GlobalSign: Πώς να προστατεύσετε την start-up σας από το ransomware
Οι κυβερνοεπιθέσεις καθιστούν πολύ δύσκολη τη ζωή όσων χρησιμοποιούν το Internet. Ειδικά το είδος του κακόβουλου λογισμικού που ονομάζουμε ransomware είναι ένας από τους πλέον αποδιοργανωτικούς και επικίνδυνους τύπους επίθεσης που χρησιμοποιείται από hackers. Δυστυχώς, οι επιθέσεις ransomware χρησιμοποιούνται όλο και περισσότερο και τα θύματα τους αυξάνονται μέρα με τη μέρα.
Στο πιο πρόσφατο παράδειγμα για παράδειγμα του WannaCry, που βρέθηκε στα πρωτοσέλιδα των εφημερίδων και στις ειδήσεις σε κάθε κανάλι σχεδόν σε παγκόσμιο επίπεδο, κατάφερε να μολύνει περισσότερους από διακόσιες χιλιάδες υπολογιστές σε περισσότερες από 74 χώρες και συνεχίζει να μολύνει.
Οι μικρές επιχειρήσεις και οι νεοσύστατες επιχειρήσεις (start-ups) είναι ιδιαίτερα επιρρεπείς και ευάλωτες σε τέτοια είδη επίθεσης στον κυβερνοχώρο. Μόνο το περασμένο έτος, το 43% των επιθέσεων αφορούσε μικρές επιχειρήσεις, και ο συγκεκριμένος αριθμός συνεχίζει να αυξάνεται όσο περνάει ο καιρός. Αν έχετε μία τέτοια εταιρεία, εξαιτίας του μικρότερου προϋπολογισμού σας και της έλλειψης πόρων, ενδέχεται να βρεθείτε σε πολύ δύσκολη θέση, αδυνατώντας να ανακτήσετε τα δεδομένα σας, να εντοπίσετε τον εισβολέα ή ακόμα και να πληρώσετε τα λύτρα.
Ακριβώς για αυτό το λόγο, είναι απαραίτητο να “χαράξετε” μια στρατηγική για την πρόληψη απέναντι σε επιθέσεις ransomware προτού σπείρουν τον όλεθρο στις καθημερινές δραστηριότητες της επιχείρησης σας.
Τι είναι το ransomware;
Το ransomware είναι ένας τύπος κακόβουλου λογισμικού που αποκτάει πρόσβαση στο λειτουργικό σύστημα ενός υπολογιστή ή μίας τερματικής συσκευής και κρυπτογραφεί τα δεδομένα του χρήστη, εμποδίζοντας οποιαδήποτε πρόσβαση στις πληροφορίες αυτές. Για να ανακτήσει την πρόσβαση στα αποκλεισμένα αρχεία και πληροφορίες, ο χρήστης ή η εταιρεία θα πρέπει να πληρώσει ένα ποσό σε λύτρα, τα οποία αποτελούν απαίτηση του hacker.
Μέχρι να καταβληθούν τα λύτρα, ο επιτιθέμενος δεν πρόκειται να αποκρυπτογραφήσει ούτε να επιστρέψει τα αρχεία της επιχείρησής σας. Αξίζει επίσης να σημειωθεί, ότι δεν μπορείτε να είστε σίγουροι ότι αφού πληρώσετε τα λύτρα που απαιτούνται, ότι ο hacker θα αποκρυπτογραφήσει τα αρχεία σας ή θα σας τα αποστείλει πίσω με τον ίδιο τρόπο που τα έκλεψε και πως δεν θα κρατήσει κάποιο αντίγραφο των δεδομένων για τον εαυτό του.
Τύποι ransomware που μπορούν να επηρεάσουν την start-up σας
Για να αποφύγετε να πέσετε θύματα ransomware, πρέπει να γνωρίζετε τους διάφορους τύπους επίθεσης ransomware και την έντασή ή το μέγεθος τους. Υπάρχουν ορισμένα σημάδια με βάση τα οποία μπορείτε να καταλάβετε τον τύπο του ransomware που έχει κρατήσει σε ομηρία τα δεδομένα του συστήματός σας.
Scareware
Αυτός ο τύπος ransomware είναι o λιγότερο επιβλαβής, και σε αντίθεση με την ονομασία του, δεν έχει το παραμικρό τρομακτικό στοιχείο. Όταν μια συσκευή δέχεται επίθεση από scareware, εμφανίζει μια προειδοποίηση για ποικίλα ζητήματα ή προβλήματα στο σύστημα σας (π.χ κολλήσατε ιό). Οι προειδοποιήσεις συνοδεύονται από διάφορα ψεύτικα εργαλεία καθαρισμού και αντιμετώπισης ιών, μέσω των οποίων επίσης γνωστοποιείται στον χρήστη ότι απαιτούνται χρήματα για να διορθωθούν οι συγκεκριμένες προειδοποιήσεις.
Σε αυτό το είδος επίθεσης ransomware, το σύστημά σας παραμένει σε λειτουργία και τα δεδομένα σας είναι ασφαλή και λειτουργούν κανονικά. Αν αφήσετε ανοιχτή την ιστοσελίδα ή δεν κλείσετε το pop-up, τότε θα συνεχίσουν να έρχονται προειδοποιήσεις που ισχυρίζονται ότι έχουν εντοπιστεί νέα προβλήματα στο σύστημά σας.
Ransomware κλειδώματος οθόνης
Αν εκκινήσετε τη συσκευή σας και δείτε ότι υπάρχει ένα παγωμένο παράθυρο, τότε υπάρχει περίπτωση να πέσατε πάνω σε ένα lock-screen ransomware. Στην συγκεκριμένη περίπτωση, το ransomware εμφανίζει σε παράθυρο πλήρους κλειδώματος οθόνης το λογότυπο του FBI ή του Υπουργείου Δικαιοσύνης ισχυριζόμενο ότι έχετε συμμετάσχει σε μια παράνομη πράξη, και καλείστε να πληρώσετε πρόστιμο.
Ransomware που κρυπτογραφεί
Το ransomware που κρυπτογραφεί είναι τελικά το πιο δημοφιλές και το πλέον δυσεπίλυτο (είναι το είδος που χρησιμοποιείται στην προαναφερθείσα και ιδιαίτερα διαδεδομένη επίθεση WannaCry). Το κρυπτογραφικό ransomware, όπως υποδηλώνει και η ονομασία του, κρυπτογραφεί τα αρχεία της παγιδευμένης τερματικής συσκευής ή του υπολογιστή και απαιτεί χρήματα για την αποκρυπτογράφηση των δεδομένων. Θεωρείται ως ένας από τους περισσότερο επιβλαβείς τύπους ransomware, επειδή αν πέσετε θύμα του, είναι απίθανο να καταφέρετε να ανακτήσετε τα δεδομένα σας ή να αποκτήσετε πρόσβαση στα δεδομένα σας χωρίς να πληρώσετε τα λύτρα που απαιτούνται.
Πως να αποτρέψετε το ransomware
Ο καλύτερος τρόπος για να προστατεύσετε τη συσκευή ή τον υπολογιστή σας ενάντια σε μία επίθεση ransomware είναι να ακολουθήσετε ορισμένα αποτελεσματικά μέτρα προφύλαξης και πρόληψης που περιγράφονται στο παρόν άρθρο. Όλες αυτές οι μέθοδοι, που έχουν συζητηθεί στο παρελθόν, και αναλύονται παρακάτω, θα σας επιτρέψουν να αποτρέψετε μια εισβολή ransomware χωρίς να ξοδέψετε το παραμικρό ευρώ.
Δημιουργία αντιγράφων ασφαλείας δεδομένων
Για όλα τα πολύτιμα και ευαίσθητα αρχεία δεδομένων σας, το πιο σημαντικό βήμα είναι να επιστρατεύσετε την δημιουργία αντιγράφων ασφαλείας. Για να διατηρήσετε αρχεία ή και τα αντίγραφα ασφαλείας των πολύτιμων δεδομένων σας, μπορείτε να εκμεταλλευτείτε την δυνατότητα αποθήκευσης δεδομένων στο σύννεφο, δηλαδή κάποια υπηρεσία cloud storage (υπάρχουν πολλές εταιρείες που προσφέρουν δωρεάν υπηρεσίες κάτω από ένα ορισμένο όριο GB). Θα μπορούσατε επίσης να χρησιμοποιείτε αποσπώμενους σκληρούς δίσκους (που είναι offline και offsite) για να διατηρήσετε αντίγραφα ασφαλείας των δεδομένων σας.
Κάτι τέτοιο δεν πρόκειται να εμποδίσει τον εισβολέα από το να αποκτήσει πρόσβαση στους υπολογιστές και στα συστήματά σας, αλλά τουλάχιστον εξακολουθείτε να έχετε πρόσβαση στα αρχεία σας και θα μπορείτε να “ξεφορτωθείτε” το ransomware και να ανακτήσετε τα πολύτιμα δεδομένα της εταιρείας σας χωρίς πρόβλημα.
Βελτιστοποιώντας την ασφάλεια email και spam
Οι κυβερνοεγκληματίες που χρησιμοποιούν ransomware, φροντίζουν να εξαπλώσουν το καταστρεπτικό κακόβουλο λογισμικό τους χρησιμοποιώντας κάποιο botnet που έχει στόχο να διαμοιράσει τεράστιο όγκο spam emails. Ανάμεσα στις δημιουργίες τους, είναι και ένας σύνδεσμος που κατεβάζει άμεσα το κακόβουλο λογισμικό από κάποιο email και το μόνο που έχετε να κάνετε είναι να πέσετε στην παγίδα τους. Πρόσφατα επιτεύγματα και πρόσφατες εξελίξεις στον χώρο των εφαρμογών και υπηρεσιών ηλεκτρονικού ταχυδρομείο, σας επιτρέπουν να προσαρμόσετε φίλτρα anti-SPAM. Εξετάστε το ενδεχόμενο να αλλάξετε τις ρυθμίσεις σας στο φίλτρο SPAM, ώστε τα μολυσμένα από ιό ή malware μηνύματα ηλεκτρονικού ταχυδρομείου να αποτρέπονται από το να φτάσουν στα εισερχόμενά σας.
Κάτι επίσης ιδιαίτερα σημαντικό είναι η εκπαίδευση των εργαζομένων σας ώστε να εντοπίζουν τα ηλεκτρονικά μηνύματα phishing (μηνύματα ηλεκτρονικού “ψαρέματος”. Η εκπαίδευση είναι εξαιρετικά σημαντική, αφού μπορεί να αποτρέψει την είσοδο του ransomware στο δίκτυό σας, αφού τέτοια παραπλανητικά μηνύματα ηλεκτρονικού ταχυδρομείου χρησιμοποιούνται συνήθως για να εξαπατήσουν τους χρήστες να κατεβάσουν συνημμένα με κακόβουλο κώδικα. Οι δοκιμές προσομοίωσης ηλεκτρονικού “ψαρέματος” είναι μια δοκιμασμένη και πραγματικά αξιόπιστη μέθοδος για την εισαγωγή των υπαλλήλων στις σωστές τακτικές έτσι ώστε να μην πέσουν θύματα.
Εγκαταστήστε λογισμικό προστασίας από ιούς και τείχος προστασίας
Στις πλειονότητα των περιπτώσεων, το λογισμικό ransomware απαιτεί σύνδεση με διακομιστές εντολών και ελέγχου για να λάβουν ορισμένα σημαντικά κλειδιά τα οποία είναι απαραίτητα κατά τη διαδικασία κρυπτογράφησης. Ωστόσο, το τείχος προστασίας των Windows και πρόσθετες εφαρμογές firewall είναι σε θέση να αναγνωρίσουν και να σταματήσουν αυτό το είδος κίνησης, αποτρέποντας την κρυπτογράφηση δεδομένων. Έτσι, η επίθεση σταματά πριν ξεκινήσει.
Αποκλείστε τις επεκτάσεις επικίνδυνων αρχείων
Επεκτάσεις όπως είναι οι pif, .cmd, .bat, .scr, .vbs, .rtf. Docm, .rar. .zip, .js, .exe, είναι επεκτάσεις επικίνδυνων αρχείων, που θα μπορούσαν να περιέχουν ransom trojans. Είναι μία καλή και έξυπνη κίνηση για την επιχείρησή σας να διαμορφώσετε το πρόγραμμα ηλεκτρονικού ταχυδρομείου με τέτοιο τρόπο ώστε να μπορεί να σταματήσει τα εισερχόμενα μηνύματα με δυνητικά επιβλαβές επισυναπτόμενο περιεχόμενο.
Καλό θα ήταν να αποκλείσετε τυχόν συνημμένα που απαιτούν ενεργοποίηση μακροεντολών σε έγγραφα γραφείου ή θέλουν να εκτελούν scripts.
Αποφύγετε τη χρήση απομακρυσμένων υπηρεσιών
Μερικές φορές οι επιτιθέμενοι ransomware χρησιμοποιούν εφαρμογές απομακρυσμένης υποστήριξης για να εκτελέσουν κακόβουλο κώδικα σε μια συσκευή. Μια τέτοια επίθεση με ransomware αναφέρθηκε τον Μάρτιο του 2016, όταν χρησιμοποιήθηκε η εφαρμογή TeamViewer. Για να αποτρέψετε μια τέτοια επίθεση, θα πρέπει να ορίσετε έλεγχο ταυτότητας δύο παραγόντων όταν συνδέεστε σε μια απομακρυσμένη υπηρεσία.
Μετονομάστε το “vssadmin.ext”
Ένας εισβολέας μπορεί να χρησιμοποιήσει το αρχείο vssadmin.exe και να εισαγάγει την εντολή: Delete Shadows/All/Quiet, για να διαγράψει Shadow Volume copies (αντίγραφα) των αρχείων σας, καθιστώντας σας ανίκανους να αποκτήσετε πρόσβαση σε προηγούμενες αποκατεστημένες εκδόσεις των αρχείων σας.
Συνιστάται να μετονομάσετε το αρχείο vssadmin.exe έτσι ώστε ο εισβολέας ransomware να μην μπορεί να το εντοπίσει και να το διαγράψει.
Το τελευταίο προπύργιο – Βρείτε έναν αποκρυπτογράφο
Σε περίπτωση που εξακολουθείτε να βρίσκεστε αιχμάλωτοι κάποιου εισβολέα που ζητάει λύτρα, αξίζει να εξετάσετε το ενδεχόμενο να έχετε μολυνθεί από ένα ransomware που έχει ήδη αποκρυπτογραφηθεί από κάποιον ερευνητή ασφαλείας. Υπάρχουν πολλά δωρεάν εργαλεία αποκρυπτογράφησης που μπορείτε να τρέξετε να δείτε μήπως καταφέρετε να αποκτήσετε ξανά πρόσβαση στα δεδομένα σας.
Σε μία εποχή τέτοιων απειλών στον κυβερνοχώρο, το ransomware μπορεί να προκαλέσει μεγάλη ζημιά στην επιχείρησή σας, ακόμη και να σταματήσει εντελώς την λειτουργία της. Είναι καλύτερα να μην περιμένετε μέχρι να πέσετε θύμα μίας τέτοιας επίθεσης για να ξεκινήσετε τις προσευχές ότι κάποιος θα έχει κυκλοφορήσει ένα εργαλείο αποκρυπτογράφησης ειδικά για την περίπτωση σας. Αυτό σημαίνει ότι θα πρέπει να κάνετε κάποιες μικρές αλλαγές στην επιχείρηση σας, ώστε να αποτρέψετε τις επιθέσεις από την πρώτη στιγμή.
Μία καλή συμβουλή, είναι να εξετάσετε την πρόσληψη ενός συμβούλου πληροφορικής έστω και για μια ημέρα για να ενημερώσετε και να προσαρμόσετε το δίκτυό σας κατάλληλα ώστε να μπορεί να αποκρούσει τέτοιες επιθέσεις. Αλλά δεν πρέπει να σταματήσετε εκεί, φροντίστε να τον επαναφέρετε κάθε τρεις έως έξι μήνες ώστε να σας ενημερώνει κατάλληλα και να κάνετε τυχόν αλλαγές στο δίκτυο σας με βάση τις νέες βέλτιστες πρακτικές. Η βιομηχανία πληροφορικής αλλάζει συνεχώς και αν δεν είστε προστατευμένοι από τα πιο πρόσφατα exploits, malware, ιούς και κακόβουλα αρχεία, αφήνετε την επιχείρησή σας ανοικτή σε κλοπή δεδομένων και επιθέσεις σε ransomware.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.