Informatika

Így lehet csökkenteni egy sikeres ransomware támadás esélyét

A tegnapi napon látott napvilágot szélesebb körben, hogy az INC Ransom kiberbűnözői csoport ransomware támadásának áldozata lett a honvédelmi beszerzések kapcsán megkerülhetetlen VBÜ Zrt. Arra gondoltam, hogy összeírok pár gondolatot, amik segíthetnek egy ransomware támadás megelőzésében, megakadályozásában, észlelésében. Ezek a státuszok ugyanis gyakran időben is elvállnak egymástól. Az INC Ransom csoport által használt technikák már jól ismertek, több tanulmány is íródott erről. A csoport tevékenysége és működése egyébként nem tér el jelentősen más ransomware támadásétól, így általánosságban is megfontolandók lehetnek az alábbiak.

Az INC Ransom, és általában a hasonló támadók egy sikeres spear phishing támadást követően, vagy valamilyen ismert, de nem javított sérülékenységet kihasználva szereznek jogosultságot a megtámadott rendszerekhez és lépnek be azokba, általában RDP használatával. Azonban ez még csak az első lépcső, maga a támadás napokig, akár hetekig eltarthat.

A védekezés itt többrétegű. Egyfelől a phishing levelek előzetes szűrése technológiai eszközökkel megvalósítható, a célzott támadás sikerességét pedig csökkenthetik a tudatosító kampányok, illetve a rendszeres Social Engineering önvizsgálatok, végső soron pedig megfelelő végpontvédelmi eszközök használata. A sérülékenységek kihasználhatóságát csökkentik a naprakészen tartott rendszerek, megfelelő karbantartási, hibajavítási, változáskezelési és patch management szabályozások, CTI tevékenységek.

A támadók először csak nagyon minimális tevékenységet folytatnak, hogy a detektálásukat megnehezítsék. Ilyenkor lényegében „szétnéznek” az elérhetővé vált dokumentumok között, képernyőmentéseket készítenek, információkat gyűjtenek. A megszerzett jogosultságokkal oldalirányban lépkedve megpróbálnak további rendszerekhez is hozzáféréseket szerezni, kihasználva a rendszerek sérülékenységeit.  Mivel a támadók soha nem lehetnek biztosak abban, hogy a tevékenységük végül sikerrel jár, így ez az első lehetőség olyan információk megszerzésére, amivel a szervezet zsarolhatóvá válik.

A védekezés ezen a ponton egyfelől olyan jogosultságkezelés kialakítása, ahol a privilegizált felhasználói jogok egy-egy rendszerre korlátozottak, illetve előnyös, ha ezek eleve egy erre kialakított PAM rendszerben vannak kezelve. A minimális tevékenység nagyon nehezen felderíthető, de egy IDS/IPS rendszer képes lehet a támadók tevékenységének detektálására.

Amikor a rendszerben megszerezték a támadáshoz szükséges további jogosultságokat, feltérképezték az elérhető dokumentumok körét, akkor elkezdik előkészíteni az adatok ellopásához szükséges folyamatokat, tömörítik az állományokat, telepítik a kimásolást szolgáló alkalmazásokat.

Az előkészítéshez szükséges, szokatlan mennyiségű adatmozgatás, terhelés kapcsán egy jól felépített SIEM rendszer a logok elemzésével jelezheti az anomáliát, még akkor is, ha egyébként azt nem is feltétlenül ártó folyamatként azonosítja.

Amikor ez megtörtént, elindítják a dokumentumok letöltését, ami meglehetősen kényes folyamat, hiszen ezen a ponton több technológiai megoldás is megakadályozhatja a támadó művelet továbbitelét, illetve jelezheti az ártó folyamatok jelenlétét a hálózati környezetben. Ha sikerrel járnak, akkor már valódi érték van a kezükben egy zsaroló támadás kivitelezéséhez.

Az adatok letöltésével járó folyamatok ugyancsak észlelhetők a logok szintjén, amire jelzést adhat a SIEM rendszer. Mivel általánosságban ismertek a leggyakrabban használt alkalmazások (MEGASync), így a hálózati kommunikáció eleve blokkolt lehet ezekhez a szerverekhez, ha a szervezet ezeket a szolgáltatásokat egyébként nem veszi igénybe. De már az is segítség, ha az alkalmazott védelmi mechanizmus jelez a tiltott irányú adatforgalom jelenlétéről. Természetesen a támadók felismerhetik ezt a körülményt és viszonylag könnyedén kereshetnek alternatív lehetőségeket.

Ha pedig az adatkimentés is sikerrel járt, akkor az INC Ransom megpróbálja megnehezíteni a biztonsági mentések későbbi használatát, ha például sikerül elérniük azokat, akkor törlik a mentéseket, majd előkészítik a kiszemelt meghajtókat a titkosításra, amely végül elérhetetlenné teszi az adatokat, ezzel pedig a támadás befejeződik. A sikeres titkosítás után az áldozat egy elérhetőséget kap egy egyedi azonosítóval, amin keresztül fel tudja venni a kapcsolatot a támadókkal és tárgyalhat a zsarolási díj megfizetéséről. csökkentéséről, ütemezéséről.

Itt a védelmi vonalat olyan folyamatok jelentik, melyek gyorsan és begyakorolt módon biztosítják az üzletmenetfolytonosságot, illetve olyan mentési struktúra és folyamat kialakítása, amely alkalmas arra, hogy a teljes védendő információs rendszer helyreállítható legyen, szükség esetén akár a tranzakciós folyamatok szintjéig is.

Az teljesen egyértelmű, hogy tökéletes és százszázalékos védelem nem kialakítható, azonban a véleményem szerint jól látható az is, hogy megfelelő szabályozással, eljárásokkal és technológiákkal lehetséges jelentős mértékben lecsökkenteni egy sikeres támadás valószínűségét, illetve egy már megkezdett támadás is detektálhatóvá és kezelhetővé válhat.

A cikkhez ITT lehet hozzászólni. Ha tetszett, ne maradj le a következőről:

 

Ajánlott tartalom

Továbbiak:Informatika