Ataki ransomware stały się poważnym zagrożeniem dla infrastruktury o krytycznym znaczeniu oraz ciężarem finansowym. Nowoczesne oprogramowanie tego typu sprawdza gdzie jest, może się usunąć, ukryć, uśpić, a nawet samoistnie zniszczyć. Ransomware potrafi omijać filtry narzędzi antywirusowych i wyłączać narzędzia obrony, samodzielnie się szyfrować oraz rozpakowywać. Używa także narzędzi i funkcji systemu Windows do własnych potrzeb skanowania.
Oprogramowanie mające wyłudzić okup działa błyskawicznie. Dzieje się tak, ponieważ może ono pozostawać w stanie uśpionym, sondując otoczenie w poszukiwaniu najlepszego miejsca do ataku. W tym czasie hakerzy uszkadzają punkty odtwarzania kopii zapasowej i usuwają zawartość koszy, aby udaremnić działania zaradcze. Następnie uruchamiany jest atak i szyfrowanie wszystkich zasobów naraz. Ransomware może także szybciej rozprzestrzeniać się z dobrze skomunikowanych wewnętrznych węzłów sieci (takich jak kontrolery domen w systemie Windows), które prowadzą interakcję z większością systemów wewnętrznych.
Trudniejsze do wykrycia
Uśpione ransomware omija filtry narzędzi antywirusowych, które oczekują, że szkodliwe oprogramowanie uruchomi się natychmiast. Większość nowoczesnego ransomware wyłącza narzędzia antywirusowe, lub ukrywa się, samodzielnie szyfruje, rozpakowując się wyłącznie w pamięci, tak aby ominąć narzędzia skanujące dyski. Oryginalny plik, który zostanie załadowany do pamięci i zaszyfrowany, zastępują na kilka sposobów: zamieniając w nim dane, podmieniając pod starą nazwą, czy nadpisując, wskazują specjaliści od cyberbezpieczeństwa.
“Nowsze odmiany ransomware omijają Microsoft Defender korzystając z maskowania RIPlace używając starszej funkcji systemu Windows, dzięki której mechanizm zmiany nazwy i nadpisywania plików może działać w sposób niewykrywalny, obchodząc w ten sposób kontrolowany dostęp do folderów” – tłumaczy Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland. “Nowe warianty potrafią też ukryć obniżenie wydajności systemu powodowane szyfrowaniem, wyświetlając fałszywe komunikaty o błędach. Ponadto wykorzystują wbudowane narzędzia i funkcji systemu Windows na potrzeby skanowania i wybierania celów” – dodaje.
Inteligentniejsze i przebiegłe
Kiedyś wystarczyło zbadać pliki binarne ransomware, które czasami zawierały klucz szyfrowania lub przekazać informację o wykrytym ransomware do działu analizy zagrożeń, aby opracować nowe mechanizmy ochrony.
Odpowiedzią hakerów na to było opracowanie szkodliwego oprogramowania ulegającego samozniszczeniu. Gdy usługa wykonująca program przestaje działać, powoduje awarię uniemożliwiającą odczytanie pamięci. Oprogramowanie ransomware nie uruchomi się, jeśli wykryje swoją obecność w środowisku wirtualnym lub debugerze, a jego kod może wówczas wprowadzić w błąd narzędzia analityczne. Ponadto niektóre warianty aktywują się dopiero, gdy haker wyśle kod odblokowujący, co utrudnia mechanizmom obrony przechwycenie i przeanalizowanie szkodliwego programu, tłumaczą eksperci.
Jak zatrzymać udoskonalone ransomware?
Bez względu na poziom zaawansowania kodu, program infekujący musi dostać się do systemów firmy. W tym celu stosuje techniki phishingu, uzyskuje nieautoryzowany dostęp, a także wykorzystuje znane luki w zabezpieczeniach.
Dlatego, jak radzą specjaliści ds. cyberbezpieczeństwa:
- Zbadaj i zinwentaryzuj powierzchnię ataku, aby zrozumieć, gdzie występują zagrożenia.
- Odszyfruj, zbadaj i zablokuj elementy pobrane przez użytkowników oraz ruch pocztowy.
- Wprowadź mechanizmy silnego uwierzytelniania.
- Przejrzyj zabezpieczenia stosowane przez podmioty spoza firmy, ogranicz prawa ich dostępu.
- Usuń luki w zabezpieczeniach, najpierw te dot. wykorzystywanych eksploitów.
“Gdy oprogramowanie ransomware dostanie się już do systemów, trzeba skonfigurować mechanizmy tzw. obrony w głąb. Wzmocnić zabezpieczenia kontrolerów domen i zastosować w nich poprawki. Jeśli hakerzy będą próbowali wykorzystywać zasoby naturalne, trzeba ograniczyć dostęp do narzędzi takich jak PowerShell, Nltest, PsExec, McpCmdRun i WMic za pomocą zasad grup” – wskazuje Ireneusz Wiśniewski. “Warto ograniczyć otwarte współużytkowanie wewnętrznych plików. Zainfekowanie jednego urządzenia oznacza, że wszystkie współużytkowane pliki zostaną zaszyfrowana i/lub wyciekną. Należy też usuwać lub wyłączać nieaktualne wersje łatwego do pokonania przez ransomware protokołu Server Message Block (SMB)” – dodaje.
Ograniczanie szkodliwości oprogramowania ransomware
Oprogramowanie ransomware może wydobyć terabajty danych, należy więc ograniczyć lub objąć monitoringiem ruch wychodzący. Oznacza to konieczność użycia narzędzi m.in. do odszyfrowywania i badania ruchu SSL dla wczesnego rozpoznania ataku. Jak wskazują specjaliści, must have pozostaje kopia zapasowa systemów i danych krytycznych przechowywana poza siecią oraz utworzenie szablonów, dzięki którym systemy będzie można szybko zrekonfigurować od podstaw.
Jeśli jednak dojdzie do pechowego zainfekowana ransomware, pozostaje skontaktowanie się z organami ścigania. Dzięki temu firma w mniejszym stopniu naraża się na ewentualne naruszenie przepisów, jeśli postanowi zapłacić przestępcom. Nawet jeśli organizacja zdecyduje się zapłacić okup, należy odbudować wszystkie systemy, których zabezpieczenia mogły zostać naruszone, tak aby mieć pewność, że zostały one oczyszczone ze szkodliwego oprogramowania, podsumowują eksperci.
