναπτύξουν τα κατάλληλα μέτρα προστασίας.
Παναγιώτης Καλαντζής
Cyber Security & Data Privacy Expert
Μια σύντομη αναδρομή
Ήταν Σεπτέμβριος του 2013 όταν, κατά γενική παραδοχή, οι επιθέσεις ransomware εξελίχθηκαν και η επικινδυνότητά τους αυξήθηκε σε εκθετικό βαθμό. Τέτοιες επιθέσεις περιλαμβάνουν την εγκατάσταση κακόβουλου λογισμικού στο σταθμό εργασίας ενός χρήστη (PC ή Mac) χρησιμοποιώντας μια επίθεση κοινωνικής μηχανικής όπου ο χρήστης πέφτει θύμα κάνοντας κλικ σε έναν σύνδεσμο ηλεκτρονικού ψαρέματος (phishing) ή ανοίγοντας ένα συνημμένο. Άλλοι φορείς επίθεσης περιλαμβάνουν προγράμματα χωρίς τις τελευταίες αναβαθμίσεις, ανεπαρκείς κωδικών πρόσβασης, και λήψεις παράνομου λογισμικού.
Μόλις το κακόβουλο λογισμικό εγκατασταθεί στον υπολογιστή, αρχίζει να κρυπτογραφεί όλα τα αρχεία δεδομένων που μπορεί να βρει στο ίδιο το μηχάνημα και σε οποιοδήποτε κοινόχρηστο δίκτυο έχει πρόσβαση στον υπολογιστή. Αυτό μπορεί να οδηγήσει σε καταστροφικές καταστάσεις στις οποίες μια επιτυχημένη επίθεση μπορεί να σταματήσει ένα τμήμα ή ακόμα και ολόκληρο τον οργανισμό.
Όταν o χρήστης προσπαθήσει να αποκτήσει πρόσβαση σε κάποιο από τα κρυπτογραφημένα αρχεία, η πρόσβαση δεν είναι εφικτή και ο διαχειριστής του συστήματος που ειδοποιείται από τον χρήστη βρίσκει ενδείξεις που υποδεικνύουν ότι τα αρχεία βρίσκονται σε «ομηρία», απαιτούνται λύτρα και δίδονται οδηγίες για την αποπληρωμή, την αποκρυπτογράφηση των αρχείων και την «επιστροφή» στον χρήστη τους.
Νέα στελέχη και παραλλαγές των επιθέσεων ransomware εμφανίζονται διαρκώς, ως ένδειξη – εκτός των άλλων – της ισχύος αλλά και ως επίδειξη δύναμης των κυβερνοεγκληματιών προς τους οργανισμούς. Οι τεχνικές που χρησιμοποιούν οι κυβερνοεγκληματίες εξελίσσονται συνεχώς για να ξεπεράσουν τις παραδοσιακές άμυνες. Χαρακτηριστικά πρόσφατα παραδείγματα νέων στελεχών και παραλλαγών κύρια στελέχη είναι τα Ryuk[1], Dharma[2], Bitpaymer[3]και SamSam[4].
Τα παραπάνω αποτελούν ένα πολύ «επιτυχημένο επιχειρηματικό μοντέλο» εγκληματικότητας. Το ετήσιο κόστος που προκαλείται από ransomware εκτιμάται ότι θα υπερβεί τα 20 δισεκατομμύρια δολάρια έως το 2021, σύμφωνα με την πρόσφατη σχετική έκθεση Cybersecurity Ventures[5].
Απαξ και τα αρχεία κρυπτογραφηθούν, ο μόνος τρόπος ώστε οι υπεύθυνοι ασφάλειας πληροφοριών και πληροφορικής να επαναφέρουν τα αρχεία στην πρότερη μορφή, είναι είτε η επαναφορά τους από αντίγραφα ασφάλειας ή η πληρωμή των λύτρων. Ωστόσο, οι επιτηθέμενοι καταστρέφουν συχνά αντίγραφα ασφαλείας πριν τα θύματα αντιληφθούν το περιστατικό. Επιπρόσθετα, μελέτες αναφέρουν ότι παγκοσμίως πάνω από το 34% των εταιρειών δεν ελέγχουν τα αντίγραφα ασφαλείας τους και από αυτές που διενεργούν τους απαραίτητους ελέγχους το 77% διαπίστωσαν ότι τα αντίγραφα ασφαλείας απέτυχαν να αποκατασταθούν. Σύμφωνα με τη Microsoft, το 42% των προσπαθειών ανάκτησης από εφεδρικά αντίγραφα ταινιών κατά το προηγούμενο έτος έχουν αποτύχει.
Οι νέες τάσεις του ransomware
Μπορεί τον τελευταίο χρόνο η εμφάνιση νέων στελεχών ransomware έχει επιβραδυνθεί, αλλά οι σχετικές επιθέσεις γίνονται όλο και πιο περίπλοκες. Τον πρώτο καιρό, οι κυβερνοεγκληματίες στόχευαν κυρίως τους καταναλωτές, ενώ τα δεδομένα κρυπτογραφούταν αμέσως μετά την επιμόλυνση του συστήματος με το κακόβουλο λογισμικό. Αργότερα, οι κυβερνοεγκληματίες συνειδητοποίησαν ότι οι επιθέσεις ransomware με στόχο επιχειρήσεις ήταν πιο αποδοτικές και προσοδοφόρες. Το κακόβουλο λογισμικό μεταδιδόταν σαν ένα σκουλήκι (worm) στα συστήματα του οργανισμού, συλλέγοντας διαπιστευτήρια λογαριασμών και κρυπτογραφώντας τα αρχεία των συστημάτων κατά μήκος της διαδρομής.
Σήμερα, οι κυβερνοεγκληματίες είναι τώρα πολύ πιο έξυπνοι στην προσέγγισή τους. Μόλις η επιμόλυνση του στόχου επιτευχθεί, το κακόβουλο λογισμικό κάνει μια πλήρη ανάλυση σχετικά με το ποια δεδομένα είναι πιο πολύτιμα για το θύμα τους, το ποσό των λύτρων που μπορούν να ζητηθούν ρεαλιστικά και πως μπορούν να επιτύχουν την κατά το δυνατόν συντομότερη πληρωμή.
Οι κυβερνοεγκληματίες χρησιμοποιούν συνεχώς μεθόδους επίθεσης βασισμένους στην κοινωνική μηχανική, περιλαμβάνοντας στην θεματολογία τους συνήθως θέματα της επικαιρότητας όπως της πρόσφατης πανδημίας Covid19. Εκτός της θεματολογίας, αναπτύσσουν επίσης νέους, «δημιουργικούς» τρόπους διάδοσης. Ενδεικτικό παράδειγμα, η παροχή «υπηρεσιών» Ransomware–as–a–Service (RaaS), όπου προσφέρουν δωρεάν τα αρχεία του οργανισμού, αν «διευκολυνθεί» η επιμόλυνση σε δύο άλλους οργανισμούς, ή άλλων μεθόδων διαδικτυακού marketing.
Μέχρι τώρα, υπάρχουν δεκάδες χιλιάδες θύματα ransomware, συμπεριλαμβανομένων σχολικών περιοχών, αστυνομικών τμημάτων και ολόκληρων πόλεων. Είναι σημαντικό να κατανοήσουμε ότι τα θύματα δεν βρίσκονται μόνο μεταξύ μεγάλων οργανισμών, αλλά και μικρομεσαίοι οργανισμοί διατρέχουν αντίστοιχους κίνδυνους.
Ransomware, προκλήσεις και προβλέψεις
Όπως είδαμε, οι κυβερνοεγκληματίες μέσω των επιθέσεων ransomware, στην πραγματικότητα έχουν συνειδητοποιήσει ότι θα μπορούσαν να παραλείψουν το βήμα να βρουν αγοραστές για κλεμμένα δεδομένα απλώς παραβιάζοντας ένα θύμα και αρνούμενοι την πρόσβαση στα δεδομένα του, και απαιτώντας πληρωμή για να επιτρέψουν την πρόσβαση. Αυτό τους επέτρεψε να στοχοποιήσουν ένα εντελώς νέο σύνολο θυμάτων, αναγκάζοντας περισσότερους οργανισμούς να καταλάβουν ότι έχουν κάτι που αξίζει να στοχεύσουν.
Στη συνέχεια, όπως και σε κάθε καλό παιχνίδι γάτας και ποντικιού, οι επαγγελματίες ασφαλείας διαπίστωσαν ότι θα μπορούσαν να μετριάσουν τον κίνδυνο που προκύπτει από αυτές τις επιθέσεις, δημιουργώντας τακτικά αντίγραφα ασφαλείας των δεδομένων. Έτσι, ακόμη και αν ένας οργανισμός βρεθεί κλειδωμένος από τα δεδομένα του, θα μπορούσε να στραφεί στα αντίγραφα ασφαλείας του και να αποφύγει την πληρωμή.
Καθώς η άμυνα έχει βελτιωθεί για να αποτρέψει αυτές τις επιθέσεις, οι κυβερνοεγκληματίες αποφάσισαν να τροποποιήσουν την τακτική τους. Έτσι, κατά το προηγούμενο έτος, γίναμε κοινωνοί περιστατικών όπου οι εγκληματίες όχι μόνο κρυπτογράφησαν τα δεδομένα των θυμάτων τους, αλλά στη συνέχεια απείλησαν επίσης να διαρρεύσουν το περιεχόμενό τους εάν δεν αποκομίσουν το χρηματικό ποσό που ζητούν. Με άλλα λόγια, οι κυβερνοεγκληματίες δεν περιορίζονται στην απόσπαση λύτρων για την αποκατάσταση της πρόσβασης στα δεδομένα των θυμάτων, αλλά απειλούν να τα εκθέσουν σε ιστότοπους που διατίθενται στο κοινό ως πρόσθετη μέθοδο εκβιασμού, απαιτώντας διπλή πληρωμή, μία φορά για το κλειδί αποκρυπτογράφησης και μια για την διαγραφή των δεδομένων που έχουν κλέψει.
Για τους οργανισμούς που διατρέχουν κίνδυνο σοβαρής βλάβης εάν τα εσωτερικά τους δεδομένα, ή ακόμα περισσότερο, τα δεδομένα των πελατών τους, δημοσιοποιούνται, αυτό αποτελεί σοβαρή απειλή τόσο για την φήμη τους και τον οικονομικό αντίκτυπο που μπορεί να έχει η διαρροή των δεδομένων, όσο και λόγω των απαιτήσεων συμμόρφωσης με κανονιστικά πλαίσια όπως για παράδειγμα το GDPR.
Ακόμα όμως, και η παραπάνω επίθεση ίσως είναι ξεπερασμένη. Τον τελευταίο καιρό, γινόμαστε μάρτυρες νέων τύπων ransomware επιθέσεων, που υπονομεύουν την εμπιστοσύνη μας στα δεδομένα μας. Για να γίνουν οι επιθέσεις αυτές κατανοητές, ίσως πρέπει να επιστρέψουμε στις βασικές αρχές ασφάλειας πληροφοριών, για να δούμε πια από αυτές είχε μείνει μέχρι τώρα εκτός «παιχνιδιού».
Η επιστήμη της ασφάλειας των πληροφοριών, έχει στο επίκεντρό της την εξασφάλιση των αρχών της εμπιστευτικότητας, της ακεραιότητας και της προσβασιμότητας (διαθεσιμότητας) των δεδομένων.
Με αυτή την βάση κατά νου, είναι προφανές ότι οι κυβερνοεγκληματίες, στην περίπτωση του ransomware, ξεκίνησαν απειλώντας την ικανότητα των οργανισμών να έχουν πρόσβαση στα δεδομένα τους. Στη συνέχεια απειλούσαν να δημοσιοποιήσουν τα δεδομένα, διακινδυνεύοντας την εμπιστευτικότητά τους. Σήμερα, υπάρχει μια συζήτηση στην κοινότητα των επαγγελματιών ασφάλειας ότι ο επόμενος στόχος θα είναι η ακεραιότητα των δεδομένων των θυμάτων τους, απειλώντας να κάνουν αλλαγές σε αυτά, εάν ο εκβιασμός τους επιτύχει και τα «λύτρα» δεν καταβληθούν πλήρως.
Η ιδέα ότι τα δεδομένα του οργανισμού μπορεί να μην είναι αυτό που ισχυρίζεται ότι αποτελεί μια αλλαγή παραδείγματος (paradigm shift), επιβάλλοντας τον φόβο ότι δεν γνωρίζουμε τι συμβαίνει. Με άλλα λόγια, μέχρι σήμερα μια επιτυχημένη επίθεση ransomware θα γίνει αντιληπτή επειδή τα δεδομένα δεν θα είναι προσβάσιμα, ενώ αντίστοιχη αντίληψη υπάρχει και στην περίπτωση της απειλής διαρροής πληροφοριών, όπου οι κυβερνοεγκληματίες παρέχουν τις αποδείξεις της επίθεσης.
Αντίθετα, στην περίπτωση της ακεραιότητας, η αντίληψη της επίθεσης δεν είναι εμφανής και προφανής. Οι κυβερνοεγκληματίες, στην περίπτωση αυτή, ενημερώνουν το θύμα ότι έχουν αλλάξει κάτι στα αρχεία του οργανισμού και ότι πρέπει να πληρωθούν «λύτρα» για να αποκαλυφθεί το είδος, το εύρος και το αντικείμενο της αλλαγής.
Μέτρα προστασίας έναντι επιθέσεων ransomware
Οι επιθέσεις ransomware δεν είναι μόνο πιο συχνές, αλλά γίνονται διαρκώς πιο δημιουργικές. Αυτό το προηγμένο κακόβουλο λογισμικό που κάποτε στόχευε χρήστες απευθείας αναπτύσσεται μέσω διαφορετικών φορέων επίθεσης, όπου αντί για ransomware που εξαπλώνεται μέσω παραδοσιακών επιθέσεων ηλεκτρονικού ψαρέματος (phishing), τώρα γίνεται εκμετάλλευση μη ασφαλών διακομιστών, διείσδυση σε ευάλωτες συνδέσεις Πρωτοκόλλου Απομακρυσμένης Επιφάνειας Εργασίας (Remote Desktop Protocol – RDP) και άλλων προηγμένων διαδικασιών εξάπλωσης. Αυτές οι πιο σύγχρονες και πολύ περίπλοκες απειλές στοχεύουν εταιρικά περιουσιακά στοιχεία και πόρους καθημερινά.
Η απειλή του ransomware δεν διαφέρει από οποιαδήποτε άλλη απειλή, όπου οι κυβερνοεγληματίες επιδιώκουν να εκμεταλλευτούν τις ευπάθειες των συστημάτων για την αποκόμιση παράνομων κερδών. Οι μέθοδοι και οι υποκείμενες τεχνολογίες εξελίσσονται, αλλά οι ίδιες οι απειλές και τα τρωτά σημεία πρέπει να αντιμετωπίζονται με τον ίδιο τρόπο όπως οποιαδήποτε άλλη απειλή ή ευπάθεια.
Εξάλλου, παρ’ όλους τους αυξημένους κίνδυνους που επιφέρουν οι επιθέσεις ransomware για τους οργανισμούς, η προστασία από μια αρχική μόλυνση και η εξάπλωσή της στα υπόλοιπα μέρη του εταιρικού δικτύου, επιβάλλεται να βασίζεται στην κοινή λογική και στα παρακάτω κομβικά σημεία.
Στρατηγικό Σχέδιο
Ακρογωνιαίο λίθο στην προσπάθεια αυτή, αποτελεί η επίγνωση ότι δεν ξέρουμε τι γνωρίζουμε. Στην συντριπτική πλειοψηφία των οργανισμών, υπάρχουν γκρίζες περιοχές, περιοχές όπου συστήματα, εφαρμογές, χρήστες και πληροφορίες αποτελούν μια ομάδα περιουσιακών στοιχείων που συχνά δεν λογίζονται και, επομένως, δεν είναι προστατευμένα.
Αντίβαρο σε αυτή την πραγματικότητα, πρέπει να είναι η παρουσία ενός σχεδίου για διαρκή βελτίωση. Αυτό μπορεί να έρθει με τη μορφή ενός στρατηγικού σχεδίου ασφάλειας με συγκεκριμένους στόχους που έχουν τεθεί για την ελαχιστοποίηση του κινδύνου ransomware. Μπορεί επίσης να έρθει με τη μορφή ενός καλά μελετημένου σχεδίου αντιμετώπισης συμβάντων που παρέχει συγκεκριμένα βήματα για την αντιμετώπιση μιας επίθεσης ransomware με απλοποιημένο και μεθοδικό τρόπο.
Υποστήριξη από τη διεύθυνση και τους χρήστες
Είναι πολύ σημαντικό, η διοίκηση να παρέχει την απαραίτητη υποστήριξη στην ομάδα ασφάλειας πληροφοριών πολιτικά και οικονομικά και πρέπει να το κάνει σε συνεχή βάση. Υποθέτοντας ότι η ομάδα ασφαλείας είναι σε θέση να κερδίσει την δέσμευση της διοίκησης στο σχέδιό της για την καταπολέμηση του ransomware, θα πρέπει επίσης να «κερδίσει» τους χρήστες με πολιτικές, επιπτώσεις κακών επιλογών και το συνολικό καθορισμό των προσδοκιών για τον τρόπο λειτουργίας και αντιμετώπισης της συγκεκριμένης απειλής.
Αντί να ακολουθηθεί η κοινή προσέγγιση βομβαρδισμού των χρηστών με κανόνες ασφαλείας και μετά δημόσια απόδοση ευθυνών όταν κάνουν λάθος, είναι καλύτερο να αντιμετωπίζονται ως «ενήλικες». Κάθε χρήστης στο δίκτυο αντιπροσωπεύει τόσο μια απειλή όσο και μια ευκαιρία. Αυτοί οι χρήστες που δεν θεωρούνται μέρος της ομάδας ασφαλείας – είτε στο μυαλό τους είτε στο μυαλό του τεχνικού προσωπικού – αποτελούν απειλές. Όσοι συμμετέχουν και αναζητούν το καλύτερο συμφέρον του οργανισμού αντιπροσωπεύουν ευκαιρίες για να κάνουν τον οργανισμό καλύτερο, ώστε να μπορεί να έχει ένα πιο ανθεκτικό περιβάλλον λειτουργίας. Στο πλαίσιο αυτό, είναι απαραίτητη η βελτίωση της ευαισθητοποίησης σχετικά με την ασφάλεια, με απρόσμενα θετικά αποτελέσματα.
Κατάλληλες τεχνολογίες και βέλτιστες πρακτικές
Η καρδιά της ισχυρής άμυνας του οργανισμού έναντι του κακόβουλου λογισμικού (περιλαμβάνοντας και το ransomware) είναι οι καλά σχεδιασμένες και σωστά εφαρμοζόμενες τεχνολογίες. Για να μπορέσει το δίκτυο του οργανισμού να αντιμετωπίσει αποτελεσματικά μια μόλυνση από ransomware, χρειάζεται τα εξής:
- Πρώτα απ ‘όλα, το patching των συστημάτων πρέπει να είναι υπό έλεγχο. Πολλοί οργανισμοί δυσκολεύονται με αυτό το μέτρο, ειδικά όσον αφορά ενημερώσεις κώδικα τρίτων και λογισμικού όπως προγράμματα περιήγησης ιστού και προγράμματα ανάγνωσης PDF. Ακόμα και η έλλειψη ορθολογικού patching των τερματικών συστημάτων παρέχουν έναν άμεσο φορέα επίθεσης σε πολλά δίκτυα σήμερα – και αποτελούν αγαπημένο στόχο των
- Η αποτελεσματική προστασία από κακόβουλο λογισμικό είναι επίσης απαραίτητη. Τα παραδοσιακά προγράμματα προστασίας από ιούς δεν θεωρούνται πια επαρκή, είναι απαραίτητα πιο εξελιγμένα εργαλεία κακόβουλου λογισμικού, όπως antimalware που δεν βασίζεται σε υπογραφή, αλλά σε λίστα επιτρεπόμενων λειτουργιών / λόγισμικού, και τεχνολογίες παρακολούθησης και αποκλεισμού της κυκλοφορίας δικτύου. Η ανίχνευση και η απόκριση σε απειλές του τελικού σημείου, καθώς και τα εργαλεία ενοποίησης ασφάλειας, αυτοματισμού και απόκρισης, είναι τα βασικά στοιχεία για την προστασία του δικτύου από τις σύγχρονες απειλές ransomware.
- Τα αντίγραφα ασφαλείας δεδομένων είναι κρίσιμα. Η αξία των συστημάτων των οργανισμών – ειδικά οι διακομιστές που κινδυνεύουν από μολύνσεις ransomware – είναι ίση με την αξία του τελευταίου αντίγραφου ασφαλείας τους. Μια αξιόπιστη διαδικασία backup πρέπει να μην παραμελεί τα παρακάτω βήματα:
- Έλεγχος και ενημέρωση των πολιτικών δημιουργίας αντιγράφων ασφαλείας.
Η καλύτερη άμυνα κατά του κακόβουλου λογισμικού είναι η επαναφορά δεδομένων από καθαρά αντίγραφα ασφαλείας. Ακόμα και όταν ένας οργανισμός πληρώσει τα «λύτρα», δεν υπάρχει καμία εγγύηση ότι οι εισβολείς θα παραδώσουν το κλειδί αποκρυπτογράφησης. Η επαναφορά από αντίγραφα ασφαλείας είναι πιο αξιόπιστη, φθηνότερη και δεν περιλαμβάνει παράδοση χρημάτων σε εγκληματίες. Η βέλτιστη πρακτική δημιουργίας αντιγράφων ασφαλείας παραμένει ο κανόνας 3-2-1: τρία αντίγραφα δεδομένων, αποθήκευση σε δύο διαφορετικά μέσα και διατήρηση ενός αντίγραφο σε απομονωμένη τοποθεσία. Για προστασία από ransomware, το αντίγραφο ασφαλείας εκτός τοποθεσίας πρέπει να είναι απομονωμένο από το επιχειρηματικό δίκτυο
- Επιχειρηματικά δεδομένα σε «κενό αέρος»
Το cloud storage είναι μια ελκυστική τεχνολογία για την αποθήκευση μακροπρόθεσμων αντιγράφων ασφαλείας δεδομένων και σε ορισμένα σημεία έχει αντικαταστήσει φυσικά μέσα δημιουργίας αντιγράφων ασφαλείας όπως οπτικούς δίσκους, φορητούς σκληρούς δίσκους και κασέτες. Όμως, το cloud storage προστατεύει τα δεδομένα από φυσικές διαταραχές, όπως αστοχία υλικού ή τροφοδοσίας ή πυρκαγιά και πλημμύρα, αλλά δεν προστατεύει αυτόματα από ransomware. Το cloud storage είναι ευάλωτο σε δύο μέτωπα: μέσω συνδέσεων σε δίκτυα πελατών και επειδή είναι κοινόχρηστη υποδομή.
Μια λύση στο παραπάνω πρόβλημα είναι η συμπλήρωση των αντιγράφων ασφαλείας cloud με ταινία ή άλλα μηχανικά μέσα δημιουργίας αντιγράφων ασφαλείας. Το Cloud μπορεί να είναι το αντίγραφο εκτός τοποθεσίας, αλλά η διατήρηση ενός άλλου συνόλου δεδομένων σε μηχανικό μέσο και η διατήρηση αυτών αυστηρά εκτός δικτύου, είναι ο πιο αξιόπιστος τρόπος για να επιτευχθεί «κενό αέρος» και να προστατευτούν τα δεδομένα από μια επίθεση ransomware.
- Τακτικά αντίγραφα ασφαλείας και έλεγχος των πολιτικών διατήρησης
Είναι αυτονόητο ότι οι οργανισμοί πρέπει να δημιουργούν αντίγραφα ασφαλείας των δεδομένων τους τακτικά. Επιπρόσθετα, οι πολιτικές για τη συχνότητα δημιουργίας αντιγράφων ασφαλείας, πρέπει να αξιολογούνται συχνά, ειδικά όσον αφορά τη συχνότητα δημιουργίας αντιγράφων ασφαλείας των δεδομένων σε απομακρυσμένες τοποθεσίες (συμπεριλαμβανομένου του cloud) και μηχανικά διαχωρισμένων μέσων, όπως ταινία. Θα πρέπει επίσης να επανεξετάζεται τακτικά η διάρκεια διατήρησης των αντιγράφων ασφάλειας. Οι επιθέσεις ransomware χρησιμοποιούν συχνά καθυστερήσεις χρόνου για να αποφύγει τον εντοπισμό ή «βρόχους επίθεσης» για να στοχεύσει φαινομενικά καθαρά συστήματα.Οι οργανισμοί ενδέχεται να χρειαστεί να επιστρέψουν σε αρκετές γενιές αντιγράφων ασφαλείας για να βρουν καθαρά αντίγραφα, απαιτώντας μεγαλύτερη διατήρηση και, ενδεχομένως, περισσότερα αντίγραφα. Η διατήρηση ξεχωριστών αντιγράφων ασφαλείας για κρίσιμα επιχειρηματικά συστήματα θα πρέπει επίσης να διευκολύνει την ανάκτηση.
- Εξασφάλιση της «καθαρότητας» και «ανθεκτικότητας» των αντιγράφων ασφάλειας
Η διασφάλιση της δημιουργίας αντιγράφων ασφαλείας είναι απαραίτητο να είναι απαλλαγμένη από κακόβουλο λογισμικό. Εκτός από τις αυστηρές πολιτικές «κενού αέρος» – όπως η όσο το δυνατόν γρηγορότερη σύνδεση των μέσων μαζικής ενημέρωσης – τα ενημερωμένα εργαλεία ανίχνευσης κακόβουλου λογισμικού είναι απαραίτητα, όπως και η επιδιόρθωση του συστήματος. Για επιπλέον προστασία, οι οργανισμοί θα πρέπει να εξετάσουν το ενδεχόμενο χρήσης μηχανισμών μοναδικής εγγραφής / πολλαπλής ανάγνωσης (Write Once / Read Many – WORM) όπως οπτικούς δίσκους ή ταινία που έχει διαμορφωθεί ως τέτοια. Τέλος, τα στοιχεία ελέγχου πρόσβασης δεδομένων είναι μια περαιτέρω προστασία. Ο περιορισμός της πρόσβασης των χρηστών σε κρίσιμα δεδομένων μπορούν να σταματήσουν πρώτα την εξάπλωση του ransomware και να προσθέσουν ασφάλεια στα αντίγραφα ασφάλειας.
- Δοκιμή και σχεδιασμός
Όλα τα πλάνα δημιουργίας αντιγράφων ασφαλείας και ανάκτησης πρέπει να δοκιμάζονται σε τακτικά διαστήματα. Αυτό είναι κρίσιμο τόσο για τον υπολογισμό των χρόνων ανάκτησης, όσο και για να εξακριβωθεί εάν τα δεδομένα μπορούν να ανακτηθούν. Ο έλεγχος θα πρέπει να περιλαμβάνει όλες τις φάσεις του σχεδίου αποκατάστασης, ιδανικά χρησιμοποιώντας διπλά μέσα. Το χειρότερο σενάριο θα ήταν η άσκηση αποκατάστασης να μολύνει υπάρχοντα, καθαρά αντίγραφα ασφαλείας.
- Η τμηματοποίηση δικτύου είναι ένα άλλο σημαντικό μέρος της προστασίας έναντι των επιθέσεων ransomware, αλλά μερικές φορές δεν υλοποιείται σωστά. Η τεχνική αυτή πρέπει να λαμβάνει υπόψη ότι τα εικονικά LAN – η πιο κοινή τεχνική τμηματοποίησης – δεν είναι ασφαλή εάν μια εσωτερική απειλή, δηλαδή το ransomware, εξακολουθεί να μπορεί να φτάσει σε άλλα τμήματα εσωτερικού δικτύου.
- Τα τερματικά των χρηστών, πρέπει να είναι σωστά κλειδωμένα. Η ενεργοποίηση στοιχείων ελέγχου, όπως το τείχος προστασίας (firewall) και η απενεργοποίηση μη ασφαλών πρωτοκόλλων μπορεί να συμβάλει σημαντικά στην αποδοτική άμυνα έναντι επιθέσεων. Επιπρόσθετα, αποδοτική άμυνα προσφέρει η υλοποίηση οδηγιών και πρακτικών ασφαλών ρυθμίσεων συσκευών, όπως αυτές του Center for Internet Security αλλά και κατασκευαστών λειτουργικών συστημάτων
- Η χρήση διαφορετικών διαπιστευτηρίων – ιδανικά, μέσω ξεχωριστής υπηρεσίας καταλόγου – για αποθήκευση δικτύου είναι απαραίτητη, για την αποτροπή της μετάδοσης του ransomware σε κρίσιμα δικτυακά συστήματα αποθήκευσης.
- Τέλος, οι αξιολογήσεις ασφάλειας μπορούν να βοηθήσουν ουσιαστικά στην προστασία των πληροφοριακών πόρων του οργανισμού, έχοντας την μορφή ολοκληρωμένων αξιολογήσεων ασφαλείας που εξετάζουν όλα τα διακριτά μέρη ασφαλείας, τόσο τεχνικά όσο και λειτουργικά. Με τον τρόπο αυτό, εντοπίζονται πολλές αδυναμίες που διευκολύνουν επί του παρόντος την απειλή του ransomware. Η τεκμηρίωση των ευρημάτων αυτών και η παρουσίαση στην διοίκηση μπορεί να είναι επίσης ένα αξιόλογο εργαλείο για την εξασφάλιση της απαραίτητης υποστήριξη
Παρακολούθηση και απόκριση
Κανένας οργανισμός ή ομάδα ασφαλείας πληροφοριών δεν μπορεί να ασφαλίσει – ή να ανταποκριθεί – σε πράγματα που δεν αναγνωρίζει. Οι περισσότεροι οργανισμοί διαθέτουν πρόγραμμα παρακολούθησης, προειδοποίησης και αντίδρασης συμβάντων μέσω του οποίου οι ομάδες ασφαλείας πληροφοριών εξασφαλίζουν ότι παρακολουθούνται διακομιστές, σταθμοί εργασίας και το συνολικό δίκτυο του οργανισμού για την ανίχνευση ανωμαλιών. Επιπρόσθετα, εξασφαλίζεται η απαραίτητη προετοιμασία για την άμεση ανάληψη δράσης και τις απαραίτητες δράσεις για να ανταποκριθούν στο εκάστοτε συμβάν και να αποτρέψουν την επανάληψή του.
Συνεχής βελτίωση
Πολλοί οργανισμοί και επιχειρησιακές ομάδες – τόσο στη διαχείριση όσο και στην πληροφορική και την ασφάλεια πληροφοριών – θεωρούν την ασφάλεια ως στιγμιαία διεργασία, όπου ο οργανισμός επενδύει σε μέτρα, γίνεται χρήση τους, κάποιες φορές αξιολογούνται, και όλα παίρνουν το δρόμο τους. Αντίθετα, οι ομάδες πληροφορικής και ασφάλειας πληροφοριών πιέζονται λόγω της έλλειψης χρόνου και φόρτου εργασίας, με αποτέλεσμα η βελτίωση των μέτρων ασφάλειας να παραμελείτε ή να απαξιώνεται, ενώ και η τριβή με καθημερινά αποδεικνύονται ότι είναι μεγάλη απόσπαση της προσοχής.
Οι λύσεις ασφαλείας στο πρόβλημα επιθέσεων ransomware δεν επικεντρώνονται προς το τελικό σημείο, ούτε στο δίκτυο. Είναι ολιστικές, με το σύνολο των τμημάτων του οργανισμού να πρέπει να είναι σε αγαστή συνεργασία για την αποτελεσματική άμυνα έναντι επιθέσεων ransomware.
Διαρκής εκπαίδευση
Τέλος, είναι. Απαραίτητη η διαρκής εκπαίδευση του προσωπικού των οργανισμών σχετικά με τους κινδυνους μόλυνσης και εξάπλωσης των επιθέσεων ransomware. Οι μεμονωμένοι χρήστες μπορούν να αποτελέσουν αποτελεσματικό ανάχωμα γνωρίζοντας τους κίνδυνους από μη ασφαλή συνημμένα και αντιμετώπιση επιθέσεων phising, καθώς και βέλτιστων πρακτικών και βασικών μέτρων ασφάλειας.
Επίλογος
Κλείνουμε το άρθρο με μια τελευταία σκέψη. Η απειλή του ransomware είναι αναμφισβήτητη, με τους κυβερνοεγκληματίες να στοχεύουν προσεκτικά και να δημιουργούν αυτές τις επιθέσεις σε μια προσπάθεια να αυξήσουν τα κέρδη τους.
Όπως είδαμε, η σωστή επιλογή μιας ολιστικής προσέγγισης για την άμυνα του οργανισμού, που περιλαμβάνει διαδικαστικά, οργανωτικά και τεχνικά μέτρα ανίχνευσης, αποτροπής ή αποκατάστασης,, μπορεί να αποτελέσει μια αποδοτική άμυνα του οργανισμού σε επιθέσεις ransomware. Η πραγματικότητα, όμως, αποδεικνύει, ότι ακόμα και τα καλύτερα σχεδιασμένα μέτρα, κάποιες φορές αποτυγχάνουν. Τότε, πιθανά οι οργανισμοί αισθάνονται ότι δεν έχουν άλλη επιλογή από το να πληρώνουν τα «λύτρα» για να ανακτήσουν ή να αποτρέψουν τη διαρροή ευαίσθητων δεδομένων.
Εκτός του προφανούς προβλήματος ότι η πληρωμή των «λύτρων» δεν εξασφαλίζει την ανάκτηση της πρόσβασης ή την αποτροπή διαρροής των δεδομένων, οι οργανισμοί αντιμετωπίζουν έναν ακόμα μεγαλύτερο κίνδυνο. Τον Οκτώβριο του 2020, το Υπουργείο Εξωτερικών Ελέγχου Περιουσιακών Στοιχείων του Υπουργείου Οικονομικών των ΗΠΑ (OFAC) ενημέρωσε ότι οι οργανισμοί ενδέχεται να παραβιάσουν τους νόμους περί κυρώσεων των ΗΠΑ ή του Παγκόσμιου Οργανισμού Εμπορίου του εάν πραγματοποιούν πληρωμές ransomware σε συγκεκριμένους κυβερνοεγκληματίες, διότι η διευκόλυνση των πληρωμών ransomware μπορεί περαιτέρω να επιτρέψει στους εγκληματίες να προωθήσουν τις παράνομες δραστηριότητές τους
Επιπλέον, οι πληρωμές που πραγματοποιούνται σε ορισμένους φορείς ή έθνη σε καθεστός εμπάργκο θα μπορούσαν να χρησιμοποιηθούν για τη χρηματοδότηση δραστηριοτήτων που είναι αντίθετες με τα κανονιστικά πλαίσια για την καταπολέμηση της τρομοκρατίας. Ο Διεθνής Νόμος για τις Οικονομικές Δύναμες Έκτακτης Ανάγκης (IEEPA), για παράδειγμα, απαγορεύει στους Αμερικανούς πολίτες να πραγματοποιούν συναλλαγές με οποιαδήποτε οντότητα στη Λίστα Ειδικών Υπηκόων και Αποκλεισμένων Ατόμων (Λίστα SDN). Αυτές οι κυρώσεις επιβάλλονται με αυστηρή ευθύνη: ένα θύμα μπορεί να θεωρηθεί υπεύθυνο ακόμη και αν δεν γνώριζε ότι πραγματοποιεί συναλλαγή με απαγορευμένη οντότητα.
Η OFAC έχει προσθέσει ορισμένους γνωστούς εγκληματίες στον κυβερνοχώρο στη Λίστα Ειδικά Υπηκόων και Αποκλεισμένων Ατόμων (Λίστα SDN), απαγορεύοντας σε άτομα και εταιρείες να πραγματοποιούν συναλλαγές μαζί τους. Επιπλέον, οι κυρώσεις OFAC απαγορεύουν τις συναλλαγές στις οποίες εμπλέκονται άτομα που βρίσκονται σε χώρες υπό καθεστός εμπάργκο, όπως η Κούβα, το Ιράν, η Βόρεια Κορέα, η Συρία και η περιοχή της Κριμαίας της Ουκρανίας. Επομένως, εάν ένας οργανισμός πληρώσει θέση για να απελευθερώσει πληροφορίες που κρατούνται όμηροι από επίθεση ransomware, ακόμη και όταν η πληρωμή πραγματοποιείται σε συγκεκριμένα πλαίσια, ενδέχεται να επιφέρει σε κυρώσεις.
Σε αυτό το πλαίσιο, οι οργανισμοί εκτός από τη δημιουργία επαρκών μηχανισμών ελέγχου για την ασφάλεια πληροφοριών, πρέπει να βεβαιωθούν ότι έχουν εφαρμόσει ένα αποτελεσματικό πρόγραμμα συμμόρφωσης, συμπεριλαμβανομένων εργαλείων ελέγχου που θα ειδοποιούσαν την εταιρεία εάν ένα άτομο ή οργανισμός είναι στην Λίστα Ειδικά Υπηκόων και Αποκλεισμένων Ατόμων, για τον μετριασμό του κινδύνου επιβολής κυρώσεων και προστίμων. Οι οργανισμοί που πέφτουν θύματα επιθέσεων ransomware που ενδέχεται να έχουν διεξαχθεί από άτομα στην Λίστα Ειδικά Υπηκόων και Αποκλεισμένων Ατόμων θα πρέπει να εξετάσουν σοβαρά το ενδεχόμενο της μη πληρωμής των «λύτρων», και την διερεύνηση εναλλακτικών τρόπων αντιμετώπισης που δεν αντίκεινται στις προβλέψεις του νόμου, για να αποφύγουν να θεωρηθούν συνένοχοι και να τους επιβληθούν δυσβάσταχτες κυρώσεις.
[1] https://en.wikipedia.org/wiki/Ryuk_(ransomware), https://malwiki.org/index.php?title=Ryuk
[2] https://malwiki.org/index.php?title=Dharma
[3] https://malwiki.org/index.php?title=BitPaymer
[4] https://malwiki.org/index.php?title=SamSam
[5] https://cybersecurityventures.com/global-ransomware-damage-costs-predicted-to-reach-20-billion-usd-by-2021/