SophosLabs. Οικογένειες ransomware και πως να τις αντιμετωπίσετε
Εδώ και καιρό το ransomware βρίσκεται στην επικαιρότητα και απασχολεί ειδικούς στον τομέα της ασφάλειας και εταιρείας. Μάλιστα βρίσκεται τόσο καιρό ανάμεσα μας, που σήμερα θεωρείται… παλιό νέο για πολλούς επαγγελματίες στον χώρο της ασφάλειας. Όμως παραμένει ένα ενοχλητικό ζήτημα για πολλές εταιρείες.
Η SophosLabs έβαλε στο μικροσκόπιο τις πιο παραγωγικές οικογένειες ransomware καθώς και τους φορείς τέτοιων επιθέσεων για μία περίοδο έξι μηνών. Η εταιρεία παρακάτω παραθέτει στατιστικά στοιχεία, και κυρίως, παρέχει όλους τους πόρους που χρειάζεστε για να σας βοηθήσει να “στήσετε” μία αποτελεσματικότερη άμυνα.
Στατιστικά στοιχεία από τη SophosLabs
Τα παρακάτω στατιστικά στοιχεία καλύπτουν μία εξάμηνη περίοδο, από τον Οκτώβριο του 2016 έως στον Απρίλιο του 2017, και δεν περιλαμβάνει το παγκόσμιο ξέσπασμα με το WannaCry που απασχόλησε ειδικούς, εταιρείες αλλά και τον απλό κόσμο αργότερα. Η συλλογή των στοιχείων πραγματοποιήθηκε χρησιμοποιώντας αναζητήσεις από υπολογιστές πελατών. Ξεκινώντας από συγκεκριμένες οικογένειες ransomware, τα εργαστήρια της Sophos διαπίστωσαν ότι τα Cerber και Locky ήταν τα πλέον δραστήρια. Στο Cerber αποδίδεται το ήμισυ των δραστηριοτήτων για τη συγκεκριμένη περίοδο, ενώ στο Locky περίπου το ένα τέταρτο των δραστηριοτήτων.
Το Cerber έχει υποστεί πολλές μεταλλάξεις που έχουν σχεδιαστεί για να παρακάμπτουν τα sandboxes και τις εφαρμογές antivirus. Μια έκδοση του εξαπλώθηκε μέσω spam emails (ανεπιθύμητης αλληλογραφίας ηλεκτρονικού ταχυδρομείου) έχοντας μεταμφιεστεί σε υπηρεσία παράδοσης κούριερ. Το Locky, εν τω μεταξύ, έχει ιστορικό μετονομασίας των σημαντικών αρχείων των θυμάτων του, ώστε να έχουν την επέκταση *.locky. Όπως και το Cerber, οι τακτικές και οι μεταμφιέσεις του έχουν αλλάξει σημαντικά με την πάροδο του χρόνου.
Οι χώρες στις οποίες παρατηρείται η μεγαλύτερη δραστηριότητα ransomware είναι η Μεγάλη Βρετανία, το Βέλγιο, η Ολλανδία και οι ΗΠΑ. Η μεγαλύτερη έξαρση παρατηρήθηκε από τις αρχές έως στα μέσα Μαρτίου. Η δραστηριότητα στη συνέχεια μειώθηκε για ένα μικρό χρονικό διάστημα, αλλά επανήλθε γύρω στις 5 Απριλίου. Κατά την διάρκεια της έρευνας και της συλλογής των στοιχείων σχετικά με την εξέλιξη και τις μεθόδους παράδοσης του malware τον τελευταίο χρόνο (Απρίλιος 2016 – Απρίλιος 2017), τα εργαστήρια ανακάλυψαν, μεταξύ άλλων, ότι το malware ήρθε από διαφορετικές γωνίες επίθεσης – μέσω email spam, μέσω malvertisements (διαφημίσεις μολυσμένες με malware) στον ιστό ή με drive-by downloads.
Ο πιο διαδεδομένος φορέας επίθεσης του ransomware ήταν τα συνημμένα ηλεκτρονικού ταχυδρομείου, ιδιαίτερα τα αρχεία PDF και τα έγγραφα Office. Μάλιστα, στην πλειονότητα τους οι κακόβουλες επιθέσεις που χρησιμοποιούν spam emails με συνημμένα που δεν έχουν κατάληξη EXE, είτε με τον ένα, είτε με τον άλλο τρόπο σχετίζονται με μολύνσεις ransomware. Γίναμε μάρτυρες μίας μεγάλης πτώσης στο κακόβουλο spam με αρχή τον Δεκέμβριο του 2016.
Τα ακριβή ποσοστά συγκεντρώνονται στην εικόνα παρακάτω (για μία περισσότερο κοντινή προβολή, κάντε κλικ σε διάφορα μέρη του γραφικού και χρησιμοποιήστε τη λειτουργία μεγεθυντικού φακού).
Τι μπορείτε να κάνετε;
Για να προστατευτείτε από κάτι τέτοιο λοιπόν:
- Να δημιουργείτε αντίγραφα ασφαλείας των αρχείων σας, και να διατηρείτε ένα φρέσκο αντίγραφο ασφαλείας εκτός Internet. Υπάρχουν δεκάδες άλλοι τρόποι, πέρα από το ransomware, που μπορούν να εξαφανιστούν τα αρχεία σας: από κάποια φυσική καταστροφή (π.χ φωτιά, πλημμύρα), από κλοπή ή από την πτώση ενός φορητού υπολογιστή ή ακόμα και από κάποια τυχαία διαγραφή. Κρυπτογραφήστε τα αρχεία σας, και δεν χρειάζεται να ανησυχείτε αν τυχόν πέσουν σε λάθος χέρια.
- Μην ενεργοποιείτε τις μακροεντολές στα συνημμένα εγγράφων που λαμβάνετε μέσω ηλεκτρονικού ταχυδρομείου. Η Microsoft, ως πρόσθετο μέτρο ασφαλείας, απενεργοποίησε εσκεμμένα εδώ και πολλά χρόνια την εξ ορισμού αυτόματη εκτέλεση των μακροεντολών. Πολλά είδη μολύνσεων malware εξαρτώνται από το να σας πείσουν να ενεργοποιήσετε πάλι τις μακροεντολές, οπότε, μην το κάνετε!
- Να είστε προσεκτικοί με τα συνημμένα στην ανεπιθύμητη αλληλογραφία σας. Οι απατεώνες και οι κακοποιεί βασίζονται στο δίλημμα που υπάρχει μεταξύ του να μην ανοίξετε ένα έγγραφο ωσότου σιγουρευτείτε ότι είναι αυτό που θέλετε, αλλά δεν μπορείτε να είστε σίγουροι για αυτό μέχρι να το ανοίξετε πραγματικά. Σε κάθε περίπτωση, όταν έχετε αμφιβολίες δεν το πειράζετε.
- Να εγκαθιστάτε τα patches νωρίς, και συχνά. Το malware που δεν εισέρχεται μέσω μακροεντολών στα έγγραφα συχνά εξαρτάται και βασίζεται σε κενά ασφαλείας ή σε bugs σε δημοφιλείς εφαρμογές, όπως σε εφαρμογές του Office, στον browser που χρησιμοποιείτε, στο Flash ή αλλού. Να εγκαθιστάτε ότι patch διατίθεται, το συντομότερο δυνατό. Όσο πιο σύντομα, τόσο πιο λίγα τα κενά ασφαλείας που απομένουν για τους κυβερνοεγκληματίες για να εκμεταλλευτούν.
- Χρησιμοποιήστε το Sophos Intercept X, το οποίο σταματάει το ransomware εν τη γενέσει του με το να απαγορεύει την μη εξουσιοδοτημένη κρυπτογράφηση αρχείων.
Μπορείτε να διαβάσετε το πρωτότυπο άρθρο, εδώ.