Az amerikai polgárháború első nagy csatájában a közeli lakosok piknikkosarakkal és távcsövekkel gyűltek össze a dombon, hogy lelkes szemtanúi legyenek a Bull Run-i ütközetnek, ám végül rémülten elmenekültek. Azok számára, akik nem rendelkeznek katonai tapasztalattal, egy csata minden bizonnyal kaotikusnak és talán véletlenszerűnek tűnik. Mégis, a támadási stratégiák jól elkülöníthető szakaszokra bonthatók.
A Ransomware erősen strukturált
A ransomware támadás nem sokban különbözik a katonai támadástól. Míg a ransomware támadások véletlenszerűek voltak a kezdetekben, a mai ransomware támadások célzott műveleteknek számítanak, rendkívül szervezettek, és felismerhető szerkezetük van, amely elválasztja őket más típusú támadásoktól. Ahogy a hatékony incidensreagálási terv hét lépésre bontható, a zsarolóvírus-támadásnak is hét, jól definiált fázisa van. Ezek a szakaszok alkotják az úgynevezett ransomware “kill-chaint”, amely előre integrálható a “ransomware-as-a-service” üzleti modellekbe.
Jó hír/rossz hír
A részletekre és a tervezésre való odafigyelés az, ami miatt a ransomware olyan hatékony. A zsarolóprogramok nagy üzletet jelentenek a kiberbűnözői csoportok számára. Ezek a szervezetek nemcsak az iparág legkiválóbb kibertehetségeit toborozzák, hanem projektmenedzsereket is felvesznek a támadások irányítására, hogy maximalizálják befektetésük megtérülését. Nem csoda, hogy 2022-ben az IT-biztonsági szakemberek egyöntetűen a ransomware-t tartják a legnagyobb fenyegetésnek. Bár a ransomware támadások a szervezettségük miatt rendkívül eredményesek, van néhány jó hír is. A támadás minden szakasza lehetőséget biztosít az akció észlelésére és felszámolására. Meg kell érteni az egyes szakaszok működését, és kéznél kell tartani a fenyegetés leküzdéséhez szükséges eszközöket. Bár ezeket a szakaszokat a különböző elemzési modellek eltérően definiálják, a fázisok alapvetően ugyanazok.
1. szakasz – Kézbesítés
A rosszindulatú kód kezdeti kötegének kézbesítése általában adathalász támadás formájában jelentkezik, amely arra készteti a gyanútlan felhasználót, hogy egy rosszindulatú hivatkozásra vagy fertőzött mellékletre kattintson. További kézbesítési mechanizmusok a frissítésre szoruló rendszerek vagy a távoli asztal (RDP) kapcsolatok kihasználása, valamint rosszindulatú vagy feltört webhelyekről történő telepítés formájában jelentkeznek. A legtöbb fertőzéshez hasonlóan a legegyszerűbb a támadást a legelején megállítani, még mielőtt a rosszindulatú programnak ideje lenne tartósan beférkőzni a megcélzott rendszerbe. A szükséges biztonsági eszközkészleten túl ez az a szakasz, ahol az alkalmazottak kiberhigiéniai képzése nagy hasznot hoz, mivel a legtöbb rosszindulatú program gyanútlan emberi tevékenységre támaszkodik.
2. szakasz – Payload telepítése
Ritka, hogy a tényleges kártevő egyetlen kattintással telepíthető. Ez a kezdetben beszivárgó kód csak arra szolgál, hogy kommunikációs kapcsolatot hozzon létre a támadó vezérlőközpontjával. Ezután egyfajta trójaiként szolgál, amely letölti a ransomware-t tartalmazó adategyüttest, amelymás típusú kártékony programok letöltésére is használható. A végpontvédelem és a patch menedzsment kritikus szerepet játszik a payloadtelepítések leállításában.
3. szakasz – Felderítés
Egy katonai erő manapság műholdakat, drónokat, felderítőket és kémeket használ, hogy információkat gyűjtsön az ellenségről. A felderítési szakaszban a támadók megpróbálnak minél több információt megszerezni a megcélzott vállalatról. Felkutatják az adattárakat, hogy azonosítsák a kulcsfontosságú adatokat. A kiemelt jogosultságú felhasználói fiókok feletti irányítás lehetőségét keresik, amelyek nemcsak hozzáférést biztosítanak számukra ezekhez az adattárolókhoz, hanem szükség esetén módosíthatják általuk a jogosultságokat. Felmérik a biztonsági rendszereket és a biztonsági mentési műveleteket is. Ez az a hely, ahol a fájlok és engedélyek figyelése kulcsszerepet játszik a gyanús viselkedés azonosításában és a támadás megelőzésében.
4. szakasz – Exfiltráció
A zsarolóvírus-bandák már nem csupán fájltitkosításra hagyatkoznak a váltságdíj kikényszerítése érdekében, hanem az utóbbi időben adatlopással is kiegészítették eszköztárukat. Az aktív megfigyelés és észlelés, valamint a minimális privilégium elvének követése elengedhetetlen ahhoz, hogy megvédjük a fájlokata ebben a szakaszban.
5. szakasz – Titkosítás
Ebben a rettegett fázisban válnak elérhetetlenné az adatok. A titkosításnak két megközelítése van. Az egyik az, hogy a bűnözők mindent a lehető leggyorsabban titkosítanak. A másik módszer szerint lassabb folyamatot használnak a fájlok titkosítására, hogy elkerüljék az észlelést. Az ellenszer itt az elszigetelés, amely hálózati szegmentációval és belső tűzfalzónák kijelölésével érhető el. Az automatizált észlelési és válaszadási rendszerek idejekorán lezárják a titkosítási folyamatot. Ehhez képest az IT-csapatok túl gyakran támaszkodnak katasztrófa-helyreállítási megoldásokra, amelyek nem alkalmasak a zsarolóvírusok okozta károk helyreállítására.
6. szakasz – A váltságdíj
A szervezetek jellemzően túl későn, a váltságdíj megfizetését követelő üzenet kézbesítésekor értesülnek először arról, hogy támadás áldozatává váltak. Még ha a szervezet biztonsági mentési rendszerei érintetlenek is maradtak, a titkosított adatok visszaállítása nem segít az ellopott adatok okozta károk helyreállításában. Ráadásul az adat-helyreállítási folyamat napokig is eltarthat, ami azt jelenti, hogy a szervezet nem tudja ellátni kritikus üzleti funkcióit.
7. szakasz – Kármentesítés
Az utólagos kárenyhítés mindig kényszercselekvés, annak minden hátrányával. A kárelhárítás el sem kezdődhet addig, amíg az informatikai csapat meg nem győződik arról, hogy a rosszindulatú kódot teljesen felszámolta, és az összes kártékony vezérlőkapcsolatot megszakította. Ehhez olyan fejlett eszközkészletre van szükség, amellyel a legtöbb kis- és középvállalkozás nem rendelkezik házon belül.
Konklúzió
Ahhoz, hogy Ön is meg tudja védeni magát egy erősen strukturált támadástól, jól megtervezett kiberbiztonsági stratégiára van szüksége. Ismernie kell a legújabb ransomware módszertanokat, és meg kell értenie, hogy ezek a támadások hogyan zajlanak az egyes fázisokban. Mivel a kiberbiztonság mozgó célpont, alkalmazkodnia kell az új támadási módszerekhez is. Csakúgy, mint egy hadsereg esetében, a győzelem kulcsa az ellenség kiismerése.
Az CYREBRO-ról
Az elérhető legmagasabb tudás- és tapasztalatszinttel rendelkező szakértők által menedzselt SOC (Security Operations Center) szolgáltatás, melynek segítségével költséghatékonyan, akár kezdeti beruházási költségek nélkül valósítható meg az IT biztonsági események feldolgozása, valamint a felmerülő problémák és incidensek elhárítása.
Forrás
The 7 Stages of a Ransomware Kill Chain