Οι ερευνητές ασφαλείας της FireEye ανέλυσαν έναν τεράστιο αριθμό ransomware επιθέσεων που έλαβαν χώρα το διάστημα 2017-2019, και διαπίστωσαν ότι τα περισσότερα ransomware εγκαθίστανται και εκτελούνται στα δίκτυα των θυμάτων τρεις μέρες μετά την αρχική παραβίαση.
Στο 75% των ransomware επιθέσεων, οι επιτιθέμενοι καθυστερούν την κρυπτογράφηση των συστημάτων των θυμάτων τους, καθώς προσπαθούν να κλέψουν τα Domain Admin credentials, που μπορούν αργότερα να χρησιμοποιήσουν για να διανείμουν τα ransomware payloads σε ολόκληρο το παραβιασμένο περιβάλλον.
Πρόσφατα, εμφανίστηκε και μια νέα τεχνική. Οι hackers, πίσω από τα ransomware, κλέβουν τα δεδομένα των θυμάτων, πριν τα κρυπτογραφήσουν και μετά εκβιάζουν τα θύματα, απειλώντας τα ότι θα δημοσιοποιήσουν τα δεδομένα αν δεν λάβουν τα λύτρα.
Πολλά από τα περιστατικά, που ανέλυσαν οι ερευνητές, έδειξαν ότι η κακόβουλη δραστηριότητα ήταν εκτεταμένη και μπορούσε να διαρκέσει εβδομάδες. Ωστόσο, οι συμμορίες πίσω από τα GandCrab και GlobeImposter ransοmware δρούσαν σχεδόν αμέσως μετά την αρχική παραβίαση.
Ghost: Εξάρθρωση της πλατφόρμας κρυπτογραφημένων επικοινωνιών
Στο 75% των ransomware, υπάρχει χρόνος για να αμυνθούν οι εταιρείες
Όπως είπαμε και παραπάνω, οι hackers εγκαθιστούν το ransomware τουλάχιστον τρεις μέρες μετά την αρχική παραβίαση (στο 75% των περιπτώσεων). Αυτό σημαίνει ότι οι οργανισμοί έχουν αρκετό χρόνο για να υπερασπιστούν τον εαυτό τους, εάν λάβουν τα κατάλληλα μέτρα και κάνουν σωστές κινήσεις.
Οι ερευνητές είπαν στην έκθεσή τους ότι αν οι οργανισμοί εντοπίσουν έγκαιρα τις αρχικές παραβιάσεις και δράσουν άμεσα, μπορούν να αποφύγουν τις σημαντικές ζημίες και το κόστος που συνδέεται με μια ransomware επίθεση.
Τόσο η FireEye όσο και η Mandiant έχουν καταφέρει να εμποδίσουν πολλές ransοmware επιθέσεις.
Οι επακόλουθες έρευνες έδειξαν ότι σε πολλές περιπτώσεις τα ransomware payloads είχαν ήδη εγκατασταθεί αλλά δεν είχαν προλάβει να εκτελεστούν στα συστήματα των θυμάτων.
Οι ransοmware συμμορίες χρησιμοποιούν πολλούς τρόπους για να διεισδύσουν στα δίκτυα των θυμάτων: RDP (LockerGoga), phishing emails με κακόβουλους συνδέσμους ή συνημμένα (Ryuk) και μεταφορτώσεις κακόβουλου λογισμικού (Bitpaymer και DoppelPaymer).
Επίσης, η ερευνητική ομάδα της FireEye βρήκε ότι στις περισσότερες περιπτώσεις οι ransomware επιθέσεις πραγματοποιούνται μετά το πέρας του ωραρίου των εργαζομένων ή κατά τη διάρκεια του σαββατοκύριακου.
Οι επιτιθέμενοι χρησιμοποιούν αυτή την τακτική για να αποφύγουν την άμεση ανίχνευση από τις ομάδες ασφαλείας των οργανισμών.
Για την αποφυγή των ransοmware επιθέσεων, η FireEye συνιστά στους οργανισμούς να χρησιμοποιούν έλεγχο ταυτότητας πολλαπλών παραγόντων, να πραγματοποιούν τακτικούς ελέγχους στα συστήματα και να χρησιμοποιούν λύσεις ασφάλειας και συστήματα email που μπορούν να ανιχνεύουν malware, όπως τα Trickbot, Emotet και Dridex, που βοηθούν στην εγκατάσταση ransomware.
Η εφαρμογή βέλτιστων πρακτικών ασφάλειας, όπως η τακτική εκπαίδευση του προσωπικού στην αναγνώριση phishing emails, η τμηματοποίηση του δικτύου, τα αντίγραφα ασφαλείας και η χρήση μοναδικών κωδικών πρόσβασης για κάθε υπηρεσία, μπορεί να βοηθήσει στο μετριασμό των επιπτώσεων μιας ransomware επίθεσης.
Η FireEye καταλήγει στο ότι υπάρχει μια θετική πλευρά. Αυτή η καθυστέρηση (τουλάχιστον τρεις μέρες) στην εγκατάσταση και εκτέλεση του ransomware δίνει στις εταιρείες χρόνο για να αντιδράσουν και να αποφύγουν τα χειρότερα.
