od Luka Žvar

V modernem svetu je neprekinjen dostop do podatkov ključnega pomena. Nepridipravi pa to dejstvo vidijo kot priložnost, ki jo lahko izkoristijo. Navsezadnje se zdi, da je zaseg digitalnih sredstev za izsiljevanje varnejši in dostopnejši, kot zaseg skladišča z blagom ali prekinitev poslovne dejavnosti z drugimi bolj drastičnimi/nasilnimi metodami.

Ransomware (izsiljevalska programska oprema) je vrsta zlonamerne programske opreme, ki je namenjena šifriranju ali blokiranju dostopa do datotek ali sistemov, zaradi česar jih posledično ni mogoče uporabljati. Zlonamerna programska oprema šifrira podatke in se lahko razširi po celotnem sistemu, da bi tako čim bolj povečala škodo, ter da žrtve prisili, da plačajo hekerju za odklepanje šifriranja in obnovitev dostopa do podatkov. Ta pristop se je za kriminalce izkazal za izredno privlačnega ter donosnega, zato se je število napadov z izsiljevalsko programsko opremo v zadnjem času močno povečalo.

Ocenjuje se, da se danes vsakih 11 sekund zgodi napad z izsiljevalsko programsko opremo. Skupni stroški škode, ki jo povzroči izsiljevalska programska oprema, pa se samo v letu 2021 gibljejo pri okoli 20 milijardah dolarjev, do leta 2031 pa naj bi dosegli 265 milijard dolarjev. Strokovnjaki tudi napovedujejo, da bo izsiljevalska programska oprema postala vedno bolj izpopolnjena, kar bo za organizacije pomenilo nove izzive.

V takšnih razmerah je smiselno vedeti, s čim imate opravka, zaščitita vaše infrastrukture pa je bistvenega pomena. V nasprotnem primeru lahko vaše pomembne datoteke vsak trenutek postanejo talci in verjetno boste morali plačati odkupnino, da bi jih dobili nazaj.

Ta zapis je namenjen usmerjanju organizacij, ki želijo izboljšati odpornost na izsiljevalsko programsko opremo. Spoznajte glavne pristope, ki jih uporabljajo kibernetski kriminalci, ter preverjene najboljše prakse in rešitve, ki lahko omogočijo hitro in zanesljivo obnovitev po napadu z izsiljevalsko programsko opremo.

Kaj je Ransomware?

Ransomware je vrsta zlonamerne programske opreme, ki uporabnikom omejuje dostop do njihovih podatkov z namenom izsiljevanja. Običajno kibernetski kriminalci obljubijo, da bodo lastniku povrnili dostop do podatkov v zameno za določen znesek denarja (odkupnina).

Sčasoma so se skupine specializirane za izsiljevalsko programsko opremo osredotočile na podjetja, saj imajo ta običajno več resursov (denarja) in so prej pripravljena plačati odkupnino – kakor fizične osebe. Veliko je tudi primerov, ko so žrtve izsiljevalske programske opreme javne ustanove, kot so bolnišnice, zaradi česar so v nevarnosti tudi “navadni“ ljudje in njihova življenja.

Prvi poskusi uporabe izsiljevalske programske opreme so bili zabeleženi že veliko prej, preden se je pojavil ta izraz. Zamisel o tem, da se datoteke vzame za talce in se za njihovo sprostitev zahteva odkupnina, je bilo mogoče zaslediti že leta 1989 – v zlonamerni programski opremi z imenom AIDS. Zlonamerna programska oprema se je razpošiljala s pošiljanjem disket, ki naj bi vsebovale anketo za oceno tveganja okužbe z virusom HIV. Disketa je res vsebovala raziskavo, a tudi trojanskega konja, ki je po določenem številu ponovnih zagonov s šifriranjem onemogočil uporabo sistema in zahteval plačilo odkupnine v višini 189 $ podjetju PC Cyborg Corporation.

Joseph Popp, evolucijski biolog, je bil sčasoma identificiran kot avtor izsiljevalske programske opreme in nato aretiran. Na koncu je bil razglašen za duševno nesposobnega za sojenje. Od takrat je bil koncept prevzet, izpopolnjen in spremenjen v trenutno najbolj vročo temo na področju kibernetske varnosti, ki je glavna skrb institucij po vsem svetu.

Vrste izsiljevalske programske opreme

V preteklih letih se je izsiljevalska programska oprema večkrat preoblikovala, da bi ostala učinkovita kljub novim zaščitnim ukrepom in tehnološko bolj spretnim uporabnikom. Na desetine sevov izsiljevalske programske opreme je bilo prepoznanih na podlagi metod prodiranja v sistem in potencialnega vpliva na žrtve.

Najenostavneje jih lahko razvrstimo na podlagi teh treh meril:

1. Kaj storijo s podatki

• Zaklepanje (lock) – za omejitev dostopa do datotek. V tem primeru lahko podatki dejansko ostanejo nedotaknjeni, vendar je uporabniku onemogočen dostop do njih in je pozvan k plačilu odkupnine za odklenitev “ključavnice”.
• Šifriranje (encrypt) – da bodo podatki neuporabni. Sodobna izsiljevalska programska oprema uporablja hibridno šifriranje, zaradi česar je dešifriranje praktično nemogoče, razen če lahko pridobite ključ, ki so ga uporabili napadalci.
• Brisanje (delete) – napadalec lahko zagrozi, da bo izbrisal vse datoteke, če ne bo plačana odkupnina. Ali pa lahko začne brisati šifrirane ali zaklenjene datoteke eno za drugo, da žrtev prisili k plačilu odkupnine.

2. Katere naprave napadejo

• Računalnike (computers) – strežnike, namizne in prenosne računalnike.
• Mobilne naprave (mobile devices) – kot so telefoni in tablični računalniki. Naprave z operacijskim sistemom Android so še posebej ranljive, ker omogočajo namestitev aplikacij iz virov tretjih oseb (third-party sources).
• Naprave za shranjevanje (storage devices) – kot so omrežna shramba (NAS), naprave za varnostno kopiranje in naprave za deduplikacijo.
• Naprave interneta stvari (IoT) – vključno z operativno tehnologijo (OT) in industrijskimi nadzornimi sistemi (ICS). Čeprav izsiljevalska programska oprema redko neposredno cilja na naprave IoT, lahko njihovo delovanje postane moteno, ko je IT sistem okužen.

3. S čim grozijo kriminalci

• Da uničijo (destroy) podatke – če žrtve ne plačajo odkupnine. Da bi napadalci pritisnili na žrtve, da naj plačajo odkupnino, lahko določijo rok in začnejo trajno brisati datoteke eno za drugo, pri čemer povečujejo odkupnino z vsako pretečeno uro.
• Da izpustijo (leak) podatke – kot so zaupne informacije o strankah, notranji dokumenti ali druge občutljive podatke.
• Da stopijo v stik (contact) – s poslovnimi partnerji, zaposlenimi ali strankami podjetja, ki bi pozvali žrtev k plačilu.
• Da preganjajo (prosecute) lastnika prizadetega sistema – zaradi domnevno nezakonite vsebine. V tem primeru se lahko napadalec predstavi kot organ kazenskega pregona in navede, da je žrtev kršila pravice intelektualne lastnine ali drugo zakonodajo in mora plačati globo.
• Da izvedejo napade DDoS – in bi tako prekinil delovni proces organizacije ter žrtve prisilil, da bi se podredili zahtevam po odkupnini.

Napadi z izsiljevalsko programsko opremo pogosto vključujejo kombinacijo teh metod, saj napadalci uporabljajo vse možne načine za dosego uspeha.

Običajni vektorji napada

Splošno prepričanje je, da izsiljevalska programska oprema okuži žrtev večinoma preko priponk sumljive e-pošte.  E-poštna sporočila res ostajajo eden od glavnih kanalov, kar niti ni presenetljivo glede na razširjenost. Napadalci pa žal še naprej raziskujejo in iščejo nove taktike okužbe. Današnji sevi izsiljevalske programske opreme so izpopolnjeni in uporabljajo več poti, da se prebijejo v sistem.

Drugi vektorji napada vključujejo:

• Besedilna sporočila (SMS), ki uporabnike pozivajo, naj kliknejo na povezavo.
• Zlonamerna spletna mesta, ki uporabnike zavajajo v prenos okužene vsebine ali samodejno okužijo sistem z uporabo kompleta za izkoriščanje (exploit kit). Orodje, ki najde in izkoristi ranljivosti v uporabnikovem sistemu, da omogoči namestitev zlonamerne programske opreme.
• Legitimna spletna mesta, ki so jih napadalci kompromitirali in v njihove strani vnesli zlonamerno programsko opremo. To so lahko spletna mesta vseh vrst, vključno z družbenimi mediji.
• Oglasi, ki vsebujejo zlonamerno programsko opremo, imenovani tudi malvertising. Čeprav gostujejo na zaupanja vrednih spletnih mestih, ko uporabnik klikne na tak oglas, je preusmerjen na strežnik s kompletom za izkoriščanje.
• Kompromitirane aplikacije, kot so aplikacije za komunikacijo.
• Okužene zunanje naprave za shranjevanje, kot so USB trdi diski in ključki. Okuženi so lahko tudi različni “zabavni gadgeti”, ki jih polnite preko računalnika.
• Računalniki na katerih je nameščeno oddaljeno namizje ali terminalske storitve, ki jih hekerji uporabljajo za pridobitev oddaljenega dostopa do sistema z uporabo razkritih gesel ali ranljivosti programske opreme.

Je plačilo odkupnine možnost?

Predstavljajmo si najhujše: vašo infrastrukturo prizadene uspešno izveden napad z izsiljevalsko programsko opremo, ki prizadene dovolj podatkov, da se delovanje vaše organizacije ustavi. Ali bi morali plačati odkupnino, da bi dobili nazaj svoje podatke in se izognili posledicam?

Na to vprašanje ni enostavnega odgovora. Če pa imate vzpostavljen načrt za zaščito podatkov in varnostne kopije sistemov ter podatkov je odgovor lažji.

Poleg tega velja filozofija “ne pogajaj se s teroristi”, ki nakazuje, da plačilo ne pride v poštev. Pravzaprav je v nekaterih državah plačilo odkupnine za ponovno pridobitev dostopa do podatkov nezakonito.

Izbira prave poti se lahko v praksi izkaže za veliko težjo kot v teoriji, pri odločanju pa vedno upoštevajte naslednje:

• Tudi če plačate, ni zagotovila, da bodo podatki »sproščeni«. Dejansko le 8% podjetij, ki se odloči plačati, dobi nazaj vse svoje podatke. Ransomware je pogosto tako slabo zasnovan, da odkleniti ali dešifrirati datoteke morda sploh ni mogoče.
• Z enkratnim plačilom pa lahko vaše podjetje postane verjetna tarča tudi v prihodnosti, saj ste že dokazali, da ste ranljivi in pripravljeni plačati.

Znesek plačila

Medtem, ko odmevni primeri nadaljujejo s postavljanjem rekordov v postavitvi višine zneska odkupnine, je velikost povprečne odkupnine izsiljevalske programske opreme manjša. Povprečna odkupnina v Q2 2022 je znašala $228,125. Mediana odkupnine v istem obdobju pa je zanašala $36,360.

Standardni načini plačila

Kibernetski kriminalci se večinoma zanašajo na plačilne sisteme, ki jih je težje izslediti:

• Bitcoin
• Monero
• MoneyPak
• Paysafe
• Ukash
• cashU
• Plačilni boni
• Darilne kartice

Kako zmanjšati možnosti, da bi postali žrtev?

Obrambo je treba začeti graditi pred prvim napadom. Hekerji želijo izkoristiti vsako varnostno ranljivost v vaši infrastrukturi, zato prej, ko jih najdete in odpravite, močnejša bo zaščita vašega okolja.

V nadaljevanju je seznam preizkušenih najboljših praks, ki vam lahko pomagajo zmanjšati možnosti, da postanete žrtev napadalcev.

Izobraževanje osebja

Elektronska pošta je še vedno glavni kanal za okužbo sistema. Večino kršitev sproži nepreviden zaposleni, ki klikne na zlonamerno povezavo ali datoteko v e-pošti. V večini primerov so takšna e-poštna sporočila izdelana posamično, da se poveča verjetnost odpiranja in klikanja na povezavo ali priponko v njej.

Star način množičnega pošiljanja e-poštnih sporočil zasnovanih za zavajanje naključnega uporabnika, da klikne povezavo ali priponko v njej, se imenuje ribarjenje “phishing”. Sodobnejši način pošiljanja zelo ciljno usmerjenih e-poštnih sporočil z uporabo informacij zbranih iz drugih kanalov, vključno iz družbenih omrežji, pa se imenuje “spear-phishing”.

Vrsta tehnik socialnega inženiringa poskuša prejemnike prepričati, da je e-poštno sporočilo legitimno. Ena izmed najbolj priljubljenih pristopov je prikazovanje kot potrditev naročila (nakupa), obvestilo o dostavi paketa ali na videz popolnoma neškodljiva sporočila.

Izobraževanje zaposlenih o nevarnostih odpiranja sumljivih e-poštnih sporočil, zlasti klikanje na povezave ali priponke v njih, lahko pomaga zavarovati vašo organizacijo. Ne pozabite tudi obvestiti zaposlenih o tveganjih uporabe družabnih medijev na delovnem mestu.  Družabni mediji so eden od najpogosteje uporabljenih kanalov za širjenje zlonamerne programske opreme preko socialnega inženiringa.

Higiena e-pošte

Izvedite temeljito filtriranje neželene e-pošte in skeniranje e-pošte za blokiranje izvedljivih datotek (na primer .exe) v priponkah, ki so ena najnevarnejših izsiljevalskih programskih oprem. Odjavite uporabnike iz nepotrebnih e-poštnih seznamov podjetij, da zmanjšate možnost množičnega razširjanja zlonamernih povezav.

Programska oprema za zaščito

Prepričajte se, da imate zanesljivo in posodobljeno protivirusno programsko opremo, programsko opremo proti zlonamerni programski opremi in program za zaznavanje vdorov programske opreme. Zagotovite, da je sistem temeljito nadzorovan in, da je mogoče protiukrepe po prepoznavi grožnje sprožili z najmanjšo možno zamudo. Zanesljiva zaščita mora zajemati vse komponente vaše infrastrukture, vključno z SaaS aplikacijami. Konfigurirajte požarni zid(e) in blokirajte dostop do znanih zlonamernih IP naslovov.

Popravki in posodobitve

Redno posodabljajte svoje aplikacije. To velja za vaše rešitve za kibernetsko varnost, kot so protivirusni program in vse druge elemente sistema. Posebno pozornost namenite programom Adobe, Flash in Java aplikacijam, ki so zaradi svoje dolge zgodovine postale vstopna točka za zlonamerno programsko opremo. Upoštevajte, da se izsiljevalska programska oprema lahko prikrije tudi kot posodobitev za katero koli aplikacijo. Posodobitve pridobivajte iz zanesljivih virov in uporabljajte licenčno programsko opremo z zanesljivimi samodejnimi mehanizmi za posodabljanje.

Segmentacija omrežja

Glede na to, da se izsiljevalska programska oprema lahko širi znotraj infrastrukture podjetja, je treba omejiti širjenje okužbe. Takšno omejitev dosežemo s segmentacijo omrežja. To vključuje razdelitev virov, aplikacij in sredstev na segmente, da bi omejili komunikacijo med njimi. Zagotovite logično in/ali fizično ločitev takih segmentov tako, da v primeru, ko zlonamerna programska oprema najde pot v enega od njih, prizadeti naprave ostanejo izolirane, druge pa ostanejo nedotaknjene.

Omejen dostop

Uporabniškim računom so včasih dodeljene upraviteljske (admin) pravice, da se zmanjša obremenitev IT ekipe. Bistveno je razumeti, da takšna praksa uvaja šibko točko in izpostavlja celotno okolje večjemu tveganju. Več svobode kot imajo uporabniki pri nameščanju programske opreme tretjih oseb, večja je verjetnost, da se bo na koncu nekdo znašel v težavah. Že en sam okužen računalnik je dovolj, da ogrozi varnost celotnega podjetja.

Zato so strogo konfigurirana dovoljenja in nadzor dostopa ključnega pomena. Uporabite najmanjši privilegij v vseh sistemih in aplikacijah in omogočite dostop do datotek ali map samo za branje, kadar je to le mogoče. Bodite previdni: dovoljenja podeljujte le v primerih, ko so ta dovoljenja nujno potrebna za opravljanje dela določenega uporabnika. Razmislite o onemogočitvi protokola oddaljenega namizja ali o spremenitvi privzetih vrat (ports). Izklopite neuporabljeno povezavo Bluetooth in infrardeča vrata, ter uvedite nadzor nad uporabo zunanjih naprav (usb ključki in diski). Uporabljajte bele liste (whitelist) aplikacij, to pomeni, da dovolite dostop samo zaupanja vrednim aplikacijam.

Higiena brskalnika

Ker kompleti “kiti” za izkoriščanje delujejo na podlagi ranljivosti v sistemu, morajo biti vse varnostne nastavitve v brskalnikih vklopljene, da bi omogočili največjo zaščito. Posodobite ali odstranite zastarele vtičnike in dodatke. Prepričajte se, da mape za sinhronizacijo ne sinhronizirajo datoteke neprekinjeno. Namestite blokator oglasov (adblocker), za blokiranje zlonamernega oglaševanja. Najpomembneje je, da uporabljate zaupanja vredne vire in opravite svojo raziskavo. Obstaja namreč veliko zlonamernih razširitev, ki so preoblečene v blokatorje oglasov ali druge legitimne vtičnike, zato ravnajte previdno.

Ukrepi na ravni datotek

Onemogočite makro (macro) skripte v Microsoft Office, ki omogočajo prenos izsiljevalske programske opreme prek datotek dokumentov. Operacijski sistem konfigurirajte tako, da prikaže končnice datotek in pozorno pregledujte datoteke, ki imajo sumljive (na primer .scr) ali dvojne (na primer .pdf .exe) končnice. Onemogočite stalno sinhronizacijo in ponovno konfigurirajte storitve sinhronizacije, da omejite nenadzorovano širjenje izsiljevalske programske opreme.

Redno testiranje

Izvajajte redne penetracijske teste, da preverite raven zaščite svoje infrastrukture in ugotovite svoje šibke točke. Bodite obveščeni o najnovejših vrstah izsiljevalske programske opreme in o tem, kako se okužba lahko prikrade v sisteme. Posodabljajte ukrepe za zaščito podatkov.

Varnostno kopiranje podatkov

Varnostne kopije so včasih navedene med ukrepi za preprečevanje izsiljevalske programske opreme. Vendar jih bi bilo bolj natančno opisati kot metodo za obvladovanje škode. Postopki za izdelavo varnostnih kopij ne zmanjšujejo verjetnosti, da bo organizacijo prizadela izsiljevalska programska oprema. Namesto tega, lahko s pravilno izvedenimi varnostnimi kopijami preprosto obnovite podatke, nadaljujete poslovanje in se izognete plačilu odkupnine.

Zaključek

V kolikor imate dodatna vprašanja, se obrnite na nas in naši strokovnjaki se vam bodo z veseljem posvetili (info@positiva.si).

Positiva je tudi uradni partner podjetij WatchGuard  (požarni zidovi in brezžične dostopne točke) ter Nakivo (rešitve za backapiranje in replikacijo).

Luka Žvar

Project manager at Positiva d.o.o.

Priporočeni prispevki

Positiva prejela nagrado Netko za prenovo spletne trgovine Medex

29. marca, 2024

Primerjava platform za spletno prodajo: Shopify vs. WooCommerce vs. Magento

20. marca, 2024

Microsoft Avtentikator

13. februarja, 2024