Ransomware – 15 ενέργειες για να προστατέψετε το δίκτυό σας

1. Τι είναι
Τα Ransomware είναι ένα μικρό malware, κατηγορίας APT, που έκαναν την εμφάνισή τους μαζικά το 2013 στοχεύοντας αρχικά σχεδόν όλες τις εκδόσεις Windows.
Τα APT (Advanced Persistent Threat) είναι μία υψηλής τεχνολογίας εξελιγμένη επίθεση που σκοπεύει να αποκτήσει παρατεταμένο αθόρυβο έλεγχο του υπολογιστή σας.
Συνήθως μεταφέρονται στον υπολογιστή σας μέσω κάποιου email με επισυναπτόμενο αρχείο ή μέσω κάποιας ιστοσελίδας.
Το σημαντικό είναι ότι τα APT στοχεύουν συγκεκριμένα δεδομένα. Για παράδειγμα, να αποσπάσουν οικονομικές πληροφορίες. Επίσης, μπορεί ο υπολογιστής σας να έχει μολυνθεί αλλά να μην γίνει αντιληπτό άμεσα. Τα APT περνούν απαρατήρητα από το Antivirus και παραμένουν στον υπολογιστή σας μέχρι την στιγμή που θα ενεργοποιηθούν.
Ο λόγος που δεν ανιχνεύονται από τα Antivirus είναι γιατί οι συνηθισμένοι τρόποι άμυνας ενάντια στις virus απειλές, είναι signature–based. Δηλαδή έχουν τη δυνατότητα αντιμετώπισης απειλών, μόνο όταν είναι γνωστές εκ των προτέρων. Το malware πλέον αναπτύσσεται ή μεταλλάσσεται τόσο γρήγορα, ώστε οι signature-based μηχανισμοί δεν προλαβαίνουν να ενημερωθούν για όλες τις πιθανές μεταλλάξεις τους .
Τα APT όντας ιδιαίτερα εξελιγμένα περνούν από το Αntivirus και μάλιστα στις περισσότερες περιπτώσεις κάνουν βλάβη χωρίς να γίνουν ποτέ αντιληπτές από τους χρήστες ή διαχειριστές του δικτύου.
Τα Ransomware έχουν ως στόχο την κρυπτογράφηση συγκεκριμένων αρχείων του υπολογιστή χρησιμοποιώντας RSA & AES encryption.
Όταν τελειώνει η κρυπτογράφηση εμφανίζουν ένα μήνυμα όπου ζητάει λύτρα για να δώσει στο θύμα το κλειδί αποκρυπτογράφησης.
Υπάρχει συγκεκριμένος χρόνος ανάλογα την έκδοση όπου πρέπει το θύμα να κάνει την πληρωμή, διαφορετικά το κλειδί αποκρυπτογράφησης καταστρέφεται.
Η απειλή είναι σημαντική, διότι η κρυπτογράφηση που γίνεται είναι αδιαπέραστη, και η πληρωμή των λύτρων δεν εγγυάται την επαναφορά των αρχείων, όπως θα σας ενημερώσει και σε ερώτημά σας η Δίωξη Ηλεκτρονικού Εγκλήματος
Θυμίζει κατάσταση ομηρίας, για αυτό και ονομάζονται “Ransomware”.
2. Πως μπορεί να κολλήσω
O πιο συνιθισμένος τρόπος μόλυνσης είναι μέσω Phishing emails που περιέχουν malicious attachments. Η πιο συνηθισμένη μορφή κακόβουλων attachment είναι τα εκτελέσιμα αρχεία, λόγω όμως πολιτικών μη αποδοχής εκτελέσιμων σε attachments οι επιτιθέμενοι έχουν αναπτύξει νέες τεχνικές όπως τα Obfuscated Javascript file σε zipped αρχεία.
Συνήθως οι χρήστες τα εκτελούν με αποτέλεσμα ο κώδικας να εκτελείται από τον default browser, να συνδέεται στο Internet και να κατεβάζει το μολυσμένο αρχείο .
Ο δεύτερος πιο διαδεδομένος τρόπος μόλυνσης είναι μέσω Exploit kits. Στην περίπτωση αυτή χρησιμοποιείται ένας ευάλωτος web server στον οποίο o επιτιθέμενος ανεβάζει το Ransomware. Μέσω της επίσκεψης στο site αυτό το θύμα μπορεί να κολλήσει το Ransomware.
Ο τρίτος τρόπος που εξαπλώνεται περισσότερο σαν τεχνική πλέον και είναι και η πιο επικίνδυνη είναι το Targeted Ransomware. Στην περίπτωση αυτή ο επιτιθέμενος στοχεύει σε συγκεκριμένη εταιρία. Χρησιμοποιώντας συνήθως έναν external facing web server παίρνει πρόσβαση σε κάποιον εσωτερικό πόρο της εταιρίας και τοποθετεί το Ransomware σε πολλαπλά σημεία εντός αυτής.
3. Τι πρέπει να κάνω για να αποτρέψω την μόλυνση
α. Εκπαιδεύστε τους χρήστες σας
Όλα σχεδόν τα Ransomware έχουν σαν προϋπόθεση το κατέβασμα από το χρήστη ή και την εκτέλεση κάποιου κακόβουλου αρχείου. Συνήθως αυτό γίνεται από κάποιο κακόβουλο attachment ενός email. Για το λόγο αυτό είναι σημαντική η εκπαίδευση των χρηστών ώστε να μπορούν να ανιχνεύσουν ένα phishing email και να μπορούν να κρίνουν αν πρέπει να ανοίξουν ένα επισυναπτόμενο αρχείο ή να κάνουν κλικ σε ένα link.
β. Επενδύστε σε ένα antivirus σύστημα το οποίο παρέχει επαρκή κάλυψη.
Χρησιμοποιήστε ένα καλό antivirus το οποίο να προσφέρει τουλάχιστον Zero-day protection, Anti-Malware protection, Web και Mail protection. Στην Click Solutions χρησιμοποιούμε Endpoint Antivirus, τα οποία ελέγχονται από μια κεντρική κονσόλα εξασφαλίζοντας έτσι ότι ο τελικός χρήστης δεν μπορεί να διακόψει την λειτουργία τους και παραμένουν πάντα ενημερωμένα. Σε ορισμένες εκδόσεις τους υπάρχει μια εξελιγμένη διαχείριση για την ψηφιακή ασφάλεια αντιμετωπίζοντας malware τα οποία δεν είναι ακόμη γνωστά.
γ. Επενδύστε και σε δεύτερο σύστημα Antivirus ή σε ένα UTM
Εάν δεν επιλέξετε ένα antivirus με εξελιγμένη διαχείριση που μπορεί να σας προσφέρει 100% ασφάλεια, η χρήση ενός δεύτερου μηχανισμού ανίχνευσης είναι αναγκαία.
Μπορείτε να εγκαταστήσετε ένα μηχανισμό antispam και ελέγχου των emails σας. Ακόμη μπορείτε να εγκαταστήστε το MalwareBytes Antiransomware, είναι σε BETA μορφή και για την ώρα δωρεάν, με πολύ καλά αποτελέσματά.
Στην Click Solutions προτείνουμε την εγκατάσταση μιας συσκευής Unified Τhreat Μanagement (UTM), που περιλαμβάνει τα χαρακτηριστικά ενός Firewall επομένης γενιάς (NGFW) και πρόσθετες λειτουργίες όπως η ασφάλεια ηλεκτρονικού ταχυδρομείου, φιλτράρισμα URL, ασύρματη ασφάλεια και τείχος προστασίας για online εφαρμογές. Πλέον είναι προσιτά ακόμη και σε μικρές επιχειρήσεις ή οικιακά δίκτυα.
δ. Εγκαταστήστε άμεσα μια λύση Cloud Backup όπως το Click2Backup
Φροντίστε να έχετε ασφαλή τα δεδομένα σας! Υπάρχουν τόσοι κίνδυνοι, ψηφιακοί ή φυσικοί που απειλούν τα δεδομένα σας. Τα ransomware είναι μόνο ένας από αυτούς.
Ο αριθμός των εταιριών που συνεχίζουν να μην λαμβάνουν backup ή το κάνουν με λανθασμένο τρόπο, είναι εντυπωσιακός. Σε περίπτωση ransomware οι εταιρίες αυτές είναι καταδικασμένες να πληρώσουν ή … να κλείσουν.
Πρέπει να φροντίσετε ώστε να λαμβάνεται συχνά (ανάλογα με την πολιτική backup που εφαρμόζετε) αντίγραφα ασφαλείας, να διατηρείται τουλάχιστον δύο backup set σε διαφορετικά αποθηκευτικά μέσα και το ένα από αυτά να το διατηρείται απομακρυσμένα από την εταιρεία.
Το Click2Backup αυτοματοποιεί την διαδικασία αυτή για εσάς και κρατά ένα αντίγραφο ασφαλή και κωδικοποιημένο στο Cloud. To σημαντικό πλεονέκτημα του Click2Backup κατά του ransomware είναι ότι διατηρεί τις 30 τελευταίες εκδόσεις ενός αρχείου. Έτσι ακόμη και αν μολυνθείτε, θα μπορείτε να ανακτήσετε μια προηγούμενη έκδοση.
ε. Διατηρείτε τα συστήματα σας ενημερωμένα και με σύγχρονες εκδόσεις λογισμικού
Είναι σημαντικό τα συστήματα σας να έχουν τελευταίες εκδόσεις λειτουργικών συστημάτων τα οποία ενημερώνονται αδιάληπτα από τον κατασκευαστή. Καλό είναι να αντικαταστήσετε παλαιές εκδόσεις των Windows XP, Vista ή Windows Server 2003 παρόλο που η Microsoft έχει εκδώσει ενημέρωση ασφαλείας ακόμη και για τις εκδόσεις αυτές.
Μην ξεχνάτε να διατηρείτε συνεχώς ενημερωμένα τα συστήματα στο σύνολο των εφαρμογών που χρησιμοποιείται, όχι μόνο στο λειτουργικό σύστημα.
στ. Απενεργοποιήστε την αυτόματη εκτέλεση στον Web Browser
Ρυθμίστε τον web browser που χρησιμοποιείται ώστε να αποτρέπει την εγκατάσταση μιας εφαρμογής χωρίς την άδεια σας.
ζ. Ενεργοποιήστε το Firewall στον υπολογιστή σας
Είναι σύνηθες στην καθημερινή λειτουργίας μας να απενεργοποιούμε το firewall του υπολογιστή για την διευκόλυνση της εκτέλεσης μιας εφαρμογής. Σταματήστε να το κάνετε, αντίθετα μπορείτε να δημιουργείτε συγκεκριμένους κανόνες εξαίρεσης για κάθε εφαρμογή ακόμα και για την εξερχόμενη κίνηση.
η. Ρυθμίστε την πολιτική ασφάλειας (Group policies) των Windows
Έχει παρατηρηθεί ότι οι συνήθεις φάκελοι από τους οποίους τρέχουν τα κακόβουλα λογισμικά όπως το Cryptolocker είναι οι AppData και LocalAppData, ενώ καμία «νόμιμη» εφαρμογή δεν τρέχει από αυτούς τους φακέλους.
Μπλοκάροντας την εκτέλεση αρχείων από τους φακέλους αυτούς μπορούμε να αποτρέψουμε την εκτέλεση μολυσμένων αρχείων. Συγκεκριμένα απενεργοποιήστε την:
- εκτέλεση αρχείων από τους φακέλους AppData και LocalAppData.
- εκτέλεση αρχείων από τον Temp subdirectory (μέρος του AppData tree από default)
- εκτέλεση αρχείων από συμπιεσμένα αρχεία διάφορων προγραμμάτων Unzip (για παράδειγμα WinZip or 7-Zip).
θ. Μπλοκάρετε γνωστές IP δικτύων που σχετίζονται με Ransomware επιθέσεις
Αρκετά Ransomware χρησιμοποιούν IP του TOR (πρωτόκολλο δημιουργίας ανώνυμων IP) για την επικοινωνία με τον command-and-control Server, όπως για παράδειγμα η 146.185.220.0/24 σχετίζεται με το CryptoWall σύμφωνα με τον CIS.
Με το blocking των TOR IP διευθύνσεων μπορείτε να μειώσετε την πιθανότητα επικοινωνίας και άρα κρυπτογράφησης των αρχείων. Για να μπλοκάρετε τη σύνδεση μεταξύ του δικτύου σας και του δικτύου συγκεκριμένης TOR IP πρέπει να την προσθέσετε στις σταθερά μπλοκαρισμένες IP(blacklist) του firewall σας. Προσοχή: Δεν χρησιμοποιούν όλα τα κακόβουλα λογισμικά TOR IP.
ι. Δώστε περιορισμένα δικαιώματα στην κοινή χρήση αρχείων στο δίκτυο
Όταν το Ransomware μολύνει ένα στόχο ξεκινάει την ανίχνευση πιθανών αρχείων προς κρυπτογράφηση τόσο στον ίδιο υπολογιστή όσο και στο δίκτυο. Έτσι άμεσα θα μολυνθεί οτιδήποτε είναι mapped drive. Δίνοντας συγκεκριμένες προσβάσεις και μειωμένα δικαιώματα μπορούμε να μειώσουμε την εξάπλωση του Ransomware εντός του εταιρικού δικτύου
ια. Περιορίστε τα δικαιώματα στους υπολογιστές σας
Ανάλογα τα δικαιώματα του χρήστη στον υπολογιστή που μολύνθηκε, ένα Ransomware μπορεί να εκτελεστεί ή και να αποτραπεί, συνεπώς ανάλογα με τα δικαιώματα του χρήστη θα εξαπλωθεί παντού, μερικά ή και καθόλου.
Για το λόγο αυτό, θα πρέπει οι χρήστες να έχουν τόσα δικαιώματα όσα χρειάζονται για την εργασία που εκτελούν.
Ειδικά admin δικαιώματα δεν πρέπει να έχουν ούτε οι administrator για τις καθημερινές εργασίες τους.
Τέλος θα πρέπει να απενεργοποιηθούν οι default χρήστες guest και admin. Για το διαχειριστή του συστήματος μπορείτε να χρησιμοποιήσετε ένα διαφορετικό username
ιβ. Περιορίστε την Απομακρυσμένη πρόσβαση
Αρχικά μην χρησιμοποιείτε την εφαρμογή ΑΜΜΥ και αν υπάρχει εγκατεστημένη, απεγκαταστήστε την.
Καλό είναι να μην χρησιμοποιείται την απομακρυσμένη επιφάνεια εργασίας (Remote Desktop) για να συνδεθείτε σε κάποιο υπολογιστή του δικτύου σας, αλλά να εγκατασταθεί VPN ή IP filtering όπου προσθέτετε συγκεκριμένες IP που μπορούν να θεωρούνται εσωτερικές του δικτύου. Αν αυτό δεν είναι εφικτό θα πρέπει να αλλάξετε την default port από 3389 σε κάποια άλλη.
ιγ. Απενεργοποιήστε τις μακροεντολές (Macros)
Η ενεργοποίηση των macros σε αρχεία του office είναι πολύ επικίνδυνη καθώς αποτελεί συχνή επιλογή εισόδου ενός Ransomware στο δίκτυο της εταιρίας, για τον λόγο αυτό προτείνουμε την απενεργοποίηση τους.
ιδ. Μην απενεργοποιείτε τον UAC.
Μην απενεργοποιείται τον Έλεγχο Λογαριασμού Χρήστη (User Access Control –UAC) καθώς αποτελεί ένα επιπλέον σημείο άμυνας έναντι της μόλυνσης από Ransomware.
ιε. Ορίστε το Notepad ως default εφαρμογή αρχείων JavaScript (.js) files
Οι τελευταίες εκδόσεις Ransomware δεν στηρίζονται στην εκτέλεση .exe αρχείων αλλά Javascript αρχείων. Επειδή το είδος αυτών των αρχείων δεν χρησιμοποιείται από τελικούς χρήστες θα πρέπει να οριστεί ως default πρόγραμμα για το άνοιγμα τους, το notepad ώστε να μπορεί να ελεγχθεί και ο κώδικάς τους.
4. Τι πρέπει να κάνω αν μολυνθώ
α) Αν ένας χρήστης αντιληφθεί ότι έχει ανοίξει αρχείο που δεν έπρεπε, πρέπει ΑΜΕΣΑ να αποσυνδέσει τον υπολογιστή του από το εταιρικό ή οικιακό δίκτυο. Αυτό φυσικά, πρέπει να γίνει και για κάθε υπολογιστή που έχει μολυνθεί από Ransomware.
β) Μην προσπαθήσετε να εισάγεται τυχαία payment code γιατί θα μειωθεί ο χρόνος που έχετε στη διάθεσή σας να πληρώσετε.
γ) Μην διαγράψετε τα μολυσμένα στοιχεία από το φάκελο %AppData% εκτός και αν είστε σίγουροι ότι δεν θα πληρώσετε για την αποκρυπτογράφηση.
δ) Αν έχετε backup των δεδομένων σας τότε συνήθως διαγράφοντας τα προβληματικά entry στη registry και διαγράφοντας τα αρχεία μπορείτε να κάνετε restore των δεδομένων. Επειδή όμως αυτό δεν είναι αρκετό σε όλες τις περιπτώσεις συστήνεται ένα factory default, ή ακόμη καλύτερα format!
ε) Αν δεν έχουν διαγραφεί τα shadow copy snapshots δοκιμάστε να κάνετε ανάκτηση των εγγράφων από τα snapshot αυτά.
Οι παραπάνω συμβουλές είναι ενδεικτικές για την ασφάλιση ενός τυπικού δικτύου υπολογιστών, είναι όμως απαραίτητη η μελέτη από εξειδικευμένο προσωπικό για τις ιδιαιτερότητες της κάθε επιχείρησης και των επιχειρηματικών της εφαρμογών. Στην Click Solutions έχουμε μια ολοκληρωμένη υπηρεσία για την δημιουργία πολιτικής ασφάλειας σε επιχειρήσεις κάθε μεγέθους. Αν σας ενδιαφέρει να έχετε περισσότερες πληροφορίες για την επιχείρηση σας, επικοινωνήστε μαζί μας.
ΜΕ ΕΝΔΙΑΦΕΡΕΙ