1. Τι είναι το RANSOMWARE
Ransomware είναι ένα εξελιγμένο είδος malware το οποίο εμφανίστηκε στα τέλη του 2013 και στοχεύει όλους τους Η/Υ. Κοινό χαρακτηριστικό των Ransomware είναι ότι κρυπτογραφούν τα αρχεία του υπολογιστή που μολύνθηκε και στη συνέχεια ζητούν από το κάτοχο του υπολογιστή κάποιο χρηματικό ποσό, συνήθως σε Bitcoin, για να στείλουν το κλειδί της αποκρυπτογράφησης ώστε να μπορέσει να αποκτήσει ξανά πρόσβαση στα αρχεία του.
Η διαφοροποίηση τους από τα κοινά malware οφείλεται στην ευφυία του σχεδιασμού τους, που επιτρέπει να τροποποιούν ακόμη και τα ίδια τον αλγόριθμό τους χωρίς να επηρεάζεται η δράση τους.
Τα παραδοσιακά Antivirus βασίζονται σε signatures η ενημέρωση των οποίων δεν μπορεί να είναι τόσο συχνή ώστε να παρακολουθήσει τις αλλαγές στο αποτύπωμα των Malware, που οφείλεται στους μεταβαλλόμενους αλγορίθμους, με αποτέλεσμα να μην γίνονται αντιληπτά από τα antivirus.
Συνεπώς ο μόνος τρόπος για την αντιμετώπιση των Ransomware είναι μέσω τεχνικών που ανιχνεύουν τη συμπεριφορά τους και ονομάζονται Behavior Analysis (ανάλυση συμπεριφοράς).
2. Προστασία από το RANSOMWARE
Με τον όρο προστασία αναφερόμαστε αφενός στην αποτροπή της μόλυνσης από Ρansomware, αφετέρου στο περιορισμό της εξάπλωσης και στην κατά το δυνατό πιο ανώδυνη αποκατάσταση σε περίπτωση μόλυνσης.
Η προστασία έναντι των Ransomware είναι πολύ-επίπεδη, καθώς πρόκειται για εξελιγμένες επιθέσεις που δεν αντιμετωπίζονται αποτελεσματικά από ένα μόνο μηχανισμό.
Προτείνεται συνεπώς η υλοποίηση μίας ομάδας αντιμέτρων ώστε να επιτύχουμε ικανοποιητικό επίπεδο ασφάλειας:
A. Απαραίτητα αντίμετρα
1. Χρήση αξιόπιστων προϊόντων ασφάλειας στο gateway (Αποτροπή)
Είναι πολύ σημαντική η εγκατάσταση μίας υπηρεσίας στο Gateway/Firewall που θα ανιχνεύει τα Ransomware βάσει Βehavior Μonitoring ανάλυσης. Συνιστάται η σάρωση όλων των εισερχόμενων αρχείων, είτε μέσω http/https είτε μέσω email.
Επιπλέον το Firewall θα πρέπει να διαθέτει υπηρεσία Reputation Defense. Με την υπηρεσία αυτή διασφαλίζεται ότι αν ένα Ransomware καταφέρει να περάσει στο σύστημα, τότε θα ανιχνευτεί η επικοινωνία του μολυσμένου PC με τους Command and Control (C&C) Servers και θα διακοπεί πριν παραληφθεί το κλειδί κρυπτογράφησης.
2. Χρήση Antivirus με δυνατότητα “Behavior monitoring” (Αποτροπή)
Θα πρέπει να χρησιμοποιούνται αξιόπιστα προϊόντα ασφάλειας για την Antivirus προστασία της εταιρίας. Η Antivirus suite που επιλέγεται θα πρέπει και αυτή να παρέχει προστασία έναντι των Ransomware μέσω τεχνικών Behavior Monitoring. Το Antivirus θα πρέπει να μπορεί να αναγνωρίζει το Ransomware ακόμα και αν η κακόβουλη δράση του δεν ξεκινήσει αμέσως μετά την μόλυνση, αλλά παραμείνει ανενεργό για ένα χρονικό διάστημα.
3. Αποτροπή εκτέλεσης αρχείων από τους φακέλους AppData/LocalAppData (Αποτροπή)
Πρέπει να ενεργοποιηθεί πολιτική ασφαλείας που να απαγορεύει την εκτέλεση προγραμμάτων από τους φακέλους AppData / LocalAppData, καθώς τα περισσότερα Ransomware εκτελούνται μέσα από στους φακέλους αυτούς.
4. Εκπαίδευση χρηστών (Αποτροπή).
Ένα από τα πιο αποτελεσματικά αντίμετρα έναντι της απειλής των Ransomware είναι η εκπαίδευση των χρηστών. Όπως έχει ήδη αναφερθεί ο βασικός τρόπος εξάπλωσης των Ransomware είναι μέσω “Spear Phishing” emails, δηλαδή από κάποιο μήνυμα ηλεκτρονικού ταχυδρομείου από άγνωστο αποστολέα, το οποίο περιέχει ένα συνημμένο που εκτελέστηκε από τον χρήστη. Η σωστή εκπαίδευση των χρηστών για τη σωστή διαχείριση των άγνωστων ή ύποπτων αρχείων είναι ζωτικής σημασίας για την αντιμετώπιση των Ransomware.
5. Δημιουργία αντιγράφων ασφαλείας (Αποκατάσταση)
Το μοναδικό αντίμετρο για την αποκατάσταση μετά από μία μόλυνση με Ransomware είναι το συστηματικό backup των δεδομένων. Όλα τα δεδομένα πρέπει να λαμβάνονται backup είτε βρίσκονται σε PC/Server είτε σε Storage, σε δικτυακούς φακέλους, ακόμα και σε USB δίσκους. Επίσης θα πρέπει να διατηρείται και ιστορικότητα των Backup ώστε να προσφεύγουμε σε παλαιότερα εάν τα τελευταία backup αποδειχτούν και αυτά μολυσμένα ή κρυπτογραφημένα.
Β. Προτεινόμενα αντίμετρα
6. Φιλτράρισμα εκτελέσιμων στο email (Αποτροπή)
Τα εκτελέσιμα αρχεία όπως τα .exe θα πρέπει να απαγορεύονται να επισυνάπτονται στην email επικοινωνία. Αν είναι απαραίτητη η ανταλλαγή εκτελέσιμων αρχείων θα πρέπει τουλάχιστον να γίνεται έλεγχος Antivirus αλλά και να διασταυρώνεται ο αποστολέας του εκτελέσιμου. Σωστή πολιτική ασφάλειας είναι τα εκτελέσιμα να στέλνονται/λαμβάνονται μόνο αν είναι συμπιεσμένα και κρυπτογραφημένα με κωδικό.
7. Patch και Update των προγραμμάτων (Αποτροπή – Περιορισμός)
Η πιο συχνή αιτία εξάπλωσης των Ransomware είναι η εκμετάλλευση κάποιας αδυναμίας σε λογισμικό στο οποίο δεν είχε γίνει ακόμα Update. Η πιθανότητα μόλυνσης από ransomware μειώνεται δραστικά όταν τηρείται ένα αυστηρό χρονοδιάγραμμα εγκατάστασης των patches στα λειτουργικά και στα προγράμματα που χρησιμοποιούνται. Ειδικά στις περιπτώσεις που παρέχεται η δυνατότητα, θα πρέπει να επιλέγεται η αυτόματη εγκατάσταση των νέων Patches.
8. Αποφυγή άσκοπης χρήσης account με “Administrative rights” (Αποτροπή – Περιορισμός)
Όταν ένα malware μολύνει έναν υπολογιστή, τότε λαμβάνει τα δικαιώματα του χρήστη που έχει κάνει Login. Για αυτό οι users στα PC δεν πρέπει να έχουν δικαιώματα διαχειριστή (administrative rights). Μόνο οι διαχειριστές του δικτύου επιτρέπεται να έχουν και admin accounts τα οποία όμως δεν θα τα χρησιμοποιούν μόνιμα. Τα admin accounts θα πρέπει να χρησιμοποιούνται μόνο σε περιπτώσεις που απαιτείται αλλαγή στο configuration.
9. Περιορισμός δικαιωμάτων χρηστών στα mapped drives (Περιορισμός)
Όταν ένα PC έχει μολυνθεί από κάποιο Ransomware, θα προσπαθήσει στη συνέχεια να μολύνει όλα τα δικτυακά αρχεία στα οποία έχει δικαίωμα πρόσβασης. Για τον παραπάνω λόγο θα πρέπει να περιορίσουμε τα δικαιώματα που έχουν οι χρήστες στα δικτυακά αρχεία στα απολύτως απαραίτητα για την εργασία τους. Με την πολιτική αυτή περιορίζεται η εξάπλωση του Ransomware καθώς και οι επιπτώσεις από τη μόλυνση.
Γ. Επιθυμητά αντίμετρα
10. Διατήρηση αντιγράφων και εκτός εταιρίας (Αποκατάσταση)
Ένα αντίγραφο των backup θα πρέπει να στέλνεται και εκτός δικτύου της εταιρίας ώστε να αποφεύγεται η πιθανότητα κρυπτογράφησης και των backup δεδομένων. Θα πρέπει να αποφεύγεται η δυνατότητα απ’ ευθείας πρόσβασης από τα συστήματα της εταιρίας στο offsite backup (π.χ. Dropbox)
Εμφάνιση των file-extensions (Αποτροπή)
Είναι συχνό φαινόμενο το αρχείο που περιέχει το ransomware να φτάνει στα mail μας και να έχει διπλό extension (κατάληξη) π.χ. “.PDF.EXE”. Για το λόγο αυτό θα πρέπει να ενεργοποιούμε στα Windows την εμφάνιση των καταλήξεων ώστε να γίνονται πιο εύκολος ο εντοπισμός των Ransomware από τους χρήστες.
12. Απενεργοποίηση πρωτοκόλλου RDP (Περιορισμός).
Tα Malware/Ransomware συχνά εκμεταλλεύονται αδυναμίες στο Remote Desktop Protocol για την εξάπλωσή τους. Σε περίπτωση που δεν είναι απαραίτητο το RDP σε κάποια τερματικά ή Servers θα πρέπει να απενεργοποιείται.