Οι
ερευνητές της Kaspersky Lab ανακάλυψαν μία αναδυόμενη και ανησυχητική
τάση: όλο και περισσότεροι ψηφιακοί εγκληματίες μεταστρέφουν την προσοχή
τους από επιθέσεις προς ιδιώτες, σε επιθέσεις με στόχο επιχειρήσεις.
Τουλάχιστον οκτώ ομάδες ψηφιακών εγκληματιών που σχετίζονταν με την
ανάπτυξη και τη διάδοση κρυπτογραφημένου προγράμματος ransomware έχουν
αναγνωριστεί. Οι επιθέσεις έχουν πρωτίστως πλήξει χρηματοπιστωτικούς
οργανισμούς παγκοσμίως. Οι ειδικοί της Kaspersky Lab έχουν καταγράψει
περιπτώσεις όπου οι χρηματικές αξιώσεις υπολογίζονται σε περισσότερα από
μισό εκατομμύριο δολάρια.
Στις οκτώ αναγνωρισμένες ομάδες συμπεριλαμβάνονται οι δημιουργοί του
PetrWrap, που έχουν επιτεθεί σε χρηματοπιστωτικούς οργανισμούς
παγκοσμίως, η διαβόητη ομάδα Mamba και έξι ακόμα ομάδες με άγνωστο
όνομα, που στοχεύουν κυρίως εταιρικούς χρήστες. Είναι άξιο αναφοράς ότι
αυτές οι έξι ομάδες μέχρι πρότινος αναμειγνύονταν σε επιθέσεις που κατά
κύριο λόγο στόχευαν ιδιώτες και χρησιμοποιούσαν πανομοιότυπα
προγράμματα. Τώρα έχουν επανεστιάσει τις προσπάθειές τους σε εταιρικά
δίκτυα. Σύμφωνα με τους ερευνητές της Kaspersky Lab, ο λόγος για την
τάση αυτή είναι ξεκάθαρος – οι εγκληματίες θεωρούν ότι οι επιθέσεις με
προγράμματα ransomware εναντίον επιχειρήσεων έχουν προοπτικές για
μεγαλύτερα κέρδη σε σχέση με τις μαζικές επιθέσεις εναντίον ιδιωτών. Μία
επιτυχημένη ransomware επίθεση εναντίον μιας εταιρίας μπορεί εύκολα να
σταματήσει την εύρυθμη λειτουργία της επιχείρησης για ώρες ακόμα και
ημέρες, καθιστώντας τους ιδιοκτήτες των εταιρειών που έχει δεχτεί
επίθεση πιο πιθανούς υποψήφιους για να πληρώσουν λύτρα.
Γενικότερα οι τακτικές, οι τεχνικές και οι διαδικασίες που
χρησιμοποιήθηκαν από αυτές τις ομάδες έχουν αρκετά κοινά στοιχεία.
«Μολύνουν» το στοχοποιημένο οργανισμό με κακόβουλο λογισμικό μέσω
ευάλωτων servers ή διαδίδοντας phishing email. Έπειτα, τα εγκαθιστούν
επίμονα στο δίκτυο των θυμάτων και αναγνωρίζουν τους ευάλωτους
εταιρικούς πόρους για να τους κρυπτογραφήσουν. Ακολούθως, σε αντάλλαγμα
ζητούν λύτρα για την αποκρυπτογράφηση. Εκτός από τις ομοιότητές τους,
μερικές από τις ομάδες διαθέτουν και τα δικά τους γνωρίσματα και
χαρακτηριστικά.
Για παράδειγμα, η ομάδα Mamba χρησιμοποιεί το δικό της κακόβουλο
λογισμικό κρυπτογράφησης, με βάση το λογισμικό ανοικτού κώδικα,
DiskCryptor. Μόλις οι επιτιθέμενοι αποκτήσουν πρόσβαση στο δίκτυο,
εγκαθιστούν το encryptor πάνω σε αυτό, χρησιμοποιώντας ένα νόμιμο
βοηθητικό πρόγραμμα απομακρυσμένου ελέγχου για τα Windows. Η προσέγγιση
αυτή καθιστά τις ενέργειες λιγότερο καχύποπτες για το προσωπικό
ασφαλείας του οργανισμού – στόχου. Οι ερευνητές της Kaspersky Lab έχουν
συναντήσει περιπτώσεις όπου τα λύτρα έχουν φτάσει σε ύψος μέχρι και ενός
bitcoin (περίπου $1.000 έως τα τέλη Μαρτίου 2017) ανά ένα τερματικό
σημείο αποκρυπτογράφησης.
Ακόμα ένα μοναδικό παράδειγμα των εργαλείων που χρησιμοποιούνται σε
στοχευμένες επιθέσεις ransomware αποτελεί το PetrWrap. Η ομάδα αυτή
στοχεύει κυρίως σε μεγάλες εταιρείες που έχουν ένα μεγάλο αριθμό κόμβων
δικτύου. Οι εγκληματίες επέλεξαν προσεκτικά για κάθε επίθεση στόχους που
διαρκούν για κάποιο χρονικό διάστημα: Το PetrWrap έχει παραμείνει
επίμονα σε ένα δίκτυο έως και 6 μήνες.
Για την προστασία των οργανισμών από τέτοιου είδους επιθέσεις, οι ειδικοί σε θέματα ασφάλειας της Kaspersky Lab συμβουλεύουν:
• Να δημιουργείτε κατάλληλα και έγκαιρα αντίγραφα ασφαλείας των
δεδομένων σας, έτσι ώστε αυτά να μπορούν να χρησιμοποιηθούν για την
επαναφορά των πρωτότυπων αρχείων μετά από ένα περιστατικό απώλειας
δεδομένων.
• Χρησιμοποιήστε μια λύση ασφαλείας με τεχνολογίες ανίχνευσης βασισμένες
σε συμπεριφορικά στοιχεία. Οι τεχνολογίες αυτές μπορούν να «πιάσουν»
κακόβουλο λογισμικό, συμπεριλαμβανομένων των προγραμμάτων ransomware,
βλέποντας πώς λειτουργεί κατά τη διάρκεια της επίθεσης στο σύστημα και
καθιστά δυνατή την ανίχνευση καινούριων και ακόμα άγνωστων δειγμάτων
ransomware.
• Επισκεφθείτε την ιστοσελίδα No More Ransom, μια κοινή πρωτοβουλία με
στόχο να βοηθήσει τα θύματα των προγραμμάτων ransomware να ανακτήσουν τα
κρυπτογραφημένα δεδομένα τους, χωρίς να χρειάζεται να πληρώσουν τους
εγκληματίες.
• Να ελέγχετε το εγκατεστημένο λογισμικό, όχι μόνο στα τερματικά σημεία,
αλλά και σε όλους τους κόμβους και τους servers του δικτύου και να το
διατηρείτε ενημερωμένο.
• Να πραγματοποιείτε αξιολόγηση ασφάλειας του δικτύου ελέγχου (δηλαδή,
έναν έλεγχο ασφάλειας, δοκιμές διείσδυσης, ανάλυση χάσματος) για να
εντοπιστούν και να εξαλειφθούν τυχόν κενά ασφαλείας. Επανεξετάστε τους
εξωτερικούς παρόχους και τις πολιτικές ασφαλείας τρίτων σε περίπτωση που
έχουν άμεση πρόσβαση στο δίκτυο ελέγχου.
• Ζητήστε εξωτερική Πληροφόρηση: πληροφορίες από αξιόπιστους παρόχους
βοηθούν τους οργανισμούς να προβλέψουν τις μελλοντικές επιθέσεις κατά
της εταιρείας.
• Εκπαιδεύστε τους υπαλλήλους σας, με ιδιαίτερη έμφαση στο λειτουργικό
και τεχνικό προσωπικό και στην ευαισθητοποίησή του για τις πρόσφατες
απειλές και επιθέσεις.
• Παροχή προστασίας μέσα και έξω από την περίμετρο. Μια σωστή στρατηγική
ασφάλειας πρέπει να διαθέτει σημαντικούς πόρους για την ανίχνευση
επίθεσης και την απόκριση σε αυτή προκειμένου να εμποδίσει μια επίθεση
πριν φτάσει σε κρίσιμης σημασίας αντικείμενα.
Δεν υπάρχουν σχόλια:
Δημοσίευση σχολίου
Τα μηνύματα που δημοσιεύονται στο χώρο αυτό εκφράζουν τις απόψεις των αποστολέων τους. Το ιστολόγιο μας δεν υιοθετεί καθ’ οιονδήποτε τρόπο τις απόψεις αυτές. Ο καθένας έχει δικαίωμα να εκφράζει την γνώμη του, όποια και να είναι αυτή.
Παρακαλούμε να γράφετε με Ελληνικούς χαρακτήρες, επίσης οι σχολιασμοί σας να μη ξεφεύγουν από τα όρια της ευπρέπειας.
Σχόλια τα οποία περιέχουν ύβρεις, θα διαγράφονται.
Τα σχόλια πλέον ελέγχονται από τους διαχειριστές του ιστολογίου, γιαυτό θα υπάρχουν καθυστερήσεις στην εμφάνιση τους. Γενικά γίνονται όλα αποδεχτά, εκτός από αυτά που είναι διαφημίσεις ή απάτες.
Σας ευχαριστούμε για την κατανόηση.
(επικοινωνία:eleftheroi.ellines@gmail.com)