Najbardziej zaawansowana aplikacja do ochrony cybernetycznej dla Androida - Bitdefender Mobile Security & Antivirus

Pobierz

Ransomware

Obrona przed oprogramowaniem ransomware: gdzie dekryptory wpisują się w szerszy obraz?

Piotr R

23 października 2024

Rozpowszechnienie ransomware-as-a-service (RaaS) i zwiększona aktywność grup cyberprzestępczych sprawiły, że problem ransomware stał się poważnym problemem dla organizacji. Większość respondentów w raporcie Bitdefender’s 2024 Cybersecurity Assessment Report uważa, że ransomware jest jednym z największych zagrożeń dla organizacji. Podmioty odpowiedzialne za zagrożenia nie tylko zmieniają swoje taktyki, ale także udoskonalają praktyki, zmuszając organizacje do adaptacji w celu skutecznego zarządzania ryzykiem.

Ransomware na komputerze

W miarę jak grupy ransomware nadal ewoluują, skupiając się na narażaniu organizacji i ujawnianiu poufnych danych, rola deszyfratorów ransomware uległa zmianie. Podczas gdy deszyfratory mogą zapewnić krytyczną pomoc w rzadkich przypadkach, poleganie na nich jako na rozwiązaniu awaryjnym tworzy fałszywe poczucie bezpieczeństwa. Liderzy bezpieczeństwa muszą zdać sobie sprawę, że te narzędzia są ostatecznością, a poleganie tylko na nich może prowadzić do katastrofalnych skutków, gdy stają się celem coraz bardziej wyrafinowanych aktorów zagrożeń.

Dekryptory nadal odgrywają bardzo ważną rolę, ale organizacje muszą zrozumieć, w jaki sposób zmaksymalizować ich skuteczność, zachowując jednocześnie czujność w obliczu rozwijających się taktyk ataków ransomware.

Co się kryje w umysłach atakujących ransomware: taktyki wykorzystywane do kompromitowania organizacji

Grupy ransomware działają jak małe firmy, a wyspecjalizowane role przyczyniają się do wysoce wydajnego systemu. Wśród tych ról, brokerzy dostępu początkowego są odpowiedzialni za jedną z najważniejszych zmian w sposobie, w jaki ransomware atakuje swoje ofiary.

Brokerzy dostępu początkowego (IAB) pełnią funkcję ekspertów od penetracji i odpowiadają za naruszenie organizacji. IAB zazwyczaj działają jako pośrednicy, kupując dostęp od wykwalifikowanych hakerów i sprzedając go podmiotom stowarzyszonym. Chociaż czasami mogą zwiększać dostęp, aby uzyskać wyższą cenę, nie są ekspertami technicznymi odpowiedzialnymi za głębsze etapy ataku.

Po sprzedaży dostępu, partnerzy lub eksperci ds. hakowania często wykorzystują znane luki w zabezpieczeniach i rozpoczynają ręczny proces hakowania, aby w pełni skompromitować cel. Analitycy ds. zagrożeń Bitdefender odkryli, że urządzenia sieciowe Edge są najczęściej atakowane za pomocą zautomatyzowanych narzędzi skanujących. Następnie sprawca zagrożenia w pełni wbuduje się w organizację. Aby atak był jeszcze skuteczniejszy, wdroży tylne wejście i ustanowi trwałość lub opracuje sposób zdalnego dostępu do sieci, umożliwiając mu powrót do sieci organizacji w przypadku, gdy coś pójdzie nie tak.

Aby uniknąć wykrycia i jeszcze bardziej pogłębić swój dostęp, będą poruszać się poziomo w infrastrukturze firmy i gromadzić więcej uprawnień przygotowując się do przeprowadzenia ataku. Ręczne hakowanie jest najdłuższym krokiem w cyklu życia ataku ransomware, ale wciąż trwa raptem kilka dni, więc organizacje nadal muszą działać szybko.

Użycie ręcznego hakowania, w połączeniu z taktykami takimi jak manipulowanie kopiami zapasowymi i faworyzowanie cichych negocjacji zamaskowanych jako ćwiczenia testów penetracyjnych, rozszerzyło ataki ransomware poza tradycyjne metody oparte na szyfrowaniu. Zamiast tego aktorzy zagrożeń będą eksfiltrować i szyfrować poufne dane i grozić ich wyciekiem lub ujawnieniem. Mogą nawet grozić ujawnieniem wystąpienia naruszenia lub kompromitacji, jeśli okup nie zostanie zapłacony, ponieważ może to mieć własne konsekwencje reputacyjne, prawne i regulacyjne.

Tego typu podwójne ataki wymuszające okup stają się coraz powszechniejsze i stały się domyślnym podejściem wielu grup zajmujących się oprogramowaniem ransomware. Dlatego też dekryptory, choć nadal cenne, stanowią obecnie tylko jeden element szerszej strategii walki z oprogramowaniem ransomware.

Rozwijająca się rola dekryptorów w walce z oprogramowaniem ransomware

W przeszłości dekryptory były niezbędne z dwóch głównych powodów:

Przywracanie zaszyfrowanych plików ofiary: Dekryptory działały jako bezpośrednia odpowiedź na ransomware, które szyfrowało dane, przywracając organizacji dostęp do jej plików i eliminując potrzebę płacenia okupu. Po opracowaniu dekryptora można go było użyć tylko przeciwko określonej wersji ransomware, co ograniczało jego ogólną skuteczność. Chociaż w niektórych przypadkach były pomocne, dekryptory często zapewniają tylko częściowe rozwiązanie i nie są uniwersalnie skuteczne.

Destabilizacja gospodarki ransomware: Dekryptory były początkowo skuteczne przeciwko konkretnym odmianom ransomware, zakłócając zdolność grupy ransomware do pobierania okupów i znacząco wpływając na ich modele przychodów. Doprowadziło to do wewnętrznych konfliktów między podmiotami stowarzyszonymi a operatorami. Podmioty stowarzyszone, które są odpowiedzialne za dostarczanie ładunków ransomware, często obwiniały operatorów za problemy, takie jak słabe bezpieczeństwo operacyjne (opsec) lub błędy oprogramowania, które umożliwiły opracowanie dekryptorów. Z drugiej strony operatorzy bagatelizowali ich wpływ, argumentując, że nie wszystkie ofiary zapłaciłyby okup niezależnie od tego. To wewnętrzne napięcie w grupach ransomware przyczyniło się do zmiany taktyki, chociaż inne czynniki, takie jak ulepszona obrona i działania organów ścigania, odegrały większą rolę w przyjęciu przez nie bardziej odpornych strategii.

Aby zminimalizować skuteczność deszyfratorów, grupy ransomware zaczęły przyjmować języki takie jak Go i Rust, co utrudniło inżynierię wsteczną. Ponadto wielu aktorów zagrożeń uzyskało dostęp do wyciekłego, dojrzałego kodu ransomware, takiego jak Conti, co pozwoliło nawet nowym grupom zacząć od bardziej zaawansowanego i odpornego kodu niż w przeszłości. Większe grupy ransomware zaczęły używać tych metod, co sprawiło, że opracowanie deszyfratorów stało się niemal niemożliwe, chyba że organy ścigania były w stanie zinfiltrować grupę w celu kradzieży informacji, które mogłyby doprowadzić do opracowania deszyfratora.

Zmiana w kierunku podwójnego ataku wymuszającego była również sposobem na zminimalizowanie wpływu deszyfratora.

Nawet jeśli uda się wdrożyć skuteczne narzędzie deszyfrujące, grupy ransomware nadal mogą zagrozić ujawnieniem danych i zażądać okupu.

Chociaż dekryptory są skuteczne w przywracaniu zaszyfrowanych plików, są wykorzystywane po naruszeniu. Oznacza to, że nie pomagają zapobiegać atakom ani naprawiać ich skutków, co jest krytyczne, biorąc pod uwagę, jak duży dostęp może mieć grupa ransomware dzięki ręcznemu hakowaniu. Wykorzystana luka może nadal występować, a początkowy broker dostępu może łatwo ponownie zaatakować organizację. Zaledwie w zeszłym roku FBI wydało oświadczenie, w którym podkreślono tendencję powtarzających się ataków ransomware na wcześniej naruszone organizacje. Dekryptory nie odgrywają żadnej roli w zapobieganiu tego rodzaju atakom.

Wzmocnij swoją odporność cybernetyczną: ostatni krok

Dekryptory pozostają cennym narzędziem w walce z ransomware, a organizacje powinny zawsze sprawdzać platformy takie jak No More Ransom, aby zobaczyć, czy dekryptor jest dostępny na potrzeby bieżącego ataku. Jednak dekryptory należy traktować jako ostatnią linię obrony, ponieważ są najskuteczniejsze, gdy są stosowane w połączeniu z proaktywnymi środkami. Ważniejsze jest, aby organizacje opracowały bardziej kompleksowy i proaktywny plan cyberbezpieczeństwa przeciwko ransomware. Chociaż dekryptory mogą być pomocnym narzędziem, nigdy nie powinny być uważane za podstawowe rozwiązanie. Zamiast tego organizacje powinny skupić się na proaktywnych inwestycjach w naprawę i aktywne wykrywanie zagrożeń, aby zmniejszyć wpływ ataków ransomware. Dlatego niezwykle istotne jest to, żeby firmy korzystały ze skutecznych systemów antywirusowych, które zostały wyposażone w specjalny moduły do ochrony przed ransomware, np. Bitdefender GravityZone Business Security Enterprise.

Aby zapewnić sobie jeszcze lepszą ochronę przed nowymi taktykami ransomware, ręcznym hakowaniem i różnymi metodami ich stosowania, takimi jak wdrażanie metod trwałych, eskalacja uprawnień i ruch boczny, organizacje powinny ustalić priorytety w następujących kwestiach:

Zarządzanie podatnościami: Dzięki priorytetowej strategii zarządzania podatnościami minimalizujesz ryzyko pierwszego kroku ręcznego hakowania i odcinasz możliwość ataku ransomware na Twoją organizację na wczesnym etapie procesu. Upewnij się, że Twoje urządzenia sieciowe Edge są załatane i śledź listę znanych luk w zabezpieczeniach CISA, gdy priorytetyzujesz krytyczne luki w zabezpieczeniach. Ponieważ grupy ransomware wykorzystują zautomatyzowane narzędzia skanujące do wyszukiwania podatnych urządzeń, załatanie luk w zabezpieczeniach uchroni Cię przed radarem tych grup.

Rozwiązania Managed Detection and Response (MDR) i Extended Detection and Response (XDR): Zaawansowane technologie wykrywania i reagowania mogą pomóc zidentyfikować podmioty stowarzyszone, gdy próbują głębiej osadzić się w Twojej sieci. Narzędzia i usługi MDR i XDR po naruszeniu mogą również ułatwić szybszą reakcję na incydent i skuteczniejsze naprawy, minimalizując szkody, jakie może wyrządzić udany atak ransomware. Jeśli chcesz poznać więcej możliwości Bitdefender XDR, to sprawdź tę stronę.

W miarę jak grupy ransomware ewoluują i rozwijają swoje metody, organizacje powinny odpowiednio reagować i starać się budować bardziej solidne strategie cyberbezpieczeństwa. Posiadając holistyczny i kompleksowy plan, mogą wcześnie wykryć atak i być przygotowanymi, upewniając się, że atak nie będzie miał niszczycielskich skutków finansowych lub reputacyjnych.


Autor


Piotr R

Account Manager, od ponad roku pracuję w branży IT i od ponad 5 lat jestem copywriterem. Do moich zadań należy nawiązywanie współpracy partnerskich, pisanie i redagowanie tekstów, kontakt z dziennikarzami, tworzenie notatek prasowych oraz zamieszczanie ich na stronach internetowych i w naszych mediach społecznościowych. Wcześniej byłem przez kilka lat związany z branżą OZE oraz z technologiami telemetrycznymi i elektronicznymi. Interesuję się językoznawstwem, literaturą, grą na gitarze oraz branżą gier.

Zobacz posty autora


Artykuły które mogą Ci się spodobać

    Formularz kontaktowy

    Wybierz odpowiednią opcję aby przejść do formularza kontaktowego. Odpowiemy najszybciej jak to możliwe!

    klient-indywidualnyklient-biznesowyreseller

    Dane kontaktowe




    stalynowy