Skip to main content
13 April 2022 08:58

Απομυθοποιώντας τα πέντε στάδια ενός ransomware

Το πρώτο στάδιο μιας επίθεσης ransomware είναι το initial explotation, δηλαδή η διαδικασία κατά την οποία ο επιτιθέμενος εισβάλει στο σύστημα του θύματος ή στο εταιρικό δίκτυο, αντίστοιχα, με σκοπό να εγκαταστήσει το κακόβουλο λογισμικό. Υπάρχουν διάφορες μέθοδοι που μπορούν δυνητικά να χρησιμοποιήσουν οι εισβολείς για αυτό το αρχικό βήμα, με την πιο δημοφιλή από αυτές να είναι το phishing. Άλλες μέθοδοι είναι το brute-forcing σε ευάλωτους διακομιστές, η ανακατεύθυνση των θυμάτων σε κακόβουλους ιστότοπους ή ακόμα και το compromise ένα remote desktop connection.

Μόλις το ransomware εισβάλει στο σύστημα του θύματος, πραγματοποιείται το δεύτερο στάδιο, αυτό της εγκατάστασης. Κάθε φορά που ξεκινά το σύστημα του θύματος, ο κακόβουλος κώδικας εκτελείται έτσι ώστε να αποκτήσει υπόσταση στο δίκτυο. Σε αυτό το στάδιο, το ransomware μπορεί επίσης να ελέγξει το σύστημα του θύματος και να αποφασίσει εάν αξίζει να επιμολυνθεί και να προχωρήσει περαιτέρω η επίθεση ή όχι. Για παράδειγμα, εφόσον το στοχευόμενο σύστημα είναι virtual machine ή sandbox, το κακόβουλο λογισμικό έχει τη δυνατότητα να βγει από το σύστημα, χωρίς να γίνει αντιληπτό.

Κατά το τρίτο στάδιο της επίθεσης, το ransomware ελέγχει για τυχόν εφεδρικά αρχεία στο σύστημα του θύματος και τα καταστρέφει — Backup destruction. Αυτό, δημιουργεί μια αίσθηση φόβου στο θύμα και ως εκ τούτου αυξάνει την πιθανότητα να καταβληθούν τα λύτρα που απαιτεί ο επιτιθέμενος.

Στο τέταρτο στάδιο της επίθεσης, το ransomware εκτελεί τον κακόβουλο κώδικα και αρχίζει να κρυπτογραφεί τα κρίσιμα δεδομένα του θύματος — Encryption. Για να επιτευχθεί αυτό, το εγκατεστημένο ransomware δημιουργεί μια σύνδεση με έναν διακομιστή εντολών και ελέγχου (command-and-control server), που διατηρεί το κλειδί κρυπτογράφησης καθώς και οδηγίες σχετικά με αυτήν. Μπορεί επίσης να δίνει οδηγίες αναφορικά με το ποιες συγκεκριμένες μορφές αρχείων θα πρέπει να στοχεύει η κρυπτογράφηση.

Κατά το τελικό στάδιο της επίθεσης, ο επιτιθέμενος απαιτεί πληρωμή ως αντάλλαγμα για το κλειδί αποκρυπτογράφησης που χρησιμοποιείται για την ανάκτηση των μολυσμένων αρχείων — Extortion or blackmail. Στην οθόνη του θύματος εμφανίζεται ένα μήνυμα που τον ενημερώνει πως τα αρχεία του έχουν στοχοποιηθεί και παραβιαστεί. Αυτό το μήνυμα περιέχει επίσης οδηγίες για το πώς πρέπει να γίνει η πληρωμή. Γενικά, συνηθίζεται να προσδιορίζεται συγκεκριμένος χρόνος που έχουν στη διάθεσή τους τα θύματα για να πραγματοποιήσουν την πληρωμή και να λάβουν εκ νέου πρόσβαση στα κρίσιμα δεδομένα τους.

Όπως προκύπτει από τα παραπάνω, μια επίθεση τύπου ransomware, είναι μια αλληλουχία γεγονότων που είναι ικανή να προκαλέσει μεγάλες καταστροφές, ειδικά αν πραγματοποιηθεί σε ευρεία κλίμακα. Κλειδί για την καταπολέμηση των ransomware, αποτελεί η ευαισθητοποίηση των οργανισμών και των ομάδων ασφαλείας, σχετικά με τον τρόπο λειτουργίας αυτού του τύπου επιθέσεων. Με την κατανόηση του κύκλου ζωής του ransomware, οι χρήστες και οι ομάδες ασφαλείας μπορούν να προλαμβάνουν τέτοιου τύπου επιθέσεις, με την ανάλογη στρατηγική.

Η υιοθέτηση λύσεων SIEM, όπως το Log360 της ManageEngine, βοηθούν στην ανίχνευση ενδείξεων μόλυνσης από ransomware μέσω συσχέτισης συμβάντων σε πραγματικό χρόνο, ειδοποιήσεων, ανάλυσης και ανίχνευσης ανωμαλιών. Όλα τα παραπάνω, δίνουν τη δυνατότητα καταπολέμησης μιας εν εξελίξει επίθεσης ransomware, σε όποιο στάδιο και αν βρίσκεται αυτή. Για να αξιολογήσετε τις δυνατότητες του Log360 της ManageEngine κατεβάστε τη δοκιμαστική έκδοση εδώ.

Τεύχος 48

ΑΛΛΑ ΑΡΘΡΑ ΣΕ ΑΥΤΗ ΤΗΝ ΚΑΤΗΓΟΡΙΑ