защита от рансъмуер

  • Войната „изненада“ много ИТ администратори, спешно подобряват киберзащитата

    Разузнавателните агенции от месеци предупреждават, че нападението на Русия срещу Украйна ще бъде придружено от кибератаки, включително такива срещу критична държавна инфраструктура. Подобно на прекъсванията на електроснабдяването в Киев през 2015 г., за което беше обвинена Русия.

    През януари в Украйна се появи рансъмуерът WhisperGate, насочен към структури на  държавната администрация. Преди дни компанията за киберсигурност ESET докладва за нов зловреден софтуер, Hermetic Wiper, изтриващ безвъзвратно данните на афектираните системи (помислете дали имате надежден бекъп!).

    Съвсем наскоро и Агенцията за киберсигурност и инфраструктурна сигурност на САЩ призова американските компании да укрепят своята защита.

    Войната е „идеалният“ бизнес

    Логично, войната в Украйна доведе до покачване стойността на акциите на много компании в сектор Киберсигурност. Инвеститорите в световен мащаб залагат на това, че търсенето на специфични продукти и услуги за киберзащита  нараства и ще нараства с ожесточаването на конфликта.

    Като добавим масираните DDoS атаки спрямо важни сайтове на украинското правителство, банки  и медии, разбираемо е защо акциите на Cloudflare, Crowdstrike, Palo Alto, Mandiant и др. се покачиха с 10-12 %.

    Причина за поскъпването обаче е не само моментната ситуация, която е поредния исторически урок, който света получава. През 2017 г., зловреден софтуер с прякор „NotPetya“, предназначен да атакува критичните информационни системи в Украйна, успя да причини щети за повече от 10 млрд. USD по целия свят, след като буквално излезе извън контрола на неговите създатели. Засегнати бяха системите на други правителства, големи компании като Maersk и стотици хиляди малки бизнеси (като вашия!).

    Да припомним

    Киберпрестъпността е генерирала 3 трлн. USD през 2015 г., а към 2025 г. очакванията са тези обороти да достигнат 10-11 трлн. USD (според вас, от кого са взети тези пари?). Не е учудващо, че киберпрестъпността се е превърнала  в един от основните източници на приходи за групировки и режими. Постъпления в криптовалути все още лесно могат да се прехвърлят, изпират и узаконяват, поради слабите регулаторни рамки в редица държави.

    Ситуацията в България

    Министерство на електронното управление обяви, че са предприети действия, съвместно с отдел „Киберпрестъпност“ към ГДБОП в МВР, за филтриране или преустановяване на трафика от над 45 хил. IP-адреса, от които са извършвани опити за зловредна намеса в електронни системи или мрежи на страната. Това е стъпка в правилната посока на национално ниво,  но все още няма ясно послание към бизнеса и гражданите как да подготвят собствената си защита.

    В нашата страна продължава да битува заблудата, че родните бизнеси са икономически неатрактивни за киберпрестъпниците, които са заети с далеч „по-важна“ работа. Това изобщо не е така: на практика не съществува регион или бизнес, който да не е интересен за киберпрестъпността.

    Отпуснете бюджетите за ИТ

    Не чакайте да пострадате, за да подсигурите дейността на дружествата си. Позволете на ИТ екипа си да се мобилизира и да подобри киберсигурността. Много компании в България за първи път откриват тази необходимост, просто защото някой западен партньор го изисква от тяхното дружество.

    Родния бизнес час по-скоро трябва да започне да се допитва до професионалисти, които да го посъветват какво и как да предприеме, вместо да харчи пари за решения от типа „one size fits all”, преди да се е уверил, че те са подходящи за него.

    Нашият Security Operations Center (SOC) oперира успешно от шест години в България и извършва наблюдение на инфраструктурата на нашите клиенти. Силно препоръчвам на компаниите да започнат да  използват подобни услуги, което ще им спести пари и проблеми.

    Абсолютно съм съгласен с Шломо Крамер, съосновател на Checkpoint, който твърди, че предприемането на мерки в последната минута е по-скоро резултат от липса на информираност, а не се дължи на липса на възможности. Възползвайте се от наличните възможности навреме и живейте и развивайте бизнеса си спокойно!

  • Топ 5 на най-опасните видове рансъмуер

    Криптовирусите са една от водещите заплахи за бизнеса. Въпреки че представляват само малка част от общия обем на малуера, те са предпочитани от компютърните престъпници заради възможността за изкарване на бързи пари.

    Размерът на печалбата може да варира от няколкостотин долара (ако е инфектиран отделен потребител) до над милион долара (ако вирусът е криптирал данните на цяла организация).

    Бизнесът е основната жертва на рансъмуера, защото данните са от критична важност за фирмите и много от тях предпочитат да платят откуп, за да си върнат достъпа до информацията.

    Замирането на криптовирусите е мит

    През 2018 г. популярността на криптовирусите е намаляла за сметка на cryptojacking атаките, посочва в свой доклад Агенцията на Европейския съюз за мрежова и информационна сигурност (ENISA). Това обаче не означава, че заплахата от криптиране на данните ви намалява.

    Много видове рансъмуер продължават да се използват активно. Според ENISA криптовирусите заразяват около 15% от всички фирми в сектори като здравеопазване, финансови услуги, телекоми, шоубизнес, строителство, транспорт и търговия. Агенцията посочва и кои са петте най-опасни вида рансъмуер на базата на честотата, с която атакуват организации.

    WannaCry

    WannaCry убедително заема първото място с почти 54% дял от всички атаки с рансъмуер. Този криптовирус се разпространява из цялата корпоративна мрежа без необходимостта от човешка намеса.

    През май 2017 атака с WannaCry засегна стотици хиляди компютри в 150 страни от цял свят. В друга атака от март 2018 г. пострада гигантът в производството на самолети Boeing. Предполага се, че са платени над 300 откупа от организации, пострадали от WannaCry.

    GandCrab

    За по-малко от месец след появата си през януари 2018 г. GandCrab засегна над 50 хил. системи. В периода между март и юли 2018 г. това е бил вторият най-често засичан вид рансъмуер в света.

    Атаката с GandCrab става чрез макро скрипт, скрит в прикачен файл в имейл съобщение. За разлика от други криптовируси обаче GandCrab иска откупи в даш, а не в биткойн. Засяга предимно бизнеси от скандинавските и англоговорящите страни.

    NotPetya

    NotPetya се появи през юни 2017 г. и първоначално засегна над 1 млн. компютри в Украйна. Този криптовирус е комбинация от експлойтите EternalBlue и EternalRomance. Поне около 2000 компании само в Украйна бяха засегнати. В повечето случаи рансъмуерът буквално изтриваше данните от твърдите дискове на засегнатите компютри.

    SamSam

    SamSam е един от най-доходоносните видове рансъмуер. Кодът му е написан с идеята да не оставя следи за дейността си. Жертва на SamSam станаха местните власти в Атланта и Департамента по транспорт на Колорадо. Щетите от вируса се оценяват на милиони.

    На толкова се оценяват и печалбите от SamSam – те надхвърлят 6. млн. долара досега според компанията за информационна сигурност Sophos. Това го превръща в една от златните мини в света на компютърните престъпления.

    Lokibot

    Основната функция на Lokibot всъщност е да краде данни за достъп до онлайн банкирането на засегнатите потребители. Но той се използва и като рансъмуер, защото дава възможност на хакерите да заключват инфектираните смартфони. През първата половина на 2018 г. Lokibot е бил сред трите най-търсени от компютърните престъпници зловредни кодове за мобилни устройства.

    Прочетете нашия съветник как да се предпазите от рансъмуер.

  • Двама иранци са обвинени за създаването на рансъмуера SamSam

    Американското правосъдно министерство обвини двама ирански граждани за организиране на рансъмуер кампанията SamSam, Досега тя е ощетила частни и държавни институции по цял свят с поне 30 млн. долара, твърди обвинението.

    Заподозрени за автори на SamSam са Фарамарз Шахи Саванди и Мохамед Мехди Шах Мансури. Според обвинението те са създали първата версия на SamSam в края на 2015 и са започнали да проучват организации, които да атакуват.

    „Заподозрените са използвали малуер, за да нанаесат щети за над 30 млн. долара на над 200 институции. Според обвинението заподозрените са пробили компютърни системи в 10 американски щата, както и Канада, и са искали откуп. Криминалната им дейност е ощетила държавни агенции, общински власти, болници и безброй невинни жертви“, коментира зам.главният прокурор Род Розенстийн.

    В търсене на слаби места

    Голяма част от рансъмуер кампаниите таргетират безразборно десетки и дори стотици хиляди потребители. SamSam се отличава с това, че атакува конкретни организации. За да постигнат това, неговите автори първо намират организации със слабо място. В повечето случаи това е уязвим компютър, който използва RDP(Remote Desktop Protocol) за отдалечен достъп.

    Уязвимият компютър се използва като входна точка, през която SamSam се вмъква в компютърната мрежа на организацията и криптира данните, намиращи се на свързаните устройства. За да бъдат декриптирани, жертвите трябва да платят откуп, чийто размер може да варира от няколко хиляди долара до 50 хил. долара.

    Обвинението твърди, че следвайки този модел Шахи Саванди и Мехди Шах Мансури са спечелили над 6 млн. долара от събрани откупи.

    Нов криминален бизнес модел

    SamSam е в основата на нов бизнес модел в компютърната престъпност според едно от последните проучвания на компанията за киберсигурност Sophos. Именно SamSam е дал началото на таргетираните атаки срещу институции, при които размерът на исканите откупи може да стигне стотици хиляди долари и дори да надхвърли 1 млн. долара.

    Според американското правосъдно министерство активност на SamSam за последно е засечена на 25 септември 2018 г. На тази дата с рансъмуер беше атакувано пристанището в Сан Диего.

  • Кибератаките: големи печалби срещу малка инвестиция

    Кибератаките срещу институции вече не се правят с цел забавление или нанасяне на щети. Днес основният мотив са парите, като печалбата от една-единствена атака може да надхвърли 1 млн. долара.  Това заявиха участниците в конференцията по киберсигурност QuBit Conference Sofia 2018. Freedomonline.bg е медиен партньор на събитието.

    В същото време прагът за навлизане в незаконната индустрия за компютърни престъпления е много нисък. Ако преди по-малко от 20 години за това са се изисквали сериозни технически умения, сега това не е необходимо.

    Големи печалби срещу малка инвестиция

    Дори и необучен човек може да стане престъпник, или да си намери хакер-наемник. Изисква се само малка инвестиция. „Инструментите са налице. Уменията са налице. Нужни са само 2-3000 долара, за да може някой да се занимава с компютърни престъпления“, заяви Питър Трейвън, специален агент на ФБР.

    Пред голяма част от бизнеса и държавните институции стои въпросът не дали, а кога ще бъдат хакнати. Причината е, че всяка институция работи с лични данни и интелектуална собственост, а те струват пари. „3000 компании се регистрират в Силициевата долина всеки месец. Представете си колко много интелектуална собственост има в този регион“, заяви Ондрей Крехел от компанията за киберсигурност LIFARS.

    Всеки е потенциална жертва

    Жертви на кибератаки са болници, общински администрации, дори маркетингови компании, които обработват големи обеми лични данни. Въпреки това много фирми продължават да не се интересуват от собствената си информационна сигурност. „Компаниите все още отказват да възприемат идеята, че могат да станат жертви. Факт е обаче, че данните им могат да бъдат откраднати“, коментира Крехел. Той даде пример с американски университет, който е претърпял 15 пробива на информационните си системи, без служителите изобщо да разберат.

    „Това е просто бизнес. А когато нещо прави пари, то расте много бързо“, допълва Борис Гончаров, главен стратег по киберсигурност в дружеството за инфомрационна сигурност Amatas.

    Плащане на рекет вместо предпазливост

    Една от основните заплахи пред бизнеса е рансъмуерът. Той е достъпен (можете да си наемете рансъмуер като услуга от някои от черните онлайн пазари) и ефективен, тъй като много компании предпочитат да си платят откупа, за да бъдат данните им дешифрирани.

    Плащането на откуп противоречи на препоръките, давани от полицията и компаниите за информационна сигурност. Въпреки това много фирми се оказват принудени да платят, дори и ако исканата сума е в размер на стотици хиляди долари. Има случаи, в които компании са склонни да платят дори суми, които надхвърлят 1 млн. долара. „Когато информационните системи са напълно пречупени, а фирмата трябва да раздава заплати, тя няма друг избор, освен да плати“, посочва Крехел.

    Съществуват много разновидности на рансъмуер и всяка от тях има потенциала да донесе значителни печалби на престъпниците. Само атаките с рансъмуера SamSam са донесли досега 6.5 млн.печалба според доклад на Sophos.

    Друг проблем е, че дори платеният откуп да бъде проследен, блонкирането на трансфера е трудно, тъй като плащанията стават в криптовалути. Дигиталните портфейли на престъпниците са публични, но е трудно те да бъдат замразени, а платените откупи – върнати на жертвите. „Имахме случай, в който 8 млн. долара стояха в един портфейл в продължение на 2 седмици. Нямаше международна институция, която да замрази портфейла. Няма юрисдикция върху криптовалутите. Борсите не съдействат.“, коментира Крехел.

  • Как таргетираните атаки с рансъмуер се превърнаха в нелегален бизнес за милиони

    Приключващата 2018 г. ще бъде запомнена като годината на таргетираните кибератаки с рансъмуер. Ако преди няколко години престъпниците залагаха на масирани рансъмуер кампании, насочени към стотици хиляди потребителите, днес те предпочитат да атакуват отделни организации.

    Тази тактика се отплаща. Всъщност това е най-печелившата форма на компютърно престъпление според доклад на английската компания за киберсигурност Sophos. Тя дава за пример SamSam – опостушителен рансъмуер, който през първата половина на 2018 г. парализира дейността на няколко държавни институции в САЩ.

    Печалби за милиони

    Авторите на SamSam са спечелили поне 6.5 млн. долара от началото на 2016 г. досега, показват данните на Sophos. Но което е по-важно: те създадоха нов доходоносен модел на компютърно престъпление, който вече се копира и от други престъпници.

    Повечето видове рансъмуер искат като откуп суми между няколкостотин и хиляда долара. От появата си през 2016 г. SamSam вдигна мизата и  започна да иска между 10 и 50 хил. долара. Атакувайки слабозащитени машини и получавайки през тях достъп до цялата мрежа на организацията, престъпниците правят така, че жертвите да са склонни да си платят. „Атаката е толкова сериозна, че голяма част от жертвите предпочитат да платят откупа“, коментират от Sophos.

    Този модел бързо се разпространи. Хакерите започнаха да атакуват конкретни институции срещу петцифрени и дори шестцифрени суми. Авторите на рансъмуера BitPaymer например искат суми от 50 хил. долара до 1 млн. долара. Заразените с Ruyk институции получават искане за суми от порядъка на 100 хил. долара.

    Слабите места са навсякъде

    Някога защитата от вируси беше сравнително проста. Достатъчно беше антивирусната програма да засече зловреден инсталационен файл и да му попречи да се инсталира или разпространи към други устройства в мрежата.

    Сега инсталационният файл е само част от процеса на заразяване. Атаката може да започне с Word документ, прикачен в имейл. Сам по себе си документът е безобиден, но скритият в него макро скрипт сваля от интернет истинския малуер.

    Някои видове рансъмуер имат функционалността на компютърни червеи. Други използват уязвимости в операционнаата система или определени софтуерни продукти.

    Подобна сложност на атаките изисква комплексно решение за сигурност. То включва в себе си не само антивирусен софтуер, но и решение за политики за сигурност. С него могат да се налагат права и ограничения на всички устройства в мрежата, за да се намали риска от заразяване.

    Вектор на атака са и слабозащитените устройства, използващи Remote Desktop Protocol (RDP). Хакерите ги откриват, получават достъп до тях, а така и до цялата мрежа на организацията. Успехът им се дължи основно на факта, че самите организации не защитават добре сървърите си. Достъпът до тях става с лесни за отгатване пароли, а допълнителни защитни мерки като многофакторна автентикация се използват рядко.

    Всичко това показва, че бизнесът все още не е подготвен да се справи с таргетирани рансъмуер атаки. Превенцията изисква инвестиции в решения за сигурност, но преди всичко осъзнаване на мащабите на проблема. Докато това не се случи, престъпниците ще продължават да правят пари на гърба на чуждото нехайство.

  • „Искате си данните? Платете ни с… достъп до данните“

    Основната цел на престъпниците, които работят с криптовируси, е да получат финансова изгода. Някои от тях обаче го правят с особена изобретателност.

    Обикновено когато компютърът ви е заразен с рансъмуер, вие трябва да платите откуп, за да получите ключ, с който да дектиптирате данните на твърдия диск. Но BleepingComputer съобщава за криптовирус, който освен откуп в биткойн иска от жертвите да изпратят и… данни за отдалечен достъп до компютрите им.

    Подобно искане е крайно необичайно. То предполага, че авторът му иска първо да прибере откупа, а след това да открадне и данните на жертвата си.

    Това е като да откриете бележка в дома си: „Откраднахме телевизора ви. Ще си го получите обратно, ако ни платите 150 лв. Пратете и ключове за входната врата, за да можем да влезем и да ви го върнем“.

    Едва ли ще дадете на крадци ключовете за дома си.

    Рансъмуерът е докладван за пръв път на 30 октомври и е наречен CommonRansom.

    На заразения компютър се появява съобщение за откуп в размер на 0.1 биткойн. Но освен откупа жертвата трябва да изпрати на посочен имейл адрес и следните данни: IP адрес на заразения компютър, RDP порт и потребителско име и парола за администраторски достъп.

    Да се предостави тази информация е изключително неразумно. Данните дават възможност на автора на рансъмуера да получи достъп до заразения компютър. Той може действително да декриптира файловете на твърдия диск, но едновременно с това може да ги копира или унищожи, да инсталира друг малуер на устройството и т.н.

    Рансъмуерът продължава да е основна заплаха за потребителите в интернет. Според McAfee броят на новите варианти на криптовируси намалява от средата на 2017 г. досега.

    Това не променя факта, че към юни 2018 г. са засечени почти 18 млн. различни версии на рансъмуер. Всяка от тях има потенциала да зарази хиляди индивидуални потребители и фирми.

  • Пет начина да намалите загубите за бизнеса от рансъмуер

    Рансъмуерът все още e една от основните кибер заплахи за бизнеса. За това подсказва и статистиката. Около 26% от кибер застраховките през 2017 г. са срещу рансъмуер според финансовата група AIG.

    Финансовите измерения на проблема също не са незначителни. Вземете за пример рансъмуера WannaCry, който взе жертви и в България. Точна оценка за загубите от този зловреден код няма, но според компанията за анализ и управление на риска Cyence щетите може да достигнат 4 млрд. долара.

    Все повече атаки с рансъмуер таргетират конкретна фирма, а целта е да се криптират данните й и след това да се иска откуп за тях. Някои от последните рансъмуер атаки засегнаха организации, управляващи критична инфраструктура като пристанища, енергийни мощности и общински администрации.

    Истината обаче е, че нито една фирма не е защитена от рансъмуер. Ето защо е важно да предприемете мерки, за да се предпазите от рансъмуер. Или от загубите, които ще последват при успешна атака.

    Създайте стратегия за бекъп и възстановяване на данните

    Много компании правят резервни копия на данните си. Това обаче не е достатъчно, за да ги спаси в случай на заразяване с рансъмуер. Всяка компания трябва да има стратегия за бекъп и възстановяване. Тя не включва само възстановяването на данните, а на цялостната среда на работа. Ако се ограничите само до бекъп на информацията, фирмата ви може да се окаже в ситуация, в която данните са възстановени, но информационните системи – не. Съответно целият бизнес не може да функционира. Стратегията за бекъп гарантира, че дори и рансъмуер атаката да е успешна, фирмата ще може да възобнови дейността си възможно най-бързо.

    Използвайте софтуер против рансъмуер

    Той наблюдава поведението на програмите и процесите, които се опитват да модифицират данните на служебните компютри. Ако засече съмнителни приложения или такива, които вече са идентифицирани като рансъмуер, софтуерът ги блокира.

    Защитете достъпа до информационните ресурси през RDP

    Remote Desktop Protocol (RDP) е популярна технология за отдалечен достъп до компютри. Само в България тя се използва от поне 6000 машини, показва справка в Shodan. Проблемът е, че RDP не е сигурна: паролите могат да се отгатват, а много администратори настройват системите така, че да са достъпни от всеки IP адрес на планетата. Ако хакер получи достъп до компютрите и сървърите на фирмата, той може да инсталира рансъмуер и да блокира информационните й системи. Ето защо добрата практика изисква да защитите достъпа през RDP до информационните ресурси на компанията.

    Обучения на служителите

    Голяма част от рансъмуер атаките стават заради неволни действия на служителите. Те получават имейл от непознат източник и решават да отворят прикачения в него файл, активирайки по този начин зловредния код. Едно обучение може да намали риска това да се случи.

    Не плащайте подкупа

    Практиката на повечето организации, които са пострадали от рансъмуер, е да не плащат искания откуп. Дори и да платите исканата сума, това не гарантира, че данните ви ще бъдат декриптирани. Вместо това може да получите искане за още пари. Плащането на откуп се счита за насърчване на престъпната дейност и затова препоръките са да не се прави.

Back to top button