Επιθέσεις ransomware και πώς να προστατευτείς

19 Οκτωβρίου 2021, από

Οι επιθέσεις ransomware φαίνεται ότι τo 2021 αυξήθηκαν κατακόρυφα, και με δεδομένο ότι ο κόσμος συνεχίζει να λειτουργεί με υβριδικό ή εξ αποστάσεως μοντέλο εργασίας, τα αρχεία όλων μας να γίνονται όλο και πιο ευάλωτα. Είναι σημαντικό, λοιπόν, να γνωρίζεις περισσότερα για τέτοιου είδους ψηφιακές επιθέσεις και πώς να προστατεύσεις τα αρχεία σου.

Ας πάρουμε τα πράγματα από την αρχή.

Τι είναι το ransomware;

Πρόκειται για ένα τύπο κακόβουλου λογισμικού που εγκαθίσταται σε μια συσκευή και χρησιμοποιείται από κάποιον για να αποκτήσει πρόσβαση στα αρχεία, να τα δεσμεύσει και να αποσπάσει λύτρα από τα θύματα. Ξαφνικά, στην οθόνη σου εμφανίζεται η ένδειξη ότι τα αρχεία σου έχουν κρυπτογραφηθεί. Για να αποκτήσεις και πάλι πρόσβαση θα πρέπει να πληρώσεις ένα ποσό σε bitcoins ή σε κάποιο άλλο κρυπτονόμισμα, ώστε να μην είναι εύκολο να εντοπιστούν οι δράστες.

Συνήθεις στόχοι

Τους τελευταίους μήνες η Ομοσπονδιακή Υπηρεσία για την Ασφάλεια των Πληροφοριών της Γερμανίας εντόπισε ransomware επιθέσεις μεγάλης κλίμακας που απευθύνονται σε οικονομικά ισχυρά θύματα. Η στρατηγική αυτή, συνήθως, αναφέρεται ως “Big Game Hunting (BGH)”. Οι δράστες επωφελούνται χρησιμοποιώντας εργαλεία, όπως το “Cybercrime-as-a-Service (CCaaS)”, και διάφορες μεθόδους εκβιασμού, όπως η διαγραφή, η αποκρυπτογράφηση, η διαρροή των δεδομένων του θύματος, και φαίνεται ότι πράγματι βρίσκουν ανταπόκριση. Και ενώ οι επιθέσεις αυτές στόχευαν κυρίως εκδόσεις των Microsoft Windows, πλέον υπάρχουν και επιθέσεις σε Linux, ενώ δεν περιορίζονται μόνο σε υπολογιστές, αλλά επεκτείνονται και σε κινητά τηλέφωνα, servers και το IoT.

Συνήθεις στόχοι είναι τόσο κυβερνητικοί οργανισμοί, όσο και μεγάλες επιχειρήσεις, δικηγορικές εταιρείες, νοσοκομεία, οικονομικές εταιρείες και πολλοί άλλοι κλάδοι. Οι επιτήδειοι γνωρίζουν ότι φορείς με κύρος και ευαίσθητα δεδομένα στην κατοχή τους είναι πιο πιθανό να πληρώσουν τα λύτρα για να ανακτήσουν τα αρχεία τους. Μια τέτοια περίπτωση ήταν αυτή της Acer το φετινό Μάρτιο, όπου της ζητήθηκαν λύτρα 50 εκατ. δολαρίων, χωρίς να γίνει γνωστό αν η εταιρεία τελικά πλήρωσε.  Ωστόσο, οποιοσδήποτε μπορεί να πέσει θύμα μιας τέτοιας επίθεσης και η καλύτερη προστασία είναι πάντοτε η ενημέρωση και η πρόληψη. 

Πώς να προστατευτείς

Backup

Μην ξεχνάς να δημιουργείς τακτικά αντίγραφα ασφαλείας των δεδομένων σου. Διατήρησε τουλάχιστον 3 αντίγραφα ασφαλείας. Τα δύο αποθήκευσέ τα σε διαφορετικά μέσα και κράτησε ένα εφεδρικό αντίγραφο κρυπτογραφημένο offline. Ένας εισβολέας είναι δύσκολο να μολύνει αυτό το αντίγραφο με ransomware. Επομένως, ακόμη και στη χειρότερη περίπτωση, θα καταφέρεις να επαναφέρεις τις μολυσμένες συσκευές με τα αντίγραφα ασφαλείας.

Updates

Όλα τα λογισμικά θα πρέπει να είναι updated με τις τελευταίες ενημερώσεις ασφαλείας και να υπάρχει σχέδιο patch management για την προγραμματισμένη εγκατάσταση των security updates.

Antivirus

Επένδυσε σε ένα behavior- based antivirus με σύστημα ανίχνευσης εισβολών. Τα behavior- based antivirus ανιχνεύουν κακόβουλη συμπεριφορά στις συσκευές σου και αποτρέπουν την επίθεση. Με αυτόν τον τρόπο, θα έχεις υψηλό detection rate, έγκαιρη ειδοποίηση και προστασία. 

Multi-Factor Authentication (MFA)

Θα σε βοηθήσει ως ένας επιπλέον έλεγχος ασφαλείας για την είσοδο στους διαδικτυακούς σου λογαριασμούς. Για την είσοδό σου σε οποιοδήποτε λογαριασμό, θα σου ζητηθεί, πέρα από username και password, και μία ακόμη επιβεβαίωση, όπως για παράδειγμα με sms extra code, soft token ή  hard token με κλήση στο κινητό σου. Το MFA βοηθάει όχι μόνο στην αποφυγή μιας ransomware επίθεσης, αλλά και άλλου είδους επιθέσεων, όπως η παραβίαση λογαριασμών, υποκλοπή στοιχείων κ.λπ.

Security Awareness

Τα μέλη ενός οργανισμού, μιας επιχείρησης ή ενός κοινού δικτύου είναι η “πρώτη γραμμή” για να αποτραπεί μια ransomware επίθεση. Γι’ αυτό, είναι σημαντικό να είναι όλοι ενήμεροι και ευαισθητοποιημένοι για να προσέχουν για phishing emails, κακόβουλα links, μη ασφαλή επισυναπτόμενα, downloads και άλλες μεθόδους που δίνουν πρόσβαση σε έναν εισβολέα. Όσο πιο εκπαιδευμένοι είναι, τόσο πιο άμεσα θα εντοπίσουν και θα αποτρέψουν μια κακόβουλη ενέργεια. Όμως, οι χρήστες ενός δικτύου θα πρέπει να έχουν περιορισμένα δικαιώματα και όχι δικαιώματα διαχειριστή για τον περιορισμό της επίθεσης. Επίσης, καλό θα ήταν να αποφεύγουν να συνδέουν προσωπικές συσκευές ή να χρησιμοποιούν προσωπικές εφαρμογές και ιστοσελίδες σε εταιρικούς υπολογιστές.

Έλεγχος email

Το email sandboxing ελέγχει αυτόματα τα links και τα επισυναπτόμενα ενός email σε ασφαλές περιβάλλον πριν το λάβει ο παραλήπτης. Το επιπλέον αυτό επίπεδο ασφαλείας μαζί με τη χρήση Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM), και Domain-based Message Authentication, Reporting, and Conformance (DMARC) μειώνει τις πιθανότητες να μολυνθεί το δίκτυό σου από μια ransomware επίθεση. Τα SPF, DKIM, DMARC είναι όλα δωρεάν πρόσθετα στο σύστημα του email σου και ελέγχουν την αυθεντικότητα του αποστολέα και του περιεχομένου που λαμβάνεις.

Έλεγχος IP και geo-blocking

Χρησιμοποίησε firewall για τον έλεγχο της πρόσβασης σε εξωτερικές διευθύνσεις IP (Egress Firewall whitelisting) που εξετάζει το traffic από το δίκτυό σου στο διαδίκτυο και επιτρέπει μόνο τις πληροφορίες που έχει ορίσει ο διαχειριστής του δικτύου. Μάλιστα, λειτουργεί καλύτερα με geo-blocking. Με βάση, δηλαδή, την IP μπλοκάρεται η δραστηριότητα με συγκεκριμένες γεωγραφικές περιοχές με τις οποίες είτε δεν έχεις αναπτύξει δραστηριότητα, είτε σκόπιμα τις αποκλείεις γιατί π.χ. είναι γνωστές για κυβερνο-επιθέσεις. Ο αποκλεισμός της επισκεψιμότητας από συγκεκριμένες περιοχές είναι ακόμη ένα υψηλό επίπεδο ελέγχου.

Δημιούργησε μια πολυεπίπεδη άμυνα

Για την εξωτερική περίμετρο του δικτύου σου χρησιμοποίησε firewalls, IDS (Intrusion Detection Systems), IPS (Intrusion Prevention Systems), access control lists κ.α. Οργάνωσε την άμυνά σου και εσωτερικά με την τμηματοποίηση του δικτύου σου με φυσικό ή εικονικό τρόπο (virtual lans), την υλοποίηση κανόνων πρόσβασης σε χρήστες και συσκευές και κανόνων περιορισμού δικαιωμάτων, καθώς και με τη δημιουργία DMZ.

Προετοιμάσου για κάθε ενδεχόμενο

Προετοίμασε σχέδιο αποκατάστασης (Disaster Recovery Plan) και σχέδιο αντιμετώπισης περιστατικών (incident response plan) με σαφείς ρόλους για την αντιμετώπιση της επίθεσης και συγκεκριμένη στρατηγική και ενέργειες που θα δοκιμάζονται σε περιοδική βάση.

Αντιμετωπίζεις επίθεση ransomware;

Για αρχή διατήρησε την ψυχραιμία σου. Δε χρειάζεται να πληρώσεις λύτρα, αφενός γιατί ενθαρρύνεις έτσι ανάλογες εγκληματικές ενέργειες, και επίσης κανείς δε σου εγγυάται ότι αν το κάνεις, πράγματι θα αποκρυπτογραφηθούν ή θα επανέλθουν τα αρχεία σου.  

  • Βασικό είναι να απομονώσεις τις συσκευές που έχουν μολυνθεί και να αποσυνδεθείς από το διαδίκτυο. 
  • Ενεργοποίησε το antivirus και κάνε επανεκκίνηση της συσκευής σε safe mode.
  • Αν δεν έχεις αντίγραφο ασφαλείας των αρχείων σου, υπάρχουν διαθέσιμα εργαλεία online που μπορούν να σε βοηθήσουν.

Μπορείς να επισκεφθείς το NoMoreRansom.org και να βρεις δωρεάν εργαλεία αποκρυπτογράφησης και οδηγίες για να αντιμετωπίσεις το πρόβλημα. 

Το «No More Ransom» είναι μια πρωτοβουλία της Εθνικής Μονάδας Εγκλημάτων Υψηλής Τεχνολογίας της Ολλανδικής αστυνομίας, του Ευρωπαϊκού Κέντρου Ηλεκτρονικού Εγκλήματος της Europol, της Kaspersky και της McAfee. Στόχος τους είναι να βοηθήσουν τα θύματα ransomware να ανακτήσουν τα κρυπτογραφημένα δεδομένα τους χωρίς να χρειαστεί να πληρώσουν τους δράστες. Επίσης, η πρωτοβουλία αυτή επιδιώκει την εκπαίδευση των χρηστών για το πώς λειτουργεί το ransomware και ποια μέτρα μπορούν να ληφθούν για την αποτελεσματική πρόληψη απέναντι σε παρόμοια φαινόμενα. Όσο περισσότεροι υποστηρίζουν αυτό το έργο, τόσο καλύτερα θα είναι τα αποτελέσματα, γι’ αυτό και η συμμετοχή είναι ανοιχτή σε δημόσιους και ιδιωτικούς φορείς.

Παραβίαση προσωπικών δεδομένων

Μια επίθεση ransomware αποτελεί παραβίαση προσωπικών δεδομένων(Personal data breach) και θα πρέπει να ενημερωθούν σχετικά οι αρμόδιες αρχές που παρακολουθούν τις επιθέσεις στο διαδίκτυο. Ίσως, λοιπόν, θα ήταν μια καλή ιδέα να κρατήσεις ένα screenshot από το μήνυμα της επίθεσης ransomware που σου εμφανίστηκε στην οθόνη, ώστε να το δείξεις στις αρχές και να τους παρέχεις όσα περισσότερα στοιχεία μπορείς.

Βάσει των οδηγιών του Ευρωπαϊκού Συμβουλίου Προστασίας Δεδομένων (Guidelines on Personal data breach notification under Regulation 2016/679 ή WP250rev.01), η επίθεση από ransomware χρειάζεται Γνωστοποίηση στην Αρχή Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΑΠΔΠΧ) εκτός αν μπορεί να αποδειχθεί ότι δεν υπήρξε διαρροή δεδομένων.

 

Σου άρεσε αυτό το blog post;

Τότε σίγουρα θα λατρέψεις τα επόμενα! Συμπλήρωσε το email σου για να μη χάσεις ούτε ένα.;

Κάνε δωρεάν την εγγραφή σου και στο εξής θα λαμβάνεις ενημερώσεις για τα νέα post του Τοp.Host Blog. Οποιαδήποτε στιγμή θελήσεις μπορείς να αφαιρέσεις το email σου από τη λίστα παραληπτών. Μάθε περισσότερα στην Πολιτική Απορρήτου.

Μπες στη συζήτηση

Πες μας τη γνώμη σου!