Ransomware este o formă de payload malițios care descrie cel mai bine intenția malițioasă a factorilor de amenințare care încearcă să extorcheze o plată de la victimă pentru că au reușit să preia controlul asupra datelor sau sistemelor victimei. De obicei, pentru plata răscumpărării se solicită criptomonedă.
Atacatorul poate utiliza mai mulți vectori de atac, iar neplata poate avea consecințe, inclusiv prin apariția următoarelor amenințări:
În general, actorii rău intenționați vor încerca să solicite plăți prin faptul că acțiunile lor pot compromite sistemele informatice și pot afecta negativ operațiunile normale ale victimelor lor. Deși malware-ul este una dintre principalele metode de atac, mai multe incidente de ransomware au avut loc fără utilizarea de malware - de exemplu, incidente de ransomware cu extorcare cibernetică prin amenințarea cu un atac de tip DoS (denial of service) sau o defăimare a unui site web. A apărut, de asemenea, Ransomware as a service (RWaaS), unde factorii de amenințare au creat un model de afaceri pentru a lansa un atac țintit împotriva unei persoane sau companii ca serviciu contra cost.
Ransomware este de obicei livrat prin intermediul e-mailurilor de phishing sau prin descărcări de tip „drive by”. E-mailurile de phishing par legitime și demne de încredere, iar victima este ademenită să facă clic pe un link malițios sau să deschidă un atașament. Un program de tip drive-by download poate fi descărcat automat de pe internet fără consimțământul utilizatorilor și fără ca aceștia să fie informați. Este posibil ca un cod malițios să ruleze după descărcare, fără nicio interacțiune cu utilizatorul. După ce se execută codul malițios, calculatorul utilizatorului este infectat cu ransomware.
Ransomware identifică apoi unitățile de pe un sistem infectat și începe să cripteze fișierele din fiecare unitate. Criptarea este însoțită, în general, de o extensie unică pentru fișierele criptate, cum ar fi .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault sau .petya. După ce se finalizează criptarea, ransomware-ul creează și afișează un fișier sau un set de fișiere care conțin informații și instrucțiuni privind termenii atacului ransomware. De exemplu, odată ce victima respectă termenii ransomware-ului, agentul de amenințare poate furniza o cheie criptografică pentru ca victima să deblocheze fișierele criptate.
Igiena de securitate de bază și practicile operaționale sănătoase pot ajuta organizațiile să prevină incidentele de ransomware și să limiteze pierderile financiare, timpii de nefuncționare și întreruperile.
Există mai multe puncte de vulnerabilitate în rândul utilizatorilor unei organizații. Organizațiile ar putea beneficia de pe urma educării utilizatorilor individuali cu privire la practicile sigure de navigare pe internet și de e-mail. Educația cu privire la utilizarea în siguranță a platformelor de socializare este, de asemenea, importantă, astfel încât utilizatorii să fie conștienți de faptul că un agent de amenințare rău intenționat poate folosi informațiile publice disponibile despre ei pentru a-i viza pe aceștia sau alte persoane din organizația lor.
Pentru a consolida practicile de siguranță, organizațiile pot pune în aplicare controale tehnice pentru diferitele sisteme pe care atacatorii le folosesc ca să propage programele malware. Printre exemplele de controale tehnice se numără:
Pe lângă utilizarea unor produse actualizate de protecție a terminalelor, organizațiile ar trebui să dispună de sisteme de management al identității și accesului (IAM), cu o abordare de securitate de tip zero trust. Prin aplicarea unei autentificări puternice și a principiilor celui mai mic privilegiu, organizațiile pot menține un control strict asupra sistemelor critice și asupra depozitelor de date sensibile.
Pe lângă controalele stricte ale accesului, organizațiile ar trebui să impună limitări pentru instrumentele de colaborare, resursele de partajare a fișierelor și alte sisteme accesate frecvent. Organizațiile pot impune provocări de autentificare suplimentare, dacă și când este cazul. Eliminarea conectărilor anonime, a conturilor generice și a utilizării acreditărilor deficitare, combinate cu un control strict asupra conturilor privilegiate, cum ar fi conturile root și admin ale sistemului de operare sau DBA, sunt esențiale pentru menținerea unei poziții de securitate solide.
Organizațiile ar trebui să-și definească și să mențină liniile de bază cunoscute privind configurația de securitate și să implementeze sistemele în conformitate cu liniile directoare privind configurația de securitate. Deoarece sarcinile utile malițioase vizează adesea vulnerabilitățile cunoscute ale software-ului, este important să se aplice prompt patch-uri de securitate.
Nu în ultimul rând, o altă bună practică care va ajuta o organizație să se redreseze în urma unui ransomware este stocarea copiilor de rezervă separat și pe un sistem de operare diferit, astfel încât acestea să nu poată fi accesate din rețea.
Odată ce organizațiile descoperă un program ransomware, ar trebui să încerce să limiteze propagarea sarcinii utile malițioase prin:
Pentru a limita impactul unui atac ransomware, planurile de remediere ale unei organizații ar trebui să includă asigurarea unor copii de rezervă frecvente și sigure, cu proceduri de recuperare eficiente și verificate. Înainte de a restabili sistemele, organizațiile ar trebui să stabilească, cu un nivel rezonabil de încredere, când și cum a avut loc compromiterea inițială. În lipsa unei rigori adecvate, organizațiile prejudiciate pot reabilita din greșeală compromisul și reface infestarea în timp ce efectuează recuperarea inițială. Ținând cont de acest lucru, poate fi necesar să se efectueze o analiză cost-beneficiu înainte de a alege între restaurarea la o stare mai veche, dar despre care se știe că este sigură, și restaurarea la o stare mai recentă, dar posibil infectată, pentru a minimiza întreruperea activității. Deoarece se știe că unele programe malware vizează fișierele și resursele de backup, organizațiile trebuie să asigure, de asemenea, un control eficient asupra acestora.