Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

PoradnikiRansomware

Krytyczne urządzenia sieciowe Edge: łatanie luk w celu blokowania oprogramowania ransomware

Piotr R

30 października 2024

Wyobraź sobie zwykły poranek w średniej wielkości firmie: e-maile wciąż spływają na skrzynki, pracownicy logują się do systemów, a dane są przetwarzane w różnych działach. Zespół IT nie wie, że cicha, ale złośliwa siła już włamała się do sieci przez lukę w powszechnie używanym urządzeniu brzegowym — o której mogą nawet nie wiedzieć — czając się niezauważona. Kilka dni lub tygodni później organizacja staje w obliczu przerażającego ultimatum — nie tylko ich dane są zaszyfrowane, ale atakujący teraz grożą ujawnieniem poufnych informacji, jeśli nie zostanie zapłacony okup.

Kobieta patrzy na dane

To nie jest tylko hipotetyczny scenariusz. W miarę jak ransomware ewoluowało od prostych taktyk szyfrowania do wyrafinowanych schematów podwójnego wymuszenia, często napędzanych przez ransomware-as-a-service (RaaS), organizacje starają się przyjąć skuteczniejsze środki obrony. Dzisiejsi atakujący wykorzystują luki w zabezpieczeniach krytycznych urządzeń sieciowych, używając ich do głębokiego wnikania w sieci korporacyjne i ustanawiania długoterminowych przyczółków.

Aby zrozumieć, w jaki sposób organizacje mogą się bronić, należy przyjrzeć się taktykom stosowanym przez grupy zajmujące się oprogramowaniem ransomware w celu infiltracji sieci, a także krokom, jakie firmy muszą podjąć, aby zamknąć te niebezpieczne luki.

Jak grupy RaaS wykorzystują luki w zabezpieczeniach?

Grupy ransomware zmieniły taktykę i teraz poświęcają znacznie więcej czasu na głębokie skompromitowanie organizacji przed wdrożeniem ransomware. Dzięki temu złośliwe podejścia, takie jak podwójne wymuszenie, są znacznie skuteczniejsze i pozwalają im ponownie zaatakować tę samą ofiarę, zwiększając szanse na pobranie okupu.

Aby zmaksymalizować swoje szanse na sukces, cyberprzestępcy zaczynają od wykorzystania znanej luki, która pozwala im osadzić się w organizacji, a nawet powrócić przez tylne drzwi lub zdalny dostęp, jeśli zostaną wykryci. Po wejściu mogą wdrożyć ransomware, zablokować poufne zasoby i zagrozić jego ujawnieniem.

Grupy ransomware usprawniły proces wykorzystywania luk, często wykorzystując nowo ujawnione luki w czasie krótszym niż 24 godziny. Daje im to znaczną przewagę nad organizacjami, ponieważ CISA informuje, że 50% luk pozostaje nienaprawionych po 55 dniach, a 85% nadal nie jest naprawianych po 30 dniach.

Ten trend rozpoczął się wraz z luką Log4J i często zdarza się również w przypadku luk typu zero-day. Podczas dochodzenia CACTUS firmy Bitdefender odkryto, że niezałatany system został naruszony 70 razy w ciągu miesiąca od ujawnienia luki. To pokazuje, jak szybko atakujący wykorzystują nowo ogłoszone luki.

Kto jest zagrożony?

Krajobraz ataków ransomware zmienił się dramatycznie. Ataki nie koncentrują się już na konkretnych branżach ani na celach o wysokiej wartości. Obecnie grupy ransomware zarzucają szerszą sieć, szukając luk w zabezpieczeniach, gdziekolwiek mogą je znaleźć. Każda organizacja z niezałatanymi systemami jest potencjalnym celem.

Urządzenia sieciowe Edge, które obejmują routery, urządzenia sieci rozległej, zintegrowane urządzenia dostępowe, zapory sieciowe, serwery VPN i wszystko, co służy jako pomost między dwiema sieciami lub jest skierowane do Internetu, należą do najchętniej atakowanych przez cyberprzestępców. Analitycy zagrożeń Bitdefender odkryli, że urządzenia związane z pamięcią masową i zdalnym dostępem są najczęściej atakowane, ponieważ dają atakującemu silniejszą pozycję w organizacji.

Grupy przestępcze ransomware mogą znaleźć i wykorzystać te luki za pomocą zautomatyzowanych narzędzi skanujących podobnych do Shodan. Narzędzia te skanują Internet i szukają urządzeń, które mają znane niezałatane luki.

Aktorzy zagrożeń często współpracują z brokerami dostępu początkowego (IAB), którzy specjalizują się w kupowaniu i sprzedawaniu dostępu do naruszonych organizacji. IAB mogą używać technik, takich jak inżynieria społeczna lub rozpylanie haseł, aby uzyskać dostęp początkowy, ale po sprzedaży wyrafinowani aktorzy zagrożeń mogą wykorzystywać luki w zabezpieczeniach, aby szybko naruszyć bezpieczeństwo dużej liczby sieci. Takie podejście pozwala im przetwarzać ofiary pojedynczo, zamiast stale potrzebować inżynierii społecznej, aby uzyskać dostęp do nowych celów.

Jednak wielu mniej doświadczonych aktorów nadal polega na technikach inżynierii społecznej, ponieważ brakuje im wiedzy specjalistycznej na temat bardziej zaawansowanych metod. Czekanie na ujawnienie podatności jest znacznie łatwiejsze i prostsze, ponieważ dowód koncepcji daje im wystarczająco dużo informacji, aby opracować exploit.

Jak zarządzanie poprawkami może pomóc w zapobieganiu atakom ransomware?

Jednym z najskuteczniejszych sposobów walki z atakami ransomware na początku ataku jest posiadanie dokładnej strategii zarządzania poprawkami. Nieużywanie tych urządzeń sieciowych nie jest zbyt dobrym rozwiązaniem, ale ponieważ grupy ransomware używają zautomatyzowanych narzędzi, możesz uniknąć wykrycia, mając załatane urządzenia. Grupy ransomware zawsze szukają łatwych sposobów na dotarcie do celu. Mając załatane systemy, mogą Cię przeoczyć i przejść do mniej bezpiecznej organizacji.

Biorąc pod uwagę cyfrowy ślad danej organizacji, prawdopodobnie istnieje wiele systemów i zasobów, które wymagają ciągłego zarządzania poprawkami. Dlatego ważne jest, aby mieć system priorytetyzacji, aby zmaksymalizować swoje wysiłki. Zalecamy rozważenie następujących czterech czynników podczas ustalania priorytetów luk w zabezpieczeniach, które należy naprawić:

1.Krytyczność: Opiera się na wysokim wyniku CVSS, który można uzyskać z CVE.org , gdzie znajduje się lista znanych krytycznych luk.

2. Wyeksponowanie: Czy luka jest ujawniona i aktywnie wykorzystywana? Jeśli tak, jest to luka o wysokim priorytecie. Luki te można znaleźć, korzystając z listy znanych i wykorzystywanych luk CISA i powinny być pierwszą listą do śledzenia.

3. Popularność: Czy luka jest popularna i często wykorzystywana? Można to znaleźć w ramach wywiadu dotyczącego zagrożeń i współpracy z innymi zespołami ds. bezpieczeństwa w celu zrozumienia wspólnych celów, do których dążą grupy ransomware. Czy luka jest szeroko wykorzystywana? Współpraca z innymi zespołami ds. bezpieczeństwa może również pomóc w identyfikacji tych luk o wysokim priorytecie. Zespół CTI firmy Bitdefender aktywnie monitoruje takie zagrożenia i ostrzega klientów, gdy istnieje potencjalny wpływ eksploitów grup ransomware.

4. Atak RCE: Jest to jeden z głównych celów brokerów dostępu początkowego, ponieważ pozwala podmiotom stowarzyszonym na tworzenie tylnych drzwi, uzyskiwanie zdalnego dostępu i utrzymywanie trwałości w organizacji. Ransomware jest zazwyczaj wdrażany później przez podmioty stowarzyszone.

Skuteczne zarządzanie poprawkami należy również rozważyć z punktu widzenia zarządzania ryzykiem. Podczas gdy systemy oparte na chmurze są łatwiejsze do łatania i często są łatane automatycznie, urządzenia lokalne (które są często najbardziej narażone) wymagają bardziej ręcznego podejścia, co zwiększa lukę między wydaniem poprawki a jej zastosowaniem. Jednak procesy zarządzania poprawkami lokalnymi często koncentrują się na ryzyku ciągłości działania, a nie na ryzyku cyberbezpieczeństwa.

Nadmiernie ostrożne podejście do zarządzania lukami może narazić organizacje na zbyt długie odsłonięcie, ponieważ poprawki są często opóźniane, co pozwala uniknąć potencjalnych zakłóceń. Niestety, wiele najlepszych praktyk zostało ustanowionych, zanim szybkie wykorzystywanie luk stało się częstą rzeczywistością. Zamiast tego zalecamy dostosowanie strategii zarządzania poprawkami do harmonogramów wydań oprogramowania i przyjęcie zasad, które zakładają, że atakujący aktywnie atakują Twoje systemy. Priorytetem jest szybkość i zwinność, aby uniknąć stania się ofiarą, zapewniając, że wyprzedzasz grupy ransomware, a nie jesteś na ich celowniku.

Zwiększoną odporność można osiągnąć dzięki rozwiązaniom wykrywania i reagowania w punktach końcowych (EDR) oraz rozszerzonego wykrywania i reagowania (XDR), które są zaprojektowane w celu wykrywania podmiotów stowarzyszonych lub nieautoryzowanych użytkowników wykorzystujących znane luki w zabezpieczeniach. Dzięki wczesnej identyfikacji zagrożeń narzędzia te mogą pomóc zapobiec rozwojowi ataków ransomware w bardziej szkodliwe etapy lub znacznie ograniczyć ich wpływ.

Bądź na bieżąco z rozwijającymi się zagrożeniami ransomware. Aby uzyskać więcej technicznych informacji, w jaki sposób możesz uchronić swoją firmę przed ransomware, sprawdź możliwości systemu antywirusowego Bitdefender GravityZone Business Security Enterprise.


Autor


Piotr R

Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.

Zobacz posty autora


Artykuły które mogą Ci się spodobać

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy