Ένας από τους λόγους για τους οποίους η επιρροή του ransomware είναι τόσο μεγάλη είναι ότι υπάρχουν πολλοί τρόποι με τους οποίους μπορούν να εμφανιστούν επιθέσεις ransomware. Ως επιχειρηματίας, η προστασία της επιχείρησής σας και μετέπειτα των πελατών σας, από το ransomware απαιτεί εξοικείωση με όλα τα σενάρια επίθεσης και λήψη μέτρων για την υπεράσπιση εναντίον καθενός από αυτά.

Με αυτή την ανάγκη, αυτό το άρθρο περιγράφει κοινά σενάρια επίθεσης ransomware και τι πρέπει να κάνετε αν μία από αυτές τις επιθέσεις σας επηρεάσει.

Τύποι Επιθέσεων

Phishing
Το ηλεκτρονικό "ψάρεμα" (Phishing) είναι ένας τύπος εκμετάλλευσης όπου ένας εισβολέας πείθει κάποιον εντός ενός οργανισμού να αναλάβει δράση (όπως κάνοντας κλικ σε ένα σύνδεσμο μέσα σε ένα μήνυμα ηλεκτρονικού ταχυδρομείου ή αποκαλύπτοντας τα διαπιστευτήρια σύνδεσης), επιτρέποντας την υποβάθμιση των συστημάτων του οργανισμού. Εάν οι εισβολείς μπορούν να αποκτήσουν αυτήν την πρόσβαση, μπορούν να κρυπτογραφήσουν τα δεδομένα του οργανισμού και να τα κρατήσουν ζητώντας λύτρα για την αποκρυπτογράφηση τους

Με αυτή την τεχνική, οι επιτιθέμενοι συχνά κάνουν ένα μήνυμα να φαίνεται ότι προέρχεται από κάποιον γνωστό, για παράδειγμα, δημιουργώντας ένα ψεύτικο λογαριασμό ηλεκτρονικού ταχυδρομείου που προσποιείται ότι ανήκει σε ένα άτομο από τον ίδιο οργανισμό ή σε έναν πωλητή με τον οποίο συνεργάζεστε. Αυτές οι στρατηγικές μπορούν να διευκολύνουν στο να πειστεί κάποιος εντός της επιχείρησής σας και να πέσει θύμα της επίθεση phishing, ακόμη και αν τα συστήματα anti-phishing σηματοδοτούν ότι το μήνυμα προέρχονται εκτός της ίδιας της επιχείρησης.

Remote Desktop Control

Tο Πρωτόκολλο Απομακρυσμένης Επιφάνειας Εργασίας ή το RDP είναι ένα ευρέως χρησιμοποιούμενο πρωτόκολλο για την πρόσβαση σε υπολογιστές από απομακρυσμένες τοποθεσίες. Επειδή το RDP δίνει στους απομακρυσμένους χρήστες το ίδιο επίπεδο πρόσβασης σε ένα σύστημα που θα είχαν αν κάθονταν μπροστά του, το να χρησιμοποιηθεί ως ευπάθεια το RDP είναι το όνειρο κάθε επιτιθέμενου.

Παρόλο που το RDP είναι ασφαλές όταν έχει διαμορφωθεί σωστά, υπάρχουν διάφοροι τρόποι με τους οποίους θα μπορούσαν να χρησιμοποιηθούν συνδέσεις RDP με ανεπαρκή ασφάλεια για την εγκατάσταση ransomware μέσα σε μία επιχείρηση:

• Αδύνατα Διαπιστευτήρια Χρήστη: Οι επιτιθέμενοι θα μπορούσαν να αποκτήσουν πρόσβαση εκμεταλλευόμενοι τους αδύναμους κωδικούς πρόσβασης RDP που μπορούν να μαντέψουν ή να ανακαλύψουν μέσω άλλου τρόπου. Η απουσία επαλήθευσης πολλαπλών παραγόντων και η χρήση του ίδιου κωδικού ασφάλειας λογαριασμού για πολλούς τύπους εφαρμογών καθιστά ευκολότερη την αξιοποίηση των Διαπιστευτηρίων.
• Το RDP Είναι Ανοιχτό Στο Διαδίκτυο: Εάν οι θύρες(ports) RDP είναι προσβάσιμες από το δημόσιο διαδίκτυο, είναι πολύ εύκολο για τους εισβολείς να εντοπίσουν και να ανιχνεύσουν ευπάθειες. Είναι καλύτερο να διατηρείτε συνδέσεις RDP πίσω από ένα τείχος προστασίας(Firewall), έτσι ώστε να είναι διαθέσιμες μόνο σε χρήστες που βρίσκονται σε φυσική τοποθεσία (όπως το γραφείο τους) ή (εάν εργάζονται εξ αποστάσεως) συνδεδεμένοι στο VPN μιας εταιρείας.
• Ξεπερασμένα Εργαλεία ή Πρωτόκολλα RDP: Εάν οι εφαρμογές RDP ή το ίδιο το RDP δεν τηρούνται ενημερωμένες, μπορεί να περιέχουν παλαιότερα γνωστά ελαττώματα ασφαλείας που οι εισβολείς μπορούν να εκμεταλλευτούν για να εισβάλουν και να εγκαταστήσουν ransomware.
• Διαχειριστικός Λογαριασμός RDP: Μια ευπαθείς σύνδεση RDP είναι κακή. Είναι ακόμη χειρότερο αν ο λογαριασμός που έχει παραβιαστεί έχει δικαιώματα διαχειριστή. Αυτός είναι ο λόγος για τον οποίοη βέλτιστη πρακτική να ακολουθήσουμε την αρχή του ελάχιστου προνομίου, που σημαίνει ότι πρέπει να εκχωρηθούν τα ελάχιστα απαιτούμενα προνόμια σε κάθε λογαριασμό. Εκτός αν υπάρχει κάποιος συγκεκριμένος λόγος για τον οποίο ένας λογαριασμός διαχειριστή απαιτεί πρόσβαση RDP, αυτή η ρύθμιση πρέπει να αποφευχθεί.

Application Exploits
Οποιαδήποτε εφαρμογή - ακόμη και μία απλή όπως το Windows Calculator - μπορεί να χρησιμοποιηθεί από κάποιον εισβολέα για να αποκτήσει μη εξουσιοδοτημένη πρόσβαση σε ένα σύστημα και να εγκαταστήσει ransomware.

Αυτό ισχύει ανεξάρτητα από το πόσο ενημερωμένες είναι οι εφαρμογές ή ποια έκδοση ενός λειτουργικού συστήματος εκτελείται σε έναν υπολογιστή. Ωστόσο, υπάρχουν μερικές πρακτικές που μπορούν να οδηγήσουν σε εύρεση ευπάθειας μίαςεφαρμογής:

• Τροποποιημένες ρυθμίσεις: Οι εφαρμογές που έχουν διαμορφωθεί με τρόπους για τους οποίους δεν έχουν σχεδιαστεί μπορούν να ανοίξουν τρωτά σημεία. Πριν αλλάξετε τις ρυθμίσεις σε μια εφαρμογή, ανατρέξτε στις οδηγίες της για να βεβαιωθείτε ότι δεν τη ρυθμίζετε λανθασμένα.
• Αποθηκευμένοι κωδικοί πρόσβασης: Οι εφαρμογές μπορούν να αποθηκεύουν κωδικούς πρόσβασης από προηγούμενες συνδέσεις, προσφέροντας στους επιτιθέμενους εύκολη πρόσβαση. Η καλύτερη πρακτική είναι να απενεργοποιείτε την αυτόματη αποθύκευση κωδικών πρόσβασης.
• Ευπαθείς ιστότοποι: Οι ιστότοποι που φιλοξενούν κακόβουλο λογισμικό ενδέχεται να επιχειρήσουν να εγκαταστήσουν το συγκεκριμένο λογισμικό στους υπολογιστές των χρηστών. Τα προγράμματα περιήγησης Web πρέπει να διαμορφώνονται έτσι ώστε να περιορίζουν αυτόν τον κίνδυνο. Σε ιδιαίτερα κρίσιμα περιβάλλοντα εργασίας ή δεδομένα, θα μπορούσατε να εξετάσετε ακόμη η εκτέλεση των εφαρμογών του χρήστη να γίνεται μέσα σε μια εικονική μηχανή(Virtual Machine) που θα αποκατασταθεί αυτόματα σε προηγούμενη "καθαρή" κατάσταση μετά από κάθε σύνοδο λειτουργίας. Με αυτόν τον τρόπο, κάθε κακόβουλο πρόγραμμα εγκατεστημένο κατά τη διάρκεια μιας περιόδου σύνδεσης θα διαγραφεί όταν θα αποσυνδεθεί ο χρήστης.

Φυσική εισβολή
Είναι εύκολο να παραβλέπεται ο κίνδυνος ενός εισβολέα να αποκτήσει φυσική πρόσβαση σε συστήματα στον χώρο μιας επιχείρησης, αλλά είναι πραγματικό. Οργανισμοί με κακή φυσική ασφάλεια δεν έχουν τίποτα να τους προστατεύσει από κάποιον που απλά περπατάει σε ένα γραφείο, κάθεται σε ένα σταθμό εργασίας και εγκαθιστά λογισμικό ransomware.

Αυτό ισχύει ακόμη και σε οργανισμούς και επιχειρήσεις που λαμβάνουν τα βασικά βήματα για την αντιμετώπιση των αναγκών φυσικής ασφάλειας. Για παράδειγμα, η διατήρηση των θυρών  του χώρου κλειδωμένων δεν εγγυάται ότι ένας εισβολέας δεν θα "γλιστρήσει" πίσω από κάποιον άλλο, ούτε θα σπάσει μια κλειδαριά μετά από ώρες.

Απαντώντας σε επιθέσεις Ransomware

Τα βασικά βήματα που πρέπει να ακολουθήσετε όταν απαντάτε σε μια επίθεση ransomware περιλαμβάνουν:

• Ανάλυση: Εκτελέστε πλήρη ανάλυση της επίθεσης για να εντοπίσετε ποιες συσκευές έχουν μολυνθεί και βεβαιωθείτε ότι ο φορέας(υπολογιστής,τερματικό) επίθεσης δεν είναι πλέον ενεργός.
• Εκτέλεση Σάρωσης Λογισμικού Antivirus: Σάρωση όλων των επηρεαζόμενων συστημάτων με λογισμικό προστασίας από ιούς για τον εντοπισμό οποιωνδήποτε γνωστών ευπαθειών που χρησιμοποιήθηκαν για να εισήχθει το ransomware. Είναι σημαντικό να βεβαιωθείτε ότι όλα τα κακόβουλα προγράμματα έχουν καταργηθεί πριν από την αποκατάσταση των λειτουργιών. διαφορετικά, τα μολυσμένα δεδομένα θα μπορούσαν να επαναφερθούν μετά την αποκατάσταση
• Ανάκτηση Μόλις επιβεβαιωθεί ότι τα συστήματα δεν διαθέτουν ransomware, μπορείτε να ανακτήσετε τα δεδομένα σας από αντίγραφα ασφαλείας και να επιτρέψετε στους χρήστες σας να επαναλάβουν κανονικές λειτουργίες.
• Μεγιστοποίηση Προστασίας: Με την αποκατάσταση των λειτουργιών, μπορείτε τώρα να λάβετε μέτρα για να "σκληρύνετε" την προστασία των συστημάτων σας για να αποτρέψετε μια άλλη επίθεση ransomware. Βεβαιωθείτε ότι το λογισμικό είναι ενημερωμένο, εντοπίστε αδυναμίες στη διαμόρφωση του τείχους προστασίας, επιβάλλετε τον έλεγχο ταυτότητας πολλαπλών παραγόντων κ.ο.κ. Ενδέχεται επίσης να εξετάσετε την ανάπτυξη προ-εγκατεστημένων εργαλείων αντιμετώπισης ransomware όπως η προστασία από κακόβουλο λογισμικό και προγράμματα Ransomware  μέσα στο Office 365

Συμπέρασμα

Το Ransomware έρχεται σε πολλές μορφές και δεν υπάρχει τρόπος να διασφαλιστεί η απόλυτη προστασία κατά αυτού. Ωστόσο, υπάρχουν βήματα που μπορείτε να κάνετε για να ελαχιστοποιήσετε τον κίνδυνο των συστημάτων των πελατών σας (ή των δικών σας συστημάτων) να πέσουν θύματα ransomware. Και κρατώντας αντίγραφα ασφαλείας των δεδομένων, σας αποθηκεύοντας τουλάχιστον ένα αντίγραφο των αντιγράφων ασφαλείας σε μια θέση εκτός σύνδεσης και έχοντας τις σωστές πολιτικές διατήρησης, τοποθετείτε τον εαυτό σας σε θέση να ανακάμψει από μια επίθεση ransomware χωρίς να χρειάζεται να πληρώσετε τα λύτρα.
 

Επικοινωνήστε μαζί μας για να σχεδιάσουμε μαζί την καλύτερη λύση προστασίας της επιχείρησής σας από τέτοια σενάρια