TM_48

11|4|2022 #048 9 Απομυθοποιώντας τα πέντε στάδια ενός ransomware Το πρώτο στάδιο μιας επίθεσης ransomware είναι το initial explotation , δηλαδή η διαδικασία κατά την οποία ο επιτιθέμενος εισβάλει στο σύστημα του θύματος ή στο εταιρικό δίκτυο, αντίστοιχα, με σκοπό να εγκαταστήσει το κακόβουλο λογισμικό. Υπάρχουν διάφορες μέθοδοι που μπορούν δυνητικά να χρησιμοποιή- σουν οι εισβολείς για αυτό το αρχικό βήμα, με την πιο δημοφιλή από αυτές να είναι το phishing. Άλλες μέθοδοι είναι το brute- forcing σε ευάλωτους διακομιστές, η ανα- κατεύθυνση των θυμάτων σε κακόβουλους ιστότοπους ή ακόμα και το compromise ένα remote desktop connection. Μόλις το ransomware εισβάλει στο σύ- στημα του θύματος, πραγματοποιείται το δεύτερο στάδιο, αυτό της εγκα- τάστασης . Κάθε φορά που ξεκινά το σύστημα του θύματος, ο κακόβουλος κώδικας εκτελείται έτσι ώστε να απο- κτήσει υπόσταση στο δίκτυο. Σε αυτό το στάδιο, το ransomware μπορεί επίσης να ελέγξει το σύστημα του θύματος και να αποφασίσει εάν αξίζει να επιμολυνθεί και να προχωρήσει περαιτέρω η επίθεση ή όχι. Για παράδειγμα, εφόσον το στο- χευόμενο σύστημα είναι virtual machine ή sandbox, το κακόβουλο λογισμικό έχει τη δυνατότητα να βγει από το σύστημα, χωρίς να γίνει αντιληπτό. Κατά το τρίτο στάδιο της επίθεσης, το ransomware ελέγχει για τυχόν εφεδρικά αρχεία στο σύστημα του θύματος και τα καταστρέφει — Backup destruction . Αυτό, δημιουργεί μια αίσθηση φόβου στο θύμα και ως εκ τούτου αυξάνει την πιθα- νότητα να καταβληθούν τα λύτρα που απαιτεί ο επιτιθέμενος. Στο τέταρτο στάδιο της επίθεσης, το ransomware εκτελεί τον κακόβουλο κώδικα και αρχίζει να κρυπτογραφεί τα κρίσιμα δεδομένα του θύματος — Encryption . Για να επιτευχθεί αυτό, το εγκατεστημένο ransomware δημιουργεί μια σύνδεση με έναν διακομιστή εντο- λών και ελέγχου (command-and-control server), που διατηρεί το κλειδί κρυπτο- γράφησης καθώς και οδηγίες σχετικά με αυτήν. Μπορεί επίσης να δίνει οδηγίες αναφορικά με το ποιες συγκεκριμένες μορφές αρχείων θα πρέπει να στοχεύει η κρυπτογράφηση. Κατά το τελικό στάδιο της επίθεσης, ο επιτιθέμενος απαιτεί πληρωμή ως αντάλ- λαγμα για το κλειδί αποκρυπτογράφησης που χρησιμοποιείται για την ανάκτηση των μολυσμένων αρχείων — Extortion or blackmail . Στην οθόνη του θύματος εμφανίζεται ένα μήνυμα που τον ενημε- ρώνει πως τα αρχεία του έχουν στοχο- ποιηθεί και παραβιαστεί. Αυτό το μήνυμα περιέχει επίσης οδηγίες για το πώς πρέπει να γίνει η πληρωμή. Γενικά, συνηθίζεται να προσδιορίζεται συγκεκριμένος χρόνος που έχουν στη διάθεσή τους τα θύματα για να πραγματοποιήσουν την πληρωμή και να λάβουν εκ νέου πρόσβαση στα κρί- σιμα δεδομένα τους. Όπως προκύπτει από τα παραπάνω, μια επίθεση τύπου ransomware, είναι μια αλληλουχία γεγονότων που είναι ικανή να προκαλέσει μεγάλες καταστροφές, ειδικά αν πραγματοποιηθεί σε ευρεία κλίμακα. Κλειδί για την καταπολέμηση των ransomware, αποτελεί η ευαισθη- τοποίηση των οργανισμών και των ομά- δων ασφαλείας, σχετικά με τον τρόπο λειτουργίας αυτού του τύπου επιθέσεων. Με την κατανόηση του κύκλου ζωής του ransomware, οι χρήστες και οι ομάδες ασφαλείας μπορούν να προλαμβάνουν τέτοιου τύπου επιθέσεις, με την ανάλογη στρατηγική. Η υιοθέτηση λύσεων SIEM, όπως το Log360 της ManageEngine , βοηθούν στην ανίχνευση ενδείξεων μόλυνσης από ransomware μέσω συσχέτισης συμβά- ντων σε πραγματικό χρόνο, ειδοποιήσε- ων, ανάλυσης και ανίχνευσης ανωμαλιών. Όλα τα παραπάνω, δίνουν τη δυνατότητα καταπολέμησης μιας εν εξελίξει επίθεσης ransomware, σε όποιο στάδιο και αν βρί- σκεται αυτή. Για να αξιολογήσετε τις δυ- νατότητες του Log360 της ManageEngine κατεβάστε τη δοκιμαστική έκδοση εδώ .