איך זה יכול להתגונן מפני תוכנות רנסומיות

כולנו יודעים ש- ransomware הוא אחד מגרסאות התוכנה הזדוניות ההרסניות ביותר שקיימות שם. אתה מדבר על לחיצה על הקישור השגוי והעלאת נתוני הארגון שלך לביצה של ג'יבריש מוצפן, או אפילו מערכות הפעלה של שרתים (OSS) וקבצים קריטיים אחרים פשוט נעלמים יום אחד. אתה יכול לשלם את הכופר, אך זה יכול להיות לא רק יקר, אלא גם אינו מתחייב להבטיח שהרעים יחזירו לך את הנתונים שלך.

כשנפגעים, הבחירות שלך עגומות: או שאתה מקווה שתוכל להחזיר את המערכות שלך לפעולה באמצעות גיבויים מבוססי ענן או לשלם את הכופר ולקוות שמפתח הפענוח יעבוד. אבל זה רק אם נפגעת. הבחירה הטובה יותר היא למנוע מקודדי הקבצים שלך להיות מלכתחילה, או אם קבצים מסוימים נפגעים, ואז למנוע מההתקפה להתפשט. המפתח הוא להגדיל את משחק האבטחה של החברה שלך כדי למנוע התקפה.

כיצד להימנע מהתקפת Ransomware

הצעד הראשון הוא מה שישראל ברק, סמנכ"ל אבטחת מידע (CISO), מפתח תוכנת איתור ותגובה של קצה הקצה Cybereason מכנה "היגיינת IT ואבטחה". משמעות הדבר היא הימנעות מפגיעויות וסינון תעבורת דוא"ל ואינטרנט. המשמעות היא גם מתן הדרכה למשתמשים, ולוודא שהתיקונים עבור מערכות ההפעלה, היישומים ומוצרי האבטחה שלך מעודכנים לחלוטין.

השלב השני הוא קיום אסטרטגיית המשכיות ואחזור התאוששות. פירוש הדבר הוא למעשה להכין תוכנית למצב בו הדברים יתקלקלו ​​במקום רק לקוות שלא יעשו זאת. ברק אמר שזה כולל קיום גיבויים במקום ונבדק, לדעת כיצד תשחזר שירותים שהושפעו, לדעת היכן תקבל משאבי מחשוב לצורך התאוששות, וידיעה שתוכנית ההתאוששות המלאה שלך תעבוד מכיוון שבדיקת אותה בפועל.

השלב השלישי הוא להיות במקום הגנה נגד תוכנות זדוניות. ברק אמר כי זה כולל הגנות מפני תוכנות זדוניות הנכנסות לרשת שלך והגנות מפני ביצוע תוכנות זדוניות בזמן שהן במערכות שלך. למרבה המזל, רוב התוכנות הזדוניות קלות לאתר זאת מכיוון שכותבי תוכנות זדוניות חולקים לעתים קרובות שגרות מוצלחות.

מדוע Ransomware שונה

למרבה הצער, תוכנת ransomware אינה דומה לתוכנות זדוניות אחרות. ברק אמר שמכיוון ש- ransomware הוא רק תושב במחשב בקצרה, לא קשה להימנע מגילוי לפני שהוא יסיים את ההצפנה שלו ושלח את הודעת ה- ransomware. בנוסף, בניגוד לסוגים אחרים של תוכנות זדוניות, התוכנה הזדונית שמבצעת בפועל את קידוד הקבצים עשויה להגיע למחשבי הקורבן רגעים ספורים לפני תחילת ההצפנה.

שני סוגים זדוניים יחסית של תוכנות זדוניות - Ryuk ו- SamSam - נכנסים למערכות שלך בהנחיית מפעיל אנושי. במקרה של Ryuk, אותו מפעיל נמצא ככל הנראה בצפון קוריאה, ועם SamSam, באיראן. בכל מקרה, ההתקפה מתחילה במציאת אישורים המאפשרים כניסה למערכת. כשמגיע לשם, המפעיל בוחן את תוכן המערכת, מחליט אילו קבצים להצפין, מעלה הרשאות, מחפש ומבטל את התוכנה נגד תוכנות זדוניות ומקשר קישורים לגיבויים כדי להיות מוצפנים, או במקרים מסוימים, מבטל גיבויים. ואז, אולי לאחר חודשים של הכנה, התוכנה זדונית להצפנה נטענת ומשיקה; זה עשוי לסיים את תפקידו תוך דקות - מהר מדי מכדי שמפעיל אנושי יתערב.

"ב- SamSam הם לא השתמשו בדיוג קונבנציונאלי", הסביר קרלוס סולארי, סמנכ"ל מפתח פתרונות אבטחת הרשת הקומודו סייבר סיסיור ומנכ"ל בית הלבן לשעבר של בית הלבן. "הם השתמשו באתרים וגנבו אישורים של אנשים והשתמשו בכוח אמיץ כדי להשיג את הסיסמאות."

סולארי אמר כי חדירות אלה אינן מזוהות לעתים קרובות מכיוון שאין שום תוכנה זדונית מעורבת עד הסוף. אבל הוא אמר שבאופן נכון, ישנן דרכים לעצור את ההתקפה בשלב זה. בדרך כלל, לדבריו, העבריינים ינהגו אחרי שירותי הספריות של הרשת, ויתקפו את אלה כדי שיוכלו לזכות בהרשאות המינהליות הדרושות לביצועיהם לקראת הפיגוע. בשלב זה, מערכת גילוי פריצות (IDS) עשויה לאתר את השינויים, ואם מפעילי הרשת יודעים מה לחפש, הם יכולים לנעול את המערכת ולהפיל את הפורצים.

"אם הם ישימו לב, הם יבינו שמישהו נמצא בפנים", אמר סולארי. "חשוב למצוא מודיעין איומים פנימי וחיצוני. אתה מחפש חריגות במערכת."

כיצד להגן על עצמך

עבור חברות קטנות יותר, Solari מציע לחברות למצוא מרכז פעולות אבטחה (SOC) Managed Detection and Response (MDR) כשירות. הוא הוסיף כי חברות גדולות יותר ירצו למצוא ספק שירותי ניהול אבטחה מנוהל (MSSP). כל אחד מהפתרונות יאפשר לעקוב אחר אירועי אבטחה, כולל הצגה לפני מתקפת כופר רצינית.

בנוסף למעקב אחר הרשת שלך, חשוב גם להפוך את הרשת שלך כך שהיא תהיה חסרת יכולת לפושעים ככל האפשר. לדברי אדם קויאווה, מנהל מעבדות מלווארבי, שלב קריטי אחד הוא לפלח את הרשת שלך כך שפורץ לא יוכל פשוט לעבור לרשת שלך ולקבל גישה לכל דבר. "אסור לשמור את כל הנתונים שלך באותו מקום, " אמר קויאווה. "אתה זקוק לרמת ביטחון עמוקה יותר."

אבל, אם יתברר שלא גילית את השלבים הפולשניים שקדמו להתקפת תוכנת ה- ransomware, יש שכבה או תגובה נוספת, שהיא איתור התנהגות של תוכנות זדוניות כאשר היא מתחילה להצפין קבצים.

"מה שהוספנו הוא מנגנון התנהגות שנשען על התנהגות האופיינית לתוכנות כופר", מסביר ברק. לדבריו, תוכנה כזו צופה במה שעשוי ransomware לעשות, כגון הצפנת קבצים או מחיקת גיבויים ואז היא נוקטת בפעולה כדי להרוג את התהליך לפני שהיא יכולה לגרום נזק. "זה יעיל יותר כנגד מעולם לא ראיתי זנים של תוכנות כופר."

אזהרות מוקדמות והגנות

כדי לספק סוג של אזהרה מוקדמת, אמר ברק כי סייבר-סאיון עושה צעד נוסף. "מה שעשינו זה להשתמש במנגנון חריג", אמר. "כאשר תוכנת Cybereason ממוקמת על נקודת קצה, היא יוצרת סדרה של קבצי בסיס הממוקמים בתיקיות בכונן הקשיח, דבר שיגרום ל- ransomware לנסות להצפין אותם קודם." לדבריו, שינויים בקבצים אלה מתגלים מייד, לאחר מכן, תוכנת Cybereason או תוכנה דומה של Malwarebytes יפסיקו את התהליך, ובמקרים רבים, ישמרו את התוכנה הזדונית כך שהיא לא תוכל לגרום נזק נוסף.

אז ישנן כמה שכבות של הגנה שיכולות למנוע התקפה של תוכנת כופר, ואם יש לכם את כולם פונקציונליים במקום, אז מתקפה מוצלחת תצטרך לעקוב אחר שורה של כשלים כדי לקרות. ואתה יכול לעצור את ההתקפות האלה בכל מקום שרשרת.

האם אתה צריך לשלם את הכופר?

אבל נניח שאתה מחליט שאתה רוצה לשלם את הכופר ולשחזר פעולות באופן מיידי? "עבור ארגונים מסוימים זו אפשרות ברת קיימא, " אמר ברק.

יהיה עליכם להעריך את עלות ההפרעה העסקית כדי לקבוע אם עלות החזרה לפעולה טובה יותר מעלות השיקום, כל הדברים הנחשבים. ברק אמר כי בהתקפות תוכנות רנסומריות לעסקים, "ברוב המקרים אתה מחזיר את הקבצים."

אך ברק אמר שאם לשלם את הכופר זו אפשרות, יש לך שיקולים אחרים. "כיצד אנו נערכים מראש לקבל את המנגנון למשא ומתן על עלות החזרת השירותים? כיצד אנו משלמים להם? כיצד אנו יוצרים את המנגנון המתווך לסוג התשלום הזה?"

לטענת ברק, כמעט כל מתקפת תוכנות כופר כולל אמצעים לתקשורת עם התוקף, ורוב המפעלים מנסים לנהל משא ומתן על עסקה שאליה בדרך כלל התוקפים של תוכנות רנסומיות פתוחים. לדוגמה, אתה יכול להחליט שאתה זקוק רק לחלק מהמכונות שהוצפנו ופשוט לנהל משא ומתן להחזרת אותן מכונות.

• הגנת Ransomware הטובה ביותר לשנת 2019. הגנת Ransomware הטובה ביותר לשנת 2019
• האקרים של SamSam Ransomware מגרפים ב -5.9 מיליון דולר SamSam Ransomware האקרים מגרפים ב -5.9 מיליון דולר
• 2 איראנים מאחורי התקפות סמסאם Ransomware, תביעות ארה"ב 2 איראנים מאחורי התקפות SamSam Ransomware, טענות בארה"ב

"צריך לתכנן את התוכנית לפני הזמן. איך תגיב, מי יתקשר, איך תשלם את הכופר?" אמר ברק.

בעוד שתשלום הוא אופציה ברת קיימא, עבור מרבית הארגונים היא עדיין נותרה אפשרות אחרונה ולא תשובה מהירה. ישנם הרבה משתנים שאינך יכול לשלוט עליהם בתרחיש, בנוסף, לאחר ששילמת פעם אחת, לעולם אינך יכול להבטיח שלא תותקף בעצמך יותר כסף בעתיד. תוכנית טובה יותר היא להשתמש בהגנה סולידית שקשה מספיק כדי להסיט את רוב התקפות התוכנה הזדונית ולהביס את המעטים שמצליחים. אבל לא משנה מה תחליטו, זכרו שלמעשה כל פיתרון מחייב גיבוי דתי. עשה זאת עכשיו, עשה זאת לעתים קרובות ובדוק גם לעתים קרובות כדי לוודא שהדברים יעבדו בצורה חלקה בקמצוץ.