Nedávno zde vyšel článek Sophos vysledoval Nefilim a další ransomwarové útoky až k uživatelským účtům „duchů“, proto jsme se zeptali, jak se co nejúčinněji bránit. Opět odpovídal Chester Wisniewksi, Principal Research Scientist společnosti Sophos, který nám už dříve sdělil bez obalu svůj názor na to, že PayPal začal přijímat kryptoměny. Podle něj má jít vždy o správnou kombinaci investic do lidí, školení a nástrojů, podle starého známého pravidla „lidé, procesy, technologie“.
Co pomáhá zastavit ransomware?
Bavíme-li se o účinné ochranně proti ransomwaru, můžeme uvést pět klíčových zásahů, které mohou organizace udělat pro lepší ochranu před útoky ransomwaru:
- Udržujte IT hygienu. Ujistěte se, že dodržujete základní IT hygienu, která zahrnuje instalaci všech nejnovějších oprav softwaru, úplné vypnutí RDP (nebo jeho přesunutí za VPN) a pravidelné zálohování a udržování těchto záloh mimo pracoviště, kde se k nim útočníci nemohou dostat. Dostatečná IT hygiena zahrnuje i použití vícefaktorové autentizace ke službám hostujícím nejcitlivější data v organizaci. To je ale jen několik základních kroků, které můžete ke své vlastní ochraně a ochraně vaší sítě podniknout ještě dnes.
- Vzdělávejte uživatele. Poučte zaměstnance a ostatní uživatele o důležitosti silných hesel a zaveďte dvoufaktorovou autentizaci všude, kde je to možné. Vzdělávejte je ohledně phishingu, který je jedním z hlavních mechanismů distribuce ransomwaru.
- Minimalizujte riziko úhybných manévrů ve vaší síti. Rozdělte vaše sítě LAN do menších, izolovaných zón nebo VLAN, které budou zabezpečené a připojené prostřednictvím firewallu. Nezapomeňte použít vhodné zásady IPS (Intrusion Prevention System, systém pro detekci a prevenci průniku) a pravidla upravující provoz procházející těmito segmenty LAN, aby se zabránilo šíření exploitů, červů a botů mezi segmenty LAN. A pokud už infekce udeří, automaticky izolujte infikované systémy, dokud je nebude možné vyčistit.
- Společně s ochranou koncových bodů používejte nástroje typu endpoint detection and response (EDR). Cílený ransomware dnes není jen o zastavení jednoho malwaru; jde o zastavení aktivního protivníka a narušení řetězce útoku, který jej staví do pozice pro spuštění malwaru. Ujistěte se, že bude každý koncový bod chráněn a aktualizován. Zařízení, které nefunguje správně, nemusí být chráněno a může být zranitelné vůči útoku ransomwaru. Používejte nástroje jako EDR, které vám umožňují klást podrobné otázky, abyste mohli hledat aktivní protivníky a identifikovat pokročilé hrozby ve vaší síti. Jakmile tak učiníte, EDR vám také pomůže rychle přijmout vhodná opatření k zastavení těchto hrozeb.
- Vyplňte mezery zásahem člověka. Počítače, automatizace a další nástroje jsou sice úžasné, ale lidský intelekt, schopnost rozpoznávání vzorců a aplikace kontextu poskytují ještě impozantnější obranu. Kriticky důležité jsou proto služby řízené detekce a reakce (Managed Detection and Response, MDR). Spárování vašich interních IT a bezpečnostních týmů s externím týmem elitních lovců hrozeb a odborníků na odezvu vám pomůže získat užitečné rady pro řešení hlavních příčin opakujících se incidentů.
Čemu by mělo podnikové IT oddělení věnovat pozornost, čeho by se mělo rozhodně vyvarovat a co by měli dodržovat zaměstnanci?
Kdykoli pracujeme s oběťmi ransomwaru, věnujeme čas i ohlédnutím se za našimi telemetrickými záznamy, které pokrývají předchozí týden nebo dva. Tyto záznamy někdy obsahují anomálie chování, které samy o sobě nemusejí být ze své podstaty škodlivé, ale v kontextu již provedeného útoku by mohly být brány jako včasný indikátor toho, že aktér hrozby provádí operace v síti oběti.
Zejména pokud vidíme některý z pěti indikátorů uvedených níže, okamžitě začneme jednat. Kterýkoli z nich, nalezený během vyšetřování, je téměř jistě známkou toho, že se zde vyskytovali útočníci – aby získali představu o tom, jak síť vypadá, a zjistili, jak mohou získat účty a přístupy, které potřebují k zahájení ransomwarového útoku.
Útočníci používají k přípravě prostředí pro ransomwarové útoky legitimní administrační nástroje. Když nebudeme vědět, jaké nástroje správci na svých počítačích běžně používají, lze tato data snadno přehlédnout. Při zpětném pohledu představuje těchto dalších pět indikátorů varovné signály při vyšetřování:
- Síťový skener, zejména na serveru
Útočníci obvykle začínají získáním přístupu k jednomu počítači, kde hledají informace – zda jde o Mac nebo Windows, jaká je doména a název společnosti, jaký druh administrátorských práv počítač má atd. Útočníci budou chtít také vědět, co dalšího se v síti nachází a k čemu mohou získat přístup. Nejjednodušší způsob, jak to zjistit, je skenování sítě. Pokud zjistíte síťový skener, například AngryIP nebo Advanced Port Scanner, zeptejte na to administrátorů. Pokud nikdo použití skeneru nepotvrdí, je na čase začít pátrat.
- Nástroje na deaktivaci antivirového softwaru
Jakmile mají útočníci oprávnění správce, často se pokusí deaktivovat bezpečnostní software pomocí aplikací vytvořených na pomoc s nuceným odstraněním programů, jako jsou Process Hacker, IOBit Uninstaller, GMER a PC Hunter. Tyto typy komerčních nástrojů jsou legitimní, ale nesmějí se dostat do špatných rukou. Bezpečnostní týmy a administrátoři by se měli ptát, proč se tak najednou objevily.
- Přítomnost softwaru MimiKatz
Jakákoli detekce softwaru MimiKatz kdekoli v síti by se měla prošetřit. Pokud nikdo z týmu administrátorů nemůže ručit za používání softwaru MimiKatz, jde o výstražný signál, protože je to jeden z nejčastěji používaných hackerských nástrojů na krádeže přihlašovacích údajů. Útočníci také používají Microsoft Process Explorer, který je součástí Windows Sysinternals, což je opět legitimní nástroj, který zase umožňuje výpis souboru LSASS.exe z paměti a vytvoření souboru .dmp. Ten pak mohou útočníci přenést do svého vlastního prostředí a použít MimiKatz na bezpečné extrahování uživatelských jmen a hesel na svém vlastním testovacím stroji.
- Vzorce podezřelého chování
Jakákoli detekce probíhající každý den ve stejnou dobu nebo v opakujícím se vzoru je často známkou toho, že se děje něco jiného, i když byly škodlivé soubory detekovány a odstraněny. Bezpečnostní týmy by se měly ptát „proč se stále vrací?“ Experti na reakci na incidenty vědí, že to obvykle znamená, že se vyskytlo něco jiného škodlivého, co (zatím) nebylo identifikováno.
- Testovací útoky
Útočníci příležitostně provádějí malé testovací útoky na několik počítačů, aby zjistili, zda bude mít jejich metoda průniku a provedení ransomwarového útoku úspěch, nebo jestli je zastaví bezpečnostní software. Pokud bezpečnostní nástroje útok zastaví, změní svou taktiku a zkusí to znovu. Zároveň tím ale útočníci odkryjí své karty a budou vědět, že už mají jen omezený čas. Je často otázkou několika hodin, než bude zahájen mnohem rozsáhlejší útok.
Vypadá to, že ransomwarové útoky už několik let dominují hackerské scéně. Čím to je, že ransomware není jen výstřelek?
Je tomu skutečně tak. Už 5. září 2013 jsme zaznamenali zrod moderního ransomwaru. Označuji ten den za zlomový, protože jsme mohli vidět první vzorek CryptoLockeru. Mohlo by se zdát, že za více než sedm let bychom měli umět útočníky lépe odrazovat od tohoto typu online zločinu. Ale, stejně jako téměř všechno v oblasti informační bezpečnosti, je i ransomware komplikovaný a jeho útoky jsou stále složitější, zejména za posledních deset měsíců.
Tohle je válka, ne bitva. Abyste si udrželi náskok, musíte být ostražití a mít správné lidi, správná školení a správné nástroje. Časy, kdy na vaše koncové body stačilo instalovat bezpečnostní software a bylo hotovo, jsou dávno pryč.
Zločinci hybridizovali své útoky kombinací automatizace a lidí, aby našli oběti s mezerou v obraně, a aby kreativně využili stávající nástroje z vlastních sítí obětí proti nim samotným. Tento obchodní model jim může na každé z obětí vydělat miliony dolarů a způsobit další nespočetné škody.
Naše obrana musí aplikovat stejný přístup. Počítače, automatizace a nástroje jsou úžasné, ale až v kombinaci s lidským intelektem, rozpoznáváním vzorců a naší schopností extrapolovat na základě minulosti do budoucnosti poskytují působivou obranu. Ti, kteří se úspěšně brání, mají téměř vždy správnou kombinaci investic do lidí, školení a nástrojů.
