CyberArk. Αποδομώντας το WannaCry: Πέντε τρόποι αντιμετώπισης του ransomware
Από τότε που εμφανίστηκε στις 12 Μαΐου του 2017, το ransomware WannaCry μονοπωλεί τα πρωτοσέλιδα σε όλο τον κόσμο αφού κατάφερε να μολύνει περισσότερους από 230 χιλιάδες συστήματα σε 150 χώρες.
Το ransomware όπως ήταν φυσικά τράβηξε την προσοχή της κοινότητας ασφαλείας στο σύνολο της καθώς πρόκειται για το πλέον αξιοσημείωτο στέλεχος ransomware με δυνατότητες σκουληκιού, που του επιτρέπουν να πολλαπλασιάζεται αυτόματα σε άλλους κόμβους ενός δικτύου. Ως αποτέλεσμα, η μόλυνση εξαπλώνεται ταχύτατα και σε κλίμακα που ποτέ άλλοτε δεν είχε επιτευχθεί στο παρελθόν.
Οι επιθέσεις ransomware δεν κάνουν διακρίσεις μεταξύ μεγέθους εταιρείας, οργανισμούς ή βιομηχανίας – πολλές γνωστές εταιρείες επηρεάστηκαν όπως οι Dacia, Renault, Nissan, PetroChina, FedEx, Cambrian College, Shaheen Air κ.ά. Χιλιάδες επίσης μηχανήματα ATM και έκδοσης εισιτηρίων αποτέλεσαν στόχους και κρυπτογραφήθηκαν με αποτέλεσμα να μην είναι λειτουργικά.
Όπως έχει επισημάνει ήδη η ομάδα της CyberArk, το ίδιο το WannaCry είναι ένα αρκετά κοινότυπο στέλεχος ransomware. Αυτό ωστόσο που το διαφοροποιεί και το καθιστά ξεχωριστό σε σχέση με άλλα, είναι οι τεχνικές που χρησιμοποιούνται για τη διάδοση της μόλυνσης. Το WannaCry χρησιμοποιεί έναν κρατικής κλάσης φορέα μόλυνσης –μία ευπάθεια SMB της Microsoft με την ονομασία EternalBlue- που το καθιστά εξαιρετικά μεταδοτικό και τον ρυθμό μετάδοσης, εκθετικό.
Το ransomware κρυπτογραφεί τα μολυσμένα αρχεία του χρήστη – από φωτογραφίες και βίντεο έως έγγραφα και βάσεις δεδομένων. Στη συνέχεια δείχνει την διαβόητη πια κόκκινη σήμανση στον χρήστη, απαιτώντας λύτρα $300 έως και $600 σε Bitcoins για να ανακτηθούν τα αρχεία.
Οι πέντε βέλτιστες πρακτικές για να μετριάσετε το κίνδυνο
Παρόλο που σήμερα βρίσκεται στο προσκήνιο το WannaCry, τα στελέχη ransomware θα συνεχίσουν να εξελίσσονται και πιο προηγμένες τεχνικές αναμένεται να βρουν τον δρόμο τους προς τα playbooks των επιτιθέμενων κυβερνοεγκληματιών. Οπότε το μπορούν να κάνουν οι οργανισμοί και οι εταιρείες για να προστατευτούν από το WannaCry και άλλες μορφές malware που αναμφισβήτητα θα κάνουν την εμφάνιση τους στο μέλλον; Παρακάτω θα βρείτε τις πέντε βέλτιστες πρακτικές για να μετριάσετε τον κίνδυνο.
- Να κρατάτε πάντοτε αντίγραφα ασφαλείας. Είτε δεχτείτε επίθεση από κάποιο νέο, εξωτικό στέλεχος ransomware, είτε ο σκληρός σας δίσκος υποστεί θανάσιμη βλάβη αναπάντεχα, το backup των πολύτιμων δεδομένων σας είναι απαραίτητο, και αναμφισβήτητα η απολύτως βέλτιστη πρακτική.
- Να ακολουθείτε την αρχή του ελάχιστου προνομίου. Πάντα να διαμορφώνετε τα στοιχεία ελέγχου πρόσβασης, συμπεριλαμβανομένων των δικαιωμάτων διαμοιρασμού αρχείων, καταλόγων και του δικτύου έχοντας στο μυαλό σας την αρχή του ελάχιστου προνομίου. Οι περισσότεροι χρήστες δεν χρειάζονται δικαιώματα διαχειριστή για να κάνουν τις απαιτούμενες εργασίες τους στις εταιρικές τερματικές συσκευές τους, οπότε η πρόσβαση των χρηστών μπορεί να παραμείνει στο ελάχιστο επίπεδο που θα επιτρέψει την κανονική λειτουργία. Αν και το να τρέχετε σαν μη-προνομιούχος χρήστης δεν σας καθιστά απρόσβλητους στο ransomware τύπου WannaCry, μπορεί να αποτρέψει το κακόβουλο λογισμικό από το να εκτελέσει ορισμένες κακόβουλες εργασίες, όπως είναι για παράδειγμα η διαγραφή των σκιωδών αντιγράφων ασφαλείας των αρχείων του συστήματος που έχει μολύνει.
- Εφαρμόστε έλεγχο εφαρμογής. Ελέγχοντας ποια εκτελέσιμα έχουν πρόσβαση στα αρχεία σας, μπορεί επίσης να συμβάλει θετικά στις αμυντικές σας προσπάθειες. Για παράδειγμα, αν τοποθετήσετε το εκτελέσιμο αρχείο PowerPoint σε λευκή λίστα (whitelist) ως το μόνο εκτελέσιμο αρχείο που έχει πρόσβαση εγγραφής στα αρχεία παρουσίασης, τότε σε περίπτωση που το εκτελέσιμο του ransomware προσπαθήσει να κρυπτογραφήσει και να αντικαταστήσει τα αρχεία, θα απορριφθεί (καθώς δεν βρίσκεται στην λευκή λίστα των “εγκεκριμένων”). Είναι επίσης σημαντικό να δημιουργηθούν πολιτικές που θα προστατεύουν τις “αξιόπιστες” ή “λευκές” εφαρμογές.
- Απενεργοποιήστε το SMB v1 και εφαρμόστε patches. Για να προστατευτείτε από το συγκεκριμένο στέλεχος WannaCry, απενεργοποιήστε αμέσως την παλιά έκδοση πρωτοκόλλου Microsoft SMB 1 ή απλώς εφαρμόστε την ενημερωμένη έκδοση κώδικα MS17-010 που κυκλοφόρησε η Microsoft πριν από μερικούς μήνες.
- Αποκλεισμός πρόσβασης στο Internet. Το πρωτόκολλο Microsoft SMB προορίζεται για να είναι εσωτερικό, οπότε το δίκτυό σας δεν πρέπει να είναι ανοιχτό σε πακέτα SMB από το διαδίκτυο. Η εφαρμογή φιλτραρίσματος θυρών για τον αποκλεισμό όλων των εκδόσεων SMB στο όριο του δικτύου είναι επίσης ένα σημαντικό προληπτικό μέτρο.
Οι εταιρείες και οι οργανισμοί θα πρέπει να εφαρμόσουν αμέσως έναν συνδυασμό πολιτικών ελάχιστου προνομίου και ελέγχου εφαρμογών σε τερματικές συσκευές και διακομιστές σε όλες τις υποδομές/ επιχειρήσεις τους για να μετριάσουν τον κίνδυνο. Κάτι τέτοιο θα μπορούσε να εμποδίσει το ransomware από το να κρυπτογραφήσει αρχεία και να διαγράψει στιγμιότυπα που πολλές φορές απαιτούνται για την πλήρη ανάκτηση του συστήματος μετά από μόλυνση. Πρόκειται για ένα ουσιαστικό επίπεδο προστασίας απέναντι σε μελλοντικές επιθέσεις ransomware.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.