Obsah:
- Jak se vyhnout útoku Ransomware
- Proč je Ransomware jiný
- Jak se chránit
- Včasná varování a ochrana
- Měli byste platit výkupné?
Video: Sglh virus (ransomware). How to decrypt .Sglh files. Sglh File Recovery Guide. (Listopad 2024)
Všichni víme, že ransomware je jednou z nejničivějších variant malwaru. Mluvíte o tom, že kliknete na nesprávný odkaz a necháte data vaší organizace zmizet v bažině zašifrovaného gibberishu nebo dokonce jeho operačních systémů pro servery (OS) a dalších kritických souborů, které jednoho dne jednoduše zmizí. Můžete zaplatit výkupné, ale to může být nejen drahé, ale také nezaručuje, že vám padouchy vrátí vaše data.
Jak se vyhnout útoku Ransomware
Prvním krokem je to, co Israel Barak, ředitel pro informační bezpečnost (CISO) vývojového softwaru pro detekci koncových bodů a reakce, Cybereason nazývá „IT a bezpečnostní hygiena“. To znamená vyhýbat se chybám zabezpečení a filtrovat e-mail a webový provoz. Znamená to také zajistit školení uživatelů a zajistit, aby opravy pro váš operační systém, aplikace a bezpečnostní produkty byly zcela aktuální.
Druhým krokem je strategie kontinuity podnikání a obnovy. To znamená vlastně vytvořit plán, kdy se věci zhorší, místo aby jen doufali, že tomu tak nebude. Barak uvedl, že to zahrnuje zálohování a testování, vědět, jak obnovíte zasažené služby, vědět, kde získáte výpočetní prostředky pro obnovu, a vědět, že váš úplný plán obnovy bude fungovat, protože jste ho skutečně otestovali.
Třetím krokem je ochrana proti malwaru. Barak uvedl, že to zahrnuje ochranu před malwarem vstupujícím do vaší sítě a ochranu před spuštěním malwaru na vašich systémech. Naštěstí většinu malwaru lze snadno najít, protože autoři malwaru často sdílejí úspěšné rutiny.
Proč je Ransomware jiný
Ransomware bohužel není jako jiný malware. Barak uvedl, že protože ransomware je v počítači pouze krátce, není těžké se detekci vyhnout, dokud nedokončí šifrování a neodešle zprávu ransomware. Navíc, na rozdíl od jiných typů malwaru, malware, který skutečně provádí šifrování souborů, může do počítačů oběti dorazit pouze okamžiky před zahájením šifrování.
Dva relativně nedávné typy malwaru - Ryuk a SamSam - vstupují do vašich systémů pod vedením lidského operátora. V případě společnosti Ryuk se tento provozovatel pravděpodobně nachází v Severní Koreji a se SamSam v Íránu. V každém případě útok začíná hledáním pověření, která umožňují vstup do systému. Jakmile tam obsluha prozkoumá obsah systému, rozhodne, jaké soubory zašifrovat, zvýší oprávnění, hledá a deaktivuje anti-malware software a odkazy na zálohy, které se také zašifrují, nebo v některých případech zálohy deaktivuje. Poté, po snad měsících přípravy, je šifrovací malware načten a spuštěn; může dokončit svou práci během několika minut - příliš rychle na to, aby lidský operátor zasáhl.
„V SamSamu nepoužívali konvenční phishing, “ vysvětlil Carlos Solari, viceprezident vývojáře řešení pro kybernetickou bezpečnost Comodo Cybersecurity a bývalý CIO Bílého domu. "Použili webové stránky a odcizili pověřovací listiny lidí a použili hrubou sílu k získání hesel."
Solari řekl, že tyto narušení často nejsou detekovány, protože do samého konce není zapojen žádný malware. Řekl však, že v tomto případě existují způsoby, jak útok zastavit. Obvykle řekl, že zločinci půjdou za adresářovými službami pro síť a zaútočí na ně, aby mohli získat oprávnění na úrovni správy potřebná pro jejich inscenování pro útok. V tomto okamžiku může systém detekce narušení (IDS) detekovat změny a pokud síťoví operátoři vědí, co hledat, mohou systém zamknout a vykopnout vetřelce.
„Pokud věnují pozornost, uvědomí si, že je někdo uvnitř, “ řekl Solari. "Je důležité najít inteligenci interních a externích hrozeb. Hledáš v systému anomálie."
Jak se chránit
V případě menších společností společnost Solari navrhuje, aby společnosti shledaly jako provozované středisko bezpečnostních operací (SOC) Managed Detection and Response (MDR). Dodal, že větší společnosti možná budou chtít najít poskytovatele spravovaných bezpečnostních služeb (MSSP). Obě řešení umožní sledovat bezpečnostní události, včetně inscenace před hlavním útokem ransomware.
Kromě monitorování vaší sítě je také důležité, aby byla vaše síť vyrobena tak, aby byla co nejnehostinnější vůči zločincům. Podle Adama Kujawy, ředitele Malwarebyte Labs, je jedním z kritických kroků segmentace vaší sítě tak, aby se vetřelec nemohl jednoduše pohybovat po síti a mít přístup ke všemu. „Neměli byste mít všechna svá data na stejném místě, “ řekl Kujawa. "Potřebujete hlubší úroveň zabezpečení."
Pokud se však ukáže, že jste nezjistili invazivní fáze před útokem ransomware, existuje další vrstva nebo odpověď, což je detekce chování škodlivého softwaru, když začne šifrovat soubory.
„Přidali jsme mechanismus chování, který se spoléhá na chování typické pro ransomware, “ vysvětluje Barak. Řekl, že takový software sleduje, co by ransomware mohl dělat, jako je šifrování souborů nebo mazání záloh, a pak podnikne kroky k zabití procesu, než může způsobit jakékoli poškození. "Je to účinnější proti dosud neviděným kmenům ransomwaru."
Včasná varování a ochrana
Barak řekl, že Cybereason učinil další krok, aby poskytl formu včasného varování. „To, co jsme udělali, je použití mechanismu výjimek, “ řekl. "Když software Cybereason pokračuje v koncovém bodu, vytvoří řadu základních souborů, které jsou umístěny ve složkách na pevném disku, což by ransomware pokusilo je nejprve zašifrovat." Řekl, že změny těchto souborů jsou okamžitě detekovány, Poté software Cybereason nebo podobný software od Malwarebytes proces ukončí a v mnoha případech malware rozdělí do kontejneru, aby nemohl způsobit další poškození.
Existuje tedy několik vrstev obrany, které mohou zabránit útoku ransomware, a pokud máte všechny funkční a na místě, pak by úspěšný útok musel následovat řadu selhání, aby k tomu došlo. A ty útoky můžete zastavit kdekoli v řetězci.
Měli byste platit výkupné?
Ale předpokládejme, že se rozhodnete zaplatit výkupné a okamžitě obnovit operace? „Pro některé organizace je to schůdná možnost, “ řekl Barak.
Museli byste vyhodnotit náklady na přerušení podnikání, abyste zjistili, zda jsou náklady na opětovné uvedení do provozu lepší než náklady na obnovu, a to po zvážení všech věcí. Barak řekl, že pro obchodní ransomwarové útoky „ve většině případů dostanete soubory zpět.“
Ale Barak řekl, že pokud je výplata výkupného možná, máte další úvahy. „Jak se připravíme předem na mechanismus vyjednávání nákladů na zpětné získání služeb? Jak je platíme? Jak vytvoříme mechanismus zprostředkování tohoto typu platby?“
Podle Baraka zahrnuje téměř každý útok na ransomware způsob komunikace s útočníkem a většina podniků se snaží vyjednat dohodu, ke které jsou útočníci ransomware obvykle otevřeni. Můžete se například rozhodnout, že budete potřebovat pouze část počítačů, které byly šifrovány, a pouze vyjednat jejich vrácení.
- Nejlepší ochrana Ransomware pro rok 2019 Nejlepší ochrana Ransomware pro rok 2019
- Hackeři SamSam Ransomware vydělá 5, 9 milionu dolarů SamSam Ransomware hackeři vydělá 5, 9 milionu dolarů
- 2 Íránci za útoky SamSam Ransomware, americké nároky 2 Íránci za útoky SamSam Ransomware, americké nároky
"Plán musí být zaveden předem. Jak budete reagovat, kdo bude komunikovat, jak zaplatíte výkupné?" Řekl Barak.
Zatímco placení je schůdnou možností, pro většinu organizací zůstává možnost posledního příkopu, nikoli odezva. Existuje mnoho proměnných, které v tomto scénáři nemůžete ovládat, a navíc, když jste jednou zaplatili, nikdy nemůžete zaručit, že v budoucnu nebudete za více peněz zaútočeni. Lepším plánem je použití pevné obrany, která je dost těžká na to, aby odvrátila většinu útoků škodlivého softwaru a porazila ty, které uspěly. Ale ať už se rozhodnete cokoli, pamatujte, že prakticky každé řešení vyžaduje, abyste se nábožensky zálohovali. Udělej to hned, udělej to často a také často, abys se ujistil, že věci budou ve špetce hladce fungovat.
