Едно нещо, което притеснява всички ИТ директори през последните няколко години, е дали тяхната инфраструктура и услуги са защитени от атаки на рансъмуер. Досега през 2021 г. наблюдаваме нарастване на атаките на рансъмуер, насочени дори към големи предприятия като Colonial Pipeline (Colonial Pipeline плати 5 милиона долара откуп един ден след кибератака), които снабдяват 45% от доставките на дизелово гориво, бензин и реактивно гориво на Източното крайбрежие и в крайна сметка плащат 5 милиона за връщане на достъп до техните данни. Най-новите статистически данни показват, че има атака на рансъмуер на всеки 11 секунди.

И така, как можем да се предпазим или поне да намалим риска от тези видове атаки?

Модели на атака

На първо място, важно е да знаете как се правят повечето атаки на рансъмуер. Първоначално повечето измами досега са били фокусирани върху получаването на достъп, криптирането на данните и искане на откуп. В края на 2020 г. обаче някои групи започнаха да променят стратегията си, за да използват тройно изнудване. Това означава, че вашите данни не само се шифроват и дефилтрират, но ако не отговорите на първоначалния откуп, нападателите могат също да предприемат DDoS атака срещу вашите услуги.

И така, какви модели на атака виждаме като най-често срещани? В повечето случаи има само няколко от тези вектори на атака, които се използват за първоначални атаки, но те се използват и в комбинация, за да се опитат да получат достъп възможно най-бързо.

• Фишинг имейли (където те създават новосъздадени домейни за провеждане на фишинг имейл кампании за кратък период)
• Drive-by изтегляне (обикновено започва с фишинг имейл)
• Пълнене на идентификационни данни (повторно използване на компрометирана потребителска идентичност) или чрез фишинг на идентификационни данни, или чрез получаване на информация за акаунта от хакнати източници на трети страни.
• Атаки за услуги, които не са базирани на мултифакторна автентификация, като RDP, ADFS, активна директория
• Използване на уязвимости (Exchange, Citrix NetScaler, Fortinet като някои примери)
• DDoS атаки (атаки с голям обем, използващи уязвимости в, например, UDP / DTLS протоколи.)

Повечето рансъмуери са насочени към заразяване на Windows-базирани среди, работещи с активна директория (Active Directory). Обикновено атакуващите започват с получаване на достъп до компрометирана крайна точка или директно до инфраструктурата чрез уязвими външни услуги. Нараства обаче и броят на атаките, насочени към други операционни системи и среди.

Обикновено, когато компютър или сървър се компрометират, нападателите прилагат логика, за да деактивират услугите за сигурност и архивиране, да изчистят регистрационните файлове и да използват скриптове и други инструменти, за да направят разузнаване на локалната мрежа. Те също се опитват да уловят потребителското име и паролата, свързани с локалния компютър, за да изхвърлят локалната потребителска база данни, но също така намират и други локални тайни, за да се опитат да получат по-нататъшен достъп до инфраструктурата.

Контрамерки

За да приложим контрамерки, трябва да разберем и защитим различните повърхности за атака и да гарантираме, че имаме защита между системите, за да се предотврати възможността на нападателите да извършват пробив. Трябва да има и механизми, които да осигурят видимост и автоматичен отговор при възникване на атака. Основните принципи за намаляване на риска за рансъмуер са:

• Поддържайте вашите системи актуални – Това е, за да се избегне възможността на нападателите да използват известни уязвимости. Много организации разполагат с автоматизирани корекции за Windows базирани среди, но също така трябва да се уверим, че имаме процеси за други системи, при които може да нямаме същите автоматизирани системи за корекция, като външни услуги (VPN, Firewall) и други продукти на трети страни.
• Прилагайте задължителна мултифакторна автентификация за всички отдалечени достъпи – Това е за избягване на атаки и в повечето организации не винаги се изпълнява лесно, тъй като много от тях имат външни услуги, които имат поддръжка за различни протоколи като SAML, Radius, OAuth, удостоверяване на Windows, LDAP и други . На пазара обаче има много доставчици на мултифакторна автентификация, които поддържат повечето от тези протоколи, като например Azure Active Directory, и не забравяйте да използвате мобилното приложение и да не разчитате на базирани на SMS автентификации. (може ли да предложим решение?)
• Защита на потребителските акаунти – Това не винаги е проста задача, но вече има все повече услуги, които могат да осигурят защита на самоличността и да уведомят дали потребителските идентификационни данни са станали публични. (може ли да предложим решение?)
• Защита на крайната точка – Повечето атаки на рансъмуер започват с компрометирана крайна точка, така че е важно да имате подходяща сигурност (EndPoint Security). Традиционната антивирусна програма вече не е достатъчна, като виждаме, че все повече организации приемат EDR (Endpoint Detection and Response), за да бъдат по-добре подготвени да спрат неизвестни процеси/дейности. Което е важно, тъй като рансъмуерът винаги се адаптира. Деактивирайте макросите в Office, премахнете по-старите версии на PowerShell (повечето рансъмуер се опитват да използват по-стари версии), променете поведението на файловете по подразбиране за файловете HTA / JS / JSE с помощта на груповите правила и накрая се уверете, че крайните точки са актуални. Също така, уверете се, че използваните уеб браузъри се актуализират, тъй като виждаме все повече и повече уязвимости, свързани с тях.
• Сигурност на имейлите – Тъй като много атаки на рансъмуер започват с фишинг имейл, важно е да имате подходящи механизми за защита, за да намалите риска. Ето защо е важно да разберете и обучите крайните потребители за това как да разпознават фишинг имейли или дали някой се опитва да примами информацията от потребителите.
• Защита на данните – Ако вашата инфраструктура и данни се криптират от рансъмуер, важно е да имате подходящи механизми за защита на данните. Има случаи, когато данните за архивиране също са криптирани като част от атаката на рансъмуер, така че има няколко аспекта, които трябва да разгледаме. Първо, услугите и системите за архивиране трябва да бъдат прекъснати и да не са директно достъпни от един и същи домейн или инфраструктура, така че да няма начин нападателите да имат пряк достъп до резервните системи. На второ място, данните за архивиране трябва да бъдат непроменяеми, така че рансъмуера да не може да презапише или промени данните за архивиране. Вие също трябва да следвате правилото 3-2-1, където имате 3 резервни копия, 2 различни носителя (диск / касета) и 1 извън сайта. Това ще гарантира, че можете да възстановите успешно, ако е необходимо.
• Видимост – Наличието на видимост за случващото се във вашата инфраструктура също е важен аспект, за да може да откриете дали има текуща атака или някой се опитва да извърши разузнаване. Видяхме, че много нападатели просто продават отдалечен достъп до клиентска среда и позволяват на други да се справят с внедряването на рансъмуер, така че да имате представа дали някой е успял да получи достъп е важно. Това означава, че трябва да имаме правилно регистриране от различни системи като Active Directory, дневници за събития на Windows Security, мрежови дневници и други услуги от Syslog, NetFlow и други, за да можем да видим цялата картина.
• Други свързани действия за намаляване на риска – Съществуват и други механизми, които могат да предотвратят някои странични движения след първоначален компромис. Като:
• Деактивирайте по-старите версии на SMB протокола
• Уверете се, че подписването на SMB е активирано
• Надстройте до по-нови версии на PowerShell и премахнете по-старите версии
• Изтеглете решение за парола за локален администратор (LAPS) от Официалния център за изтегляния на Microsoft, за да осигурите ротация на паролата за акаунти на локален администратор
• Мониторингът на DNS трафик за заявки към злонамерени домейни може да се извършва с помощта на Log Analytics и DNS мониторинг (или Sentinel)
• Блокирайте трафика към и от Tor адреси, използвайки някаква форма на IP репутация или DNS филтриране (за предпочитане и двете) и NDR (Новосъздадени записи на домейни)

Как да се предпазите от бъдещи заплахи

Голяма част от техниките, които хакерите използват за разпространение на техния софтуер, са възможни поради начина, по който Active Directory е конфигуриран и е работил в историята, където крайните потребители и устройства са били част от голяма базирана на доверие архитектура.

Пътят за премахване на този риск е да започнете да търсите в преместването на крайните си точки, за да използвате Azure Active Directory.

Въпреки това, нищо не е гарантирано, че ще ви предпази на 100% от атаки и едно нещо, което много ИТ директори и CISO трябва да започнат да разбират, е, че един ден ще бъдете атакувани, така че започнете да планирате сигурността и управлението си. Връщайки се към точката, че нападателите също използват извличане на данни като част от техниките си на изнудване, важно е да започнем да разглеждаме DLP опциите, за да гарантираме, че информацията и данните са криптирани и по този начин не са достъпни за нападателите, дори ако са успели да получат достъп към данните.

CyPro Bulgaria Ltd.