Ransomware je rastuća pretnja u post-kovid eri. Prema Ivantijevom izveštaju o ransomware-u iz 2022. godine, od 311 poznatih eksploata na koje je CISA upozorila savezne agencije da se pozabave u određenom vremenskom periodu, njih 57 (18%) je bilo povezano sa ransomware-om. Ali ono što čini stvar još gorom je to što njihovo istraživanje pokazuje da nijedan alat za skeniranje nije savršen: samo 92,7% od 288 ranjivosti koje su proučavali, a koje ransomware može da iskoristi, otkrila su tri popularna skenera zajedno.
Kao takav, jedan od najboljih načina da sprečite ransomware da utiče na vaše poslovanje jeste bolje razumevanje ove vrste pretnji. Već smo opširno pisali o statistici ransomware-a i metodama prevencije i zaštite ransomware-a koje biste trebali znati. Sada je vreme da razjasnimo šta je ransomware i odgovorimo na pitanje “kako funkcioniše ransomware?”. Naš cilj je da vam pomognemo da razumete šta je to i kako funkcioniše kako biste mogli da ojačate svoju odbranu od potencijalnih napada ransomware-a.
Kako funkcioniše Ransomware? Pregled u 30 sekundi
Način na koji ransomware funkcioniše je takav da napadač koristi neku vrstu zlonamernog softvera za šifrovanje vaših IT sistema i/ili podataka. Oni tada drže vaše osetljive podatke u zarobljeništvu sve dok ne pristanete da platite pristup ključu za dešifrovanje.
Evo kratkog pregleda kako funkcioniše ransomware korak po korak:
Grafički prikaz u četiri koraka kako funkcioniše ransomware:
- Kreiranje ransomware-a ili njegovo iznajmljivanje/kupovina od drugih
- Korišćenje taktika socijalnog inženjeringa za dobijanje pristupa vašoj mreži ili sistemu
- Korišćenje malvera za šifrovanje vaših podataka
- Nedostupnost svojim podacima kao sredstvo za traženje plaćanja otkupnine
Opcioni korak između koraka 2 i 3: izvlačenje osetljivih podataka pre šifriranja.
Kratak rezime: Šta je Ransomware?
Ransomvare je zlonamerna aplikacija ili kod koji sajber kriminalci koriste da ograniče pristup, izmene, unište ili ukradu vaše najosetljivije podatke i sisteme. Obično koristi enkripciju — metodu pretvaranja podataka iz čitljivog formata u potpunu besmislicu pomoću kriptografskog ključa — da ograniči vaš pristup. Oni će ponuditi rešenje – ključ za dešifrovanje koji će, u suštini, vratiti tu glupost u čitljive, korisne podatke – u zamenu za neku vrstu traženog plaćanja (tj. otkupninu). Ovo je primarni alat, zajedno sa phishing-om i drugim taktikama napada, koji se koristi u napadima ransomware-a.
Ako se nađete kao žrtva napada ransomware-a, napadač će vam ponuditi ključ, ali on obično dolazi sa visokom cenom. Na primer, tokom napada ransomware-a na tehnološku kompaniju Acer, REvil ransomware grupa je zahtevala 50 miliona dolara u zamenu za pristup šifrovanim podacima kompanije. A ta cena je bila samo cena otkupnine – ona ne uključuje direktne i indirektne troškove povezane sa suzbijanjem napada i rešavanjem svega što sledi (uključujući neočekivane zastoje i prekide).
Bez obzira koliko podataka imate, sajber kriminalci žele da ih se dočepaju. Na ovaj način, oni mogu ili da ga koriste u zlonamerne svrhe, ili da ga prodaju/razmene drugima koji će ga koristiti za iste.
Praktično svako može biti meta napada ransomware-a
Osim ako ne živite svoj život bez dodira sa računarom ili sa nekim elektronskim uređajem, ransomware ima potencijal da utiče na vas. Suprotno popularnom verovanju, napadi ransomware-a ne ciljaju samo velika preduzeća. Prethodno pomenuti Sophos izveštaj pokazuje da organizacije srednje veličine (100-5000 zaposlenih) takođe predstavljaju primamljivu metu za sajber kriminalce.
FBI čak izveštava da su privatna lica meta napada ransomware-a. Podaci FBI centra za žalbe na internet kriminal (IC3) pokazuju da je agencija primila 3.729 pritužbi na ransomware sa gubicima od skoro 50 miliona dolara u 2021.
U osnovi, ideja je da ako vas loši momci mogu blokirati od svega i time osakatiti vaš posao, osećaćete se kao da nemate drugog izbora osim da platite šta god zatraže da biste dobili ključ za dešifrovanje.
Upozorenje: Hakerima ne treba uvek verovati na reč
Iako ovo može biti iznenađenje za neke od vas, važno je imati na umu ovu istinu kada odmeravate svoje opcije o tome da li da platite otkup: sajber kriminalci lažu. Čak i ako se potrudite da platite njihove previsoke zahteve za otkupninom, nema garancije da će vam poslati ključeve za dešifrovanje – ili, čak i ako to urade, da će ključevi funkcionisati kako su obećali.
Izveštaj FBI IC3 o internet kriminalu za 2021. navodi da plaćanje otkupnine ne garantuje da će vaše datoteke biti vraćene. Međutim, to može podstaći dodatne buduće napade na vašu organizaciju i druge. Ako znaju da ste voljni da platite sve njihove zahteve, onda ste možda posebno privlačna meta.
Koliko vremena je potrebno za ransomware napad?
Ransomware napadi ne prouzrokuju samo finansijsku štetu. Jedan od važnijih faktora je i vreme potrebno za reagovanje na incident, otklanjanje posledica i oporavak od napada.
Brzina napada je u porastu
Primer brzog napada ransomware-om
U sledećem primeru ransomware napada, Palo Alto navodi da je prošlo manje od 14 sati od pokretanja phishing e-maila do izvršenja sledećih koraka i nanošenja ogromne štete ciljnoj organizaciji.
Ne dolaze sve pretnje izvan vaše kompanije
Ovo može biti iznenađenje, ali neki napadi ransomware-a uključuju interne aktere pretnji. Podaci iz ankete Hitachi ID Sistems-a iz 2021. pokazuju da 65% IT i bezbednosnog osoblja severnoameričkih organizacija kaže da su im se direktno obratili sajber kriminalci da pomognu u napadima ransomware-a na njihove poslodavce. Prema Ciberreason-u, LockBit je jedan primer platforme ransomware-as-a-service koja pokušava da podstakne zaposlene da kompromituju svoje poslodavce.
Ali kako su napadači pokušali da dođu do njih? Hitachi izveštava da je neverovatnih 59% tih kontakata došlo putem e-maila – još 27% komunikacija je primljeno putem telefonskih poziva i 21% putem društvenih mreža. Ono što čini napore regrutovanja napadača posebno zabrinjavajućim je to što oni nude 85% zaposlenih ili gotovinske transfere ili Bitcoin plaćanja u vrednosti do milion dolara.
Sve što je potrebno je da jedan zaposleni prihvati takav dogovor da bi bacio vašu kompaniju na kolena.
Kako radi Ransomware? Detaljni pregled sajber napada
U nekim slučajevima, ransomware napadi su automatizovani napadi koji nasumično napadaju kompanije i pojedince. U drugim slučajevima ciljaju na određene firme, organizacije, pa čak i na lokalne, državne ili vladine entitete. Jednom kada odaberu metu, kreće igra.
Vreme je da odgovorimo na pitanje “kako ransomware funkcioniše?”
1. Loši momci kreiraju zlonamerne programe (ili unajmljuju Ransomware operatera da to uradi umesto njih)
Ako neko ima znanje o stvaranju ransomware-a, može kodirati zlonamerne programe da rade po potrebi. Ali u mnogim slučajevima, većina napadača nema veštinu da kreira vlastiti zlonamerni softver. Umesto toga, oni unajmljuju nekoga da sa svojim softverom izvrše napad za njih kupujući ili iznajmljujući njihove mogućnosti ransomware-a.
Ova trgovina, poznata kao ransomware-as-a-service (RaaS), daje sumnjivim pojedincima (RaaS korisnici) pristup ransomware alatima (obično u kompletima) tako da ne moraju sami kreirati zlonamerne programe. Ovi kompleti često uključuju 24/7 podršku od RaaS operatera i niz drugih usluga koje biste očekivali od legitimnih dobavljača softvera kao usluge.
Evo kratkog pregleda uloga operatera ransomware-a i ljudi koji unajmljuju njihove usluge:
2. Koriste sve načine da se infiltriraju u vašu mrežu i IT sisteme (iskorišćavaju ljudske i tehničke ranjivosti)
Sajber kriminalci uvek traže put do IT sistema i podataka vaše organizacije. Postoji nekoliko načina na koje mogu dobiti željeni pristup:
- Iskoristiti slabosti u web browseru, mreži ili drugim IT sistemima (kao što je iskorišćavanje neažuriranog i zastarelog softvera ili bezbednosnih propusta plugin-ova).
- Izvršavanje phishing napada kako bi prevarili ili izmanipulisali zaposlene da daju osetljive informacije ili pristup.
- Ciljaju saradnike u vašem lancu snabdevanja kako bi ugrozili njihov pristup vašim sistemima.
- Koriste lažne, zlonamerne oglase da automatski instaliraju ransomware na vaš uređaj, koji mogu iskoristiti kao uporište za napad na vašu mrežu i povezanim sistemima.
Iskorišćavanje nezakrpljene ranjivosti i IT propusta
Apple se nedavno našao na naslovnicama jer su sajber kriminalci uspeli da iskoriste ranjivosti njihovog operativnog sistema nakon nedavnog ažuriranja. Jedna potencijalna zabrinutost je da hakeri mogu da iskoriste jedan od ovih propusta kako bi preuzeli kontrolu nad vašim uređajem, mogli bi koristiti taj pristup za instaliranje zlonamernog softvera (kao što je ransomware).
Dobra vest je da je Apple izdao nekoliko ažuriranja nakon toga (17. i 20. avgusta) kako bi brzo rešio ove ranjivosti.
Korišćenje taktike socijalnog inženjeringa i phishing napade na vaše zaposlene i druge korisnike mreže
Phishing se svodi na postavljanje mamca kako bi namamio i iskoristio metu bez njene sumnje. Phishing se može dogoditi na mnogo načina:
- Prevariti zaposlene da otvore zlonamerne e-mail poruke. Sajber kriminalci vole da koriste e-mail za slanje zlonamernih priloga i linkova ka opasnim web sajtovima.
- Prisiljavanje ili podsticanje korisnika da uključe zlonamerni hardver. Poznato je da neki napadači šalju suvenire i poklone, kao što su besplatne USB memorije, kako bi vas namamili da ih priključite na uređaj vaše kompanije. Jednom kada se povežu, uređaji mogu omogućiti napadačima da prebace svoj ransomware na vaš uređaj.
- Prevariti korisnike da koriste Remote desktop aplikaciju za pristup. Programi za udaljeni pristup ili RDP je način na koji neko može dobiti daljinski pristup vašem uređaju i kontrolu nad njim. (Više o RDP-u ubrzo)
Uptime Institute procenjuje da je za prekid u radu kompanije skoro 40% rezultat ljudske greške. Neverovatnih 85% pripisuje se nepoštovanju organizacionih procesa i procedura zaposlenih.
Korišćenje nebezbednog protokola za udaljene radne površine (RDP)
RDP protokoli za pristup udaljenim radnim površinama su korisni alati koji omogućavaju daljinski pristup uređaju i obično ih koriste IT administratori. Međutim, kada ih koriste hakeri, ovi alati se mogu koristiti za obavljanje niza zlonamernih aktivnosti (RDP napadi) na vaše uređaje.
Sajber-kriminalci ponekad koriste phishing e-mail da se predstave kao lažna tehnička podrška – i tako manipulišu ili primoraju ljude da instaliraju softver kako bi dobili “tehničku podršku” za koju misle da im je potrebna. Prema FBI-u, u 2021. godini bilo je 23.903 pritužbi na prevaru u vezi sa tehničkom podrškom sa ukupnim gubicima od više od 347 miliona dolara.
Naravno, ne uključuju svi RDP napadi korišćenje phishing e-mailova. U nekim slučajevima, hakeri će direktno iskoristiti poznate ranjivosti sistema da bi dobili pristup vašim uređajima.
Napad na web stranice koje često posećujete
Neće svi ransomware napadi direktno ciljati vašu organizaciju. U nekim slučajevima poznato je da cyber kriminalci ciljaju web stranice za koje se zna da ih posećujete vi ili vaši zaposleni (kao što je web stranica dobavljača). Zašto? Zato što mogu koristiti automatsku instalaciju da prebace svoj ransomware na vaš uređaj.
3. Šifriranje vaših podataka tako da im ne možete pristupiti
Nastavljajući sa našom listom kako funkcioniše ransomware, ono što loši momci rade kada uđu u vaše sisteme: šifriraju sve. Jednostavno rečeno, enkripcija podataka je glavna svrha ransomware napada. Ideja je da ako napadač može kontrolisati pristup vašim osetljivim podacima i resursima, osećaćete se kao da nemate izbora osim da popustite njihovim zahtevima.
4. Napadači traže veliki novac u zamenu za pristup vašim podacima i sistemima
Obično napadači ostave tekstualne fajlove na vaš računar čime se predstave kao napadači i koji su njihovi zahtevi. Objasniće da nude ključ za dešifriranje vaših podataka u zamenu za X iznos kripto valute (obično Bitcoin) koji se mora platiti u određenom vremenskom periodu.
Naravno, nisu svi napadi uvek tako jednostavne transakcije. Nažalost, kako su neke kompanije i organizacije naučile na teži način, neki napadači ransomware-a imaju više od jednog trika u rukavu…
OPCIONO: Pre šifriranja vaših podataka, neki napadači će eksfiltrirati vaše podatke na servere koje kontroliraju
U nekim slučajevima, “zabava” tu ne prestaje. Neki loši momci, pre nego što šifriraju vaše sisteme i podatke, eksfiltriraju (što je otmena reč za “preuzeti” ili “ukrasti”) vaše osetljive podatke na server koji kontrolišu. Dakle, mogu vas uceniti za dodatni novac ili naneti dodatnu štetu vašem brendu i reputaciji objavljivanjem informacija na internetu.
Preduzmite korake da zaštitite svoju organizaciju od budućih napada ransomware-a
Sada kada znamo kako funkcioniše ransomware, vreme je da porazgovaramo o tome šta možete da uradite da biste se zaštitili od ovih vrsta napada. Ovde ćemo ukratko pokriti neke od najvažnijih stvari:
- Obučavanje vaših zaposlenih da povećaju svoju sajber svest i sposobnost da prepoznaju (i reaguju na odgovarajući način) prevare, sajtove i taktike za krađu identiteta
- Obezbeđivanje celog obima mreže i svih povezanih uređaja sa pravim alatima, smernicama, procesima i procedurama
- Implementacija efikasnog upravljanja identitetom i pristupom zasnovanog na PKI-ju
- Uvođenje procedura za sigurnost lozinki i obuka zaposlenih
Ali pre nego što završimo stvari ovde, postoji još jedna važna stvar koju želimo da pomenemo: obavezno čuvajte svoje podatke u online i u offline rezervnim kopijama. Na ovaj način imate rezervnu kopiju vaše rezervne kopije u slučaju da napadač uspe da se dočepa vaše rezervne kopije na mreži. Dobra preporuka je da pratite pravilo rezervne kopije 3-2-1.
Rezime o tome kako funkcioniše Ransomware
Nadamo se da će ovaj članak odgovoriti na vaše pitanje „kako funkcioniše ransomware?“ i dati vam mnogo toga za razmišljanje o tome šta treba da uradite da biste zaštitili svoju organizaciju.
Kao što možete zamisliti, ransomware stvara mnogo problema kompanijama i njihovim klijentima na mnogo načina. Što se tiče vaše organizacije, napad ransomware-a može dovesti do toga da se poslovanje zaustavi i rezultira svime, od izgubljenog poverenja kupaca i oštećenih odnosa do gubitka prihoda i tužbi.
Iz perspektive vaših kupaca, to može da dovede do toga da izgube poverenje u vaš brend i navede ih da se nadalje okreću vašim konkurentima za poslovanje. Podaci iz globalne ankete kompanije Akvai to podržavaju:
- 75% potrošača bi prekinulo poslovanje sa kompanijama koje su prijavile sajber napade ili povrede podataka koje su možda otkrile njihove podatke.
- 51% nikada ne bi poslovalo sa organizacijama koje su ranije prijavile da su doživele sajber napad ili kršenje podataka.
Znajući ovo, morate da odlučite gde želite da prevencija i ublažavanje kršenja podataka budu na vašoj listi prioriteta IT bezbednosti. Sada je vreme da planirate i poredjate svoje prioritete. Ne čekajte da već budete napadnuti da biste počeli da razmišljate o tome kako želite da odgovorite kada već bude kasno.
Da li ste već naišli na napad ransomware-a i kakva su vaša iskustva?