Sophos. Αντιμετωπίζοντας το ransomware Ryuk
Τις τελευταίες εβδομάδες, το SophosLabs έχει δει μία σημαντική άνοδο στο ransomware Ryuk. Η εξαιρετικά επικίνδυνη απειλή μεταφέρεται μέσω μιας εξελιγμένης επίθεσης πολλών σταδίων, και παραλύει οργανισμούς που τους κρατάει όμηρους για λύτρα.
Για να καταλάβετε πως να σταματήσετε το Ryuk, είναι χρήσιμο να γνωρίζετε πως εξελίσσονται οι επιθέσεις. Οι παράγοντες πίσω από τον Ryuk αποτελούν ενεργούς αντιπάλους και ανταγωνιστές που συνδυάζουν προηγμένες τεχνικές επίθεσης με διαδραστικό, hands-on hacking για να αυξήσουν το ποσοστό επιτυχίας τους.
Συνήθως στοχεύουν σε οργανισμούς που δεν μπορούν να αντέξουν τις διακοπές στην λειτουργία τους, όπως είναι οι εφημερίδες, οι δήμοι και οι επιχειρήσεις κοινής ωφελείας, για να αυξήσουν τις πιθανότητες πληρωμής τους. Και μιλώντας για πληρωμές – είναι μεγάλες. Συχνά εξαψήφια ποσά που πληρώνονται σε Bitcoin.
Οι επιθέσεις του Ryuk είναι περίπλοκες. Αρχίζουν συχνά με μια επίθεση Emotet ή TrickBot, που διαδίδεται μέσω κακόβουλων συνημμένων σε ανεπιθύμητα μηνύματα ηλεκτρονικού ταχυδρομείου, τα οποία επιτρέπουν στους κυβερνοεγκληματίες να εισέλθουν στο δίκτυό σας.
Μόλις βρεθούν εντός το δικτύου, κλέβουν διαπιστευτήρια και δημιουργούν ένα νέο χρήστη με προνόμια διαχειριστή. Με τα αυξημένα προνόμια διαχειριστή τους, οι χάκερ μπορούν να κινηθούν ανενόχλητοι εντός του δικτύου σας, να ερευνήσουν το Active Directory και να διαγράψουν τα αντίγραφα ασφαλείας σας.
Αφού αφαιρέσουν το δίχτυ ασφαλείας σας, επιχειρούν να απενεργοποιήσουν τα προϊόντα κυβερνοασφαλείας σας πριν τελικά απελευθερώσουν το ransomware Ryuk, για να κρυπτογραφήσουν τα αρχεία σας και να απαιτήσουν πολλά χρήματα για λύτρα.
Σταματώντας το Ryuk με το Sophos Intercept X Advanced
Για να σταματήσεις το Ryuk δεν αρκεί μόνο η διακοπή της λειτουργίας ενός τμήματος του λογισμικού, αλλά απαιτείται τόσο το σταμάτημα ενός ενεργού αντιπάλου όσο και η διακοπή της αλυσίδας επίθεσης που του επιτρέπει να βρεθεί σε θέση για να τρέξει το Ryuk. Το Sophos Intercept X Advanced περιλαμβάνει μία σειρά από τεχνολογίες για την ανίχνευση και την διακοπή ή την διατάραξη διάφορων σταδίων της αλυσίδας επίθεσης. Στις τεχνολογίες συμπεριλαμβάνεται:
- Ο εντοπισμός και ο αποκλεισμός των τεχνικών exploit που χρησιμοποιούνται για τη λήψη και εγκατάσταση του Emotet και του Trickbot (συχνά μέσω PowerShell ή του WMI) και την παρεμπόδιση της εισόδου των χάκερ στο δίκτυό σας.
- Ο αποκλεισμός «lateral movement» σε όλο το δίκτυό σας, εργαζόμενοι σε πραγματικό χρόνο με το τείχος προστασίας Sophos XG.
- Η αποτροπή της κλοπής διαπιστευτηρίων, για να εμποδιστεί η εξουσιοδοτημένη πρόσβαση στα συστήματά σας και η κλιμάκωση των δικαιωμάτων διαχειριστή.
- Η αποτροπή της εκτέλεσης του ransomware, με την λεπτομερή εξέταση του “DNA” του χρησιμοποιώντας το νευρωνικό δίκτυο βαθιάς εκμάθησης της Sophos.
- H ανίχνευση και επαναφορά της μη εξουσιοδοτημένης κρυπτογράφησης αρχείων χάρη στις δυνατότητες του CryptoGuard
Παρακολουθήστε το βίντεο για να δείτε τις δυνατότητες του CryptoGuard στο Intercept X που πραγματοποιεί «rolling back» στο ransomware Ryuk.
Δοκιμάστε από μόνοι σας την προστασία anti-ransomware του Intercept X για 30 ημέρες δωρεάν
Η δική σας ομάδα κυνηγών απειλών και εμπειρογνωμόνων ανταπόκρισης
Την ώρα που πολλά στελέχη ransomware διανέμονται μέσω εκστρατειών ανεπιθύμητης αλληλογραφίας (spam) μεγάλης κλίμακας, το Ryuk χρησιμοποιεί αυτοματοποιημένα μέσα για να αποκτήσει ένα αρχικό στήριγμα, και στη συνέχεια χρησιμοποιεί την ανθρώπινη ευστροφία για να αποφύγει την ανίχνευση. Με άλλα λόγια, υπάρχει ένας άνθρωπος πίσω από την επίθεση που έχει ως στόχο την παράκαμψη ή την χειραγώγηση των υφιστάμενων ελέγχων ασφαλείας.
Για επιθέσεις «ενεργών αντιπάλων» όπως αυτές, μία ειδική ομάδα κυνηγών απειλών και εμπειρογνωμόνων ανταπόκρισης μπορεί να κάνει όλη τη διαφορά. Η ομάδα Sophos Managed Threat Response κυνηγάει προληπτικά, ανιχνεύει και ανταποκρίνεται σε επιθέσεις σε πραγματικό χρόνο για να εξουδετερώσει τόσο το ransomware όσο και άλλες προηγμένες απειλές προτού θέσουν σε κίνδυνο τα δεδομένα σας. Μάθετε περισσότερα για το Sophos MTR σήμερα.
Βέλτιστες πρακτικές για να σταματήσετε το ransomware
Όποιο και αν είναι το μέγεθος της επιχείρησής σας και σε όποιου τύπου βιομηχανία δραστηριοποιήστε, σας συνιστούμε να ακολουθήσετε τις παρακάτω βέλτιστες πρακτικές για να ελαχιστοποιήσετε τον κίνδυνο να πέσετε θύμα μιας επίθεσης ransomware:
- Εκπαιδεύστε τους χρήστες σας. Διδάξτε τους για τη σημασία των ισχυρών κωδικών πρόσβασης και αναπτύξτε τον έλεγχο ταυτότητας δύο παραγόντων όπου κι αν βρίσκεστε.
- Προστατεύστε τα δικαιώματα πρόσβασης. Δώστε στους λογαριασμούς χρηστών και στους διαχειριστές μόνο τα απολύτως απαραίτητα δικαιώματα πρόσβασης που χρειάζονται και τίποτε άλλο.
- Να λαμβάνετε τακτικά αντίγραφα ασφαλείας – και διατηρήστε τα εκτός δικτύου ή σε άλλη τοποθεσία όπου οι εισβολείς δεν μπορούν να τα βρουν. Θα μπορούσαν να είναι η τελευταία σας γραμμή άμυνας έναντι μίας εξαψήφιας πληρωμής για λύτρα.
- Να εγκαθιστάτε patches νωρίς, και συχνά. Τα προγράμματα ransomware, όπως το WannaCry και το NotPetya, βασίστηκαν σε unpatched ευπάθειες για να εξαπλωθούν σε όλο τον κόσμο.
- Κλειδώστε το RDP σας. Απενεργοποιήστε το RDP αν δεν το χρειάζεστε και χρησιμοποιήστε rate limiting, 2FA ή VPN, αν το κάνετε.
- Βεβαιωθείτε ότι η προστασία εισβολών/ παραβιάσεων είναι ενεργοποιημένη. Το Ryuk και άλλοι τύποι ransomware επιχειρούν να απενεργοποιήσουν την προστασία endpoint σας. Η προστασία «tamper» έχει σχεδιαστεί για να αποτρέπει κάτι τέτοιο.
- Εκπαιδεύστε την ομάδα σας σχετικά με το ηλεκτρονικό ψάρεμα. Το ηλεκτρονικό “ψάρεμα” (phishing) είναι ένας από τους κύριους μηχανισμούς παράδοσης του ransomware.
- Χρησιμοποιήστε προστασία κατά των ransomware. Το Sophos Intercept X και το XG Firewall έχουν σχεδιαστεί για να λειτουργούν χέρι-χέρι για την καταπολέμηση του ransomware και των επιπτώσεών του. Το Sophos Managed Threat Response (MTR) παρέχει μια ομάδα κυνηγών απειλών, που αναζητά ανιχνεύει και εξουδετερώνει τις επιθέσεις που απαιτούν ανθρώπινη παρέμβαση.