Toți cei care au acces la știri știu deja că atacurile ransomware este mai multe ca niciodată, iar sectorul public și cel privat își dau seama că a fi următoarea țintă nu este o chestiune de “dacă”, ci de “când”.
Cum s-a ajuns la această situație? Timp de douăzeci de ani, companiile au cumpărat protecție antivirus și, cu toate acestea, au pierdut jocul. În acest articol, discutăm șase motive esențiale pentru care abia acum vedem începutul și nu sfârșitul adevăratei pandemii de ransomware.
1. „Ferestrele” sparte nu pot fi reparate
Microsoft Windows și software-urile asociate sunt pline de vulnerabilități. Numai în ultimele trei luni, Microsoft a fost nevoită să corecteze peste 200 de erori, 27 dintre acestea fiind considerate critice, iar marea majoritate a celorlalte fiind considerate importante ca gravitate. Cel puțin șase dintre ele au fost atacate activ înainte de lansarea unui patch.
În luna martie a acestui an, patru vulnerabilități tip „zero day” distincte în software-ul MS Exchange au dus la breșe în mii de organizații. Unul dintre aceste bug-uri exista în Microsoft Exchange încă din 2013, în timp ce celelalte datează din 2016 și 2019.
Recenta vulnerabilitate PrintNightmare de execuție de cod de la distanță în serviciul Windows Printer Spooler a fost rapid încorporată în instrumente de hacking populare precum Mimikatz și Metasploit. Chiar și după ce a fost inițial corectată, cercetătorii au descoperit rapid o ocolire completă. Vulnerabilități similare precum FaxHell, Print Demon și Evil Printer au fost descoperite în 2020 și este probabil că atacatorii vor continua să caute și să găsească sisteme expuse la astfel de vulnerabilități în anii următori.
Unele erori rămân ascunse ani de zile, chiar și zeci de ani la rând. CVE-2021-24092 este o vulnerabilitate de escaladare a privilegiilor în Windows Defender – software-ul de securitate propriu Microsoft care ar trebui să țină la distanță atacatorii. Acest bug de escaladare a privilegiilor a rămas exploatabil timp de 12 ani.
Este tentant să credem că este doar o chestiune de timp până când toate aceste erori vor fi găsite și remediate, dar, din păcate, lucrurile nu stau chiar așa. Noile erori sunt introduse odată cu noul cod și, la fel ca orice alt produs, Microsoft trebuie să creeze noi caracteristici – și să scrie cod nou – pentru a rămâne atractiv pentru utilizatorii din mediul de afaceri. Recenta vulnerabilitate locală de escaladare a privilegiilor HiveNightmare (aka SeriousSAM) a fost de fapt introdusă în Windows 10 în versiunea 1809. Aceasta a permis oricărui utilizator standard să escaladeze la privilegii complete de SISTEM, cu toată grozăvia pe care o presupune pentru echipele de securitate.
În timp ce HiveNightmare necesită ca atacatorul să aibă un punct de sprijin în sistem pentru a o valorifica, înlănțuirea acestui defect cu altele, cum ar fi PrintNightmare, poate oferi unui atacator atât acces, cât și permisiuni complete.
2. Atacurile sofisticate înving securitatea simplă, de fiecare dată
Lăsând la o parte bug-urile, Windows Defender – sistemul de securitate încorporat în dispozitivele Windows – pur și simplu nu este suficient de bun pentru a opri atacurile sofisticate de astăzi. Făcând abstracție de conflictul inerent al unui produs de securitate vândut de un furnizor de sisteme de operare (ar trebui oare ca securitatea să fie o vânzare suplimentară pentru un furnizor de sisteme de operare?), recentul atac Sunburst/SolarWinds nu a fost oprit de Windows Defender, potrivit NETRESEC. Aceeași sursă arată că și unii furnizori terțiari, inclusiv CrowdStrike și Carbon Black, au fost, de asemenea, ocoliți de malware și nu au reușit să ofere vizibilitatea necesară pentru detectarea atacului.
Desigur, atacurile sofisticate sunt concepute pentru a învinge controalele de securitate simple, dar zilele în care orice altceva era suficient pentru întreprinderi sunt de mult în urmă.
Peisajul modern de amenințare al criminalității financiare se bazează pe efectul de pârghie. Atacatori vor datele dumneavoastră – fie pentru a vi le vinde, fie pentru a vă cere răscumpărare, fie pentru ambele – și au puterea de a cumpăra, dezvolta și fura instrumentele necesare pentru a le obține. Încă de când Shadow Brokers a dezvăluit instrumentele puternice de hacking ale NSA – inclusiv EternalBlue, care a fost implicat în atacurile WannaCry și NotPetya – bandele de infractori nu numai că au avut la dispoziție acele instrumente specifice, ci au avut cunoștințele despre cum pot fi construite astfel de instrumente.
Mai mult, există un întreg ecosistem pe Dark Web pentru ca cei mai puțin sofisticați să aibă acces la instrumente puternice dezvoltate de alții. Modelul Ransomware as a Service (Ransomware ca serviciu) înseamnă că dezvoltatorii de programe malware sofisticate pot vinde unui număr mare de clienți, fiecare plătind un preț relativ scăzut. Este un model economic simplu pe care atacatori l-au înțeles și l-au exploatat cu aplomb.
Ransomware as a service (RaaS) – ce este si cum functioneaza
Având în vedere că afiliații de ransomware sunt la coadă pentru a pătrunde în organizații cu instrumente puternice care înving controale simple, zilele în care securitatea întreprinderilor se putea baza pe oameni pentru a face munca grea sunt de domeniul trecutului. Atacurile sofisticate necesită instrumente sofisticate care pot răspunde autonom la viteza mașinilor pentru a ține la distanță atacurile ransomware. Dar, în timp ce rămân atât de multe organizații care mai au de învățat această lecție, vom continua să vedem atacuri ransomware de profil înalt care afectează atât întreprinderile noastre publice, cât și cele private.
3. Recompensele sunt mai mari decât riscurile
Software-ul cu erori și controalele de securitate slabe se combină, de asemenea, cu riscuri scăzute și recompense mari pentru a face din ransomware o propunere atractivă pentru infractori. Pe vremuri, infractorii cibernetici nu realizau recompensele uriașe care îi așteptau în urma atacului asupra întreprinderilor și organizațiilor și se concentrau în primul rând pe consumatori, cărora le trimiteau cereri de plăți automate de 300 de dolari. În 2010, un comentator în domeniul securității cibernetice a putut observa că “Răscumpărarea pe internet poate că nu aduce mulți bani per incident, dar extorzioniștii răbdători pot arunca o plasă largă și pot trage în plasă multe victime nevinovate care nu au altă cale de atac decât să plătească.”
Cât de mult s-au schimbat lucrurile de atunci. Astăzi, extorzioniștii de ransomware colectează mult mai multe venituri prin dubla extorcare: pe de o parte, criptarea fișierelor, pe de altă parte, împreună cu exfiltrarea datelor și șantajarea victimelor. Este un joc al numerelor. Operatorii de ransomware REvil au exploatat recent un bug în software-ul Kaseya VSA și apoi au cerut o sumă forfetară de 50 de milioane de dolari pentru o cheie de decriptare universală. Anul trecut, se crede că toate plățile de extorcare a ransomware-ului au totalizat aproximativ 350 de milioane de dolari în criptomonede.
Care este rezultatul? Nu trebuie să ne îngrijorăm doar de atacatori susținuți de statele naționale, ci și de bandele criminale tolerate de statele naționale. Iar pentru o afacere obișnuită, oriunde în Occident, acesta din urmă este un pericol mult mai real și mai prezent.
4. Criptomoneda facilitează plățile pentru atacurile ransomware
Criptomoneda este în plină expansiune. În timp ce cei care se opun continuă să vorbească despre riscurile “bulei criptomonedelor”, infractorii sunt mai mult decât fericiți să le folosească ca mijloc de anonimat, de transfer ușor de numerar și – pe măsură ce prețurile cresc vertiginos – ca o cale rapidă spre bogăție.
Înainte de pandemie, Bitcoin se tranzacționa la puțin peste 7.000 de dolari, dar când economia s-a oprit în întreaga lume, Bitcoin a explodat. Până în decembrie 2020, se tranzacționa la 24.000 de dolari, a atins un vârf de 64.000 de dolari în aprilie 2021 și în prezent se situează în jurul valorii de 46.000 de dolari. Bula nu pare să se spargă, iar pentru infractorii cibernetici care extorchează companiile, fiecare creștere a prețului este doar un stimulent în plus pentru a continua să atace.
Desigur, nu doar prețurile în creștere fac criptomonedele atractive pentru infractori. Criptomoneda oferă oricui este implicat într-o infracțiune o modalitate ușoară de a fi plătit, cu mult mai anonim decât un cont bancar, deoarece tehnologia blockchain pe care se bazează utilizează hashes de chei publice în loc de numele persoanelor pentru a înregistra proprietatea.
Deși există o întreagă artă și o întreagă industrie în spatele încercării de a urmări plățile efectuate de infractori, există o mulțime de invenții și din partea infractorilor, pentru a ascunde “cashing out” – conversia criptomonedelor în bani lichizi. O parte din această inovație este tehnologică, o altă parte este doar metoda încercată și testată de spălare a fondurilor prin conturi bancare pentru corporații fantomă. Există bande de infractori financiari care își oferă serviciile infractorilor cibernetici tocmai în acest scop? Sigur că există.
5. Atacurile ransomware se petrec pe dispozitive, nu în cloud
Dacă sistemul AV tradițional nu s-a schimbat cu adevărat atât de mult, infrastructura noastră de rețea cu siguranță s-a schimbat. Cloud-ul – on-prem, hibrid, IaaS, PaaS, sarcini de lucru containerizate și multe altele – au schimbat mediile noastre dincolo de recunoaștere de când acele vechi AV-uri au fost gândite pentru prima dată. Ca răspuns, atât vânzătorii vechi, cât și cei noi s-au gândit să exploateze cloud-ul în scopuri de apărare. Cum ar fi dacă ați putea trimite toată telemetria dispozitivelor dumneavoastră (fie ele fizice sau virtuale) către resursele cloud ale unui furnizor și să fie analizată acolo? Care este avantajul? Se spune că totul constă în puterea de calcul adăugată de cloud.
Este corect să profităm de tehnologie acolo unde aceasta ne ajută sau ne suplimentează apărarea de bază, dar cheia securității dispozitivelor endpoint nu poate sta pe un server la distanță sau la un analist la distanță. Atunci când un hoț intră în casa dumneavoastră, ultimul lucru pe care îl doriți este să așteptați ca un polițist de la distanță să decidă dacă hoțul ar trebui sau nu să fie acolo. Este posibil ca hoțul să fi plecat deja cu bunurile dumneavoastră, provocând cine știe ce pagube între timp.
Același lucru este cu siguranță valabil și în cazul securității punctelor finale. Indiferent dacă securizați stațiile de lucru Windows sau Linux ale angajaților, laptopurile macOS sau dispozitivele personale, IoT-ul din birou sau serverele companiei dumneavoastră – on prem sau în cloud – ceea ce vă trebuie în centrul soluției de securitate pentru endpoint este un agent autonom pe acel dispozitiv care să răspundă cu viteza mașinii la o amenințare.
Viteza de criptare a ransomware-urilor este o sursă de mare mândrie pentru dezvoltatorii de programe criminale, fiecare nou serviciu pretinzând că criptează și exfiltrează mai repede decât concurenții. Atunci când punctul final însuși nu poate răspunde automat și fără întârzieri minime, problema ransomware-ului nu va dispărea. Atunci când furnizorii vorbesc despre remediere după 60 de secunde sau 1 oră, ei vorbesc despre intrarea într-un joc care este deja încheiat. Nu există remediere atunci când te bazezi pe munca umană pentru a învinge atacurile cu viteza mașinilor.
Nu disperați, răspunsul este tot in tehnologie
Dar există speranță. Tot mai mulți oameni își dau seama cum să câștige acest război și că timpul – sau, mai exact, viteza – este esențială. Pentru prea mult timp, atacatorii au avut elementul surpriză în favoarea lor, învingând cu ușurință apărările care se bazează fie pe faptul că au văzut un atac înainte, fie pe așteptarea unui analist uman care să dea un verdict.
În timp ce infractorii cibernetici profită de tehnologiile moderne, marea majoritate a întreprinderilor se agață de tehnologiile AV moștenite, care au fost învinse cu mult timp în urmă. Suitele de securitate AV precum Symantec, Avast și McAfee continuă să dețină cote de piață deoarece multe întreprinderi au fost blocate cu ani în urmă în tehnologii învechite care se bazează pe semnături și hașuri de fișiere malware.
În ciuda prevalenței acestor controale de securitate AV moștenite, se estimează că au existat 9,9 miliarde de atacuri malware numai în 2019, în creștere față de 8,2 miliarde în 2015. Deși acest lucru poate fi considerat un succes uriaș pentru infractorii cibernetici, este o acuzație condamnabilă a eșecului furnizorilor tradiționali de securitate cibernetică.
RezolvIT este o companie de outsourcing IT obișnuită să securizeze și protejeze infrastructurile clienților cu succes. Fie că vorbim despre laptop-uri, desktop-uri, servere sau dispozitive mobile, compania adoptă și propune soluții inovative pentru a putea preîntâmpina amenințările de securitate ce pot apărea.
Tags: ransomware
Categorised in: Abonamente, Diverse, Sfaturi Utile, Toate