Ransomware, ονομάζεται το κακόβουλο λογισμικό που έχει στόχο να “μολύνει” και να κρυπτογραφήσει κρίσιμα δεδομένα του υποψήφιου θύματος, απαιτώντας πληρωμή για την αποδέσμευσή τους. Τα κρυπτογραφημένα αρχεία, παραμένουν στα συστήματα του οργανισμού ή του μεμονωμένου χρήστη, χωρίς όμως να υπάρχει δυνατότητα πρόσβασης σε αυτά.
Μόλις τα κρίσιμα δεδομένα του θύματος κρυπτογραφηθούν, ο επιτιθέμενος απαιτεί την καταβολή λύτρων με αντάλλαγμα την αποδέσμευση των μολυμένων δεδομένων. Στο θύμα, αποστέλλονται οδηγίες για τον τρόπο καταβολής του τιμήματος, με αντάλλαγμα ένα κλειδί αποκρυπτογράφησης. Οι επιτιθέμενοι συνήθως απαιτούν πληρωμή σε Bitcoin.
Ας δούμε επιγραμματικά ποια είναι τα πέντε βασικά στάδια που διέπουν μια επίθεση τύπου ransomware:
Στάδιο 1: Αρχική εκμετάλλευση (Initial exploitation)
Το πρώτο στάδιο μιας επίθεσης ransomware είναι το initial explotation, δηλαδή η διαδικασία κατά την οποία ο επιτιθέμενος εισβάλει στο σύστημα του θύματος ή στο εταιρικό δίκτυο, αντίστοιχα, με σκοπό να εγκαταστήσει το κακόβουλο λογισμικό. Υπάρχουν διάφορες μέθοδοι που μπορούν δυνητικά να χρησιμοποιήσουν οι εισβολείς για αυτό το αρχικό βήμα, με την πιο δημοφιλή από αυτές να είναι το phishing. Άλλες μέθοδοι είναι το brute-forcing σε ευάλωτους διακομιστές, η ανακατεύθυνση των θυμάτων σε κακόβουλους ιστότοπους ή ακόμα και το compromise ένα remote desktop connection.
Στάδιο 2: Εγκατάσταση (Installation)
Μόλις το ransomware εισβάλει στο σύστημα του θύματος, πραγματοποιείται το δεύτερο στάδιο, αυτό της εγκατάστασης. Κάθε φορά που εκκινείται το σύστημα του θύματος, ο κακόβουλος κώδικας εκτελείται έτσι ώστε να αποκτήσει υπόσταση στο δίκτυο. Σε αυτό το στάδιο, το ransomware μπορεί επίσης να ελέγξει το σύστημα του θύματος και να αποφασίσει εάν αξίζει να επιμολυνθεί και να προχωρήσει περαιτέρω η επίθεση ή όχι. Για παράδειγμα, εφόσον το στοχευόμενο σύστημα είναι virtual machine ή sandbox, το κακόβουλο λογισμικό έχει τη δυνατότητα να βγει από το σύστημα, χωρίς να γίνει αντιληπτό.
Στάδιο 3: Καταστροφή εφεδρικών αντιγράφων (Backup destruction)
Κατά το τρίτο στάδιο της επίθεσης, το ransomware ελέγχει για τυχόν εφεδρικά αρχεία στο σύστημα του θύματος και τα καταστρέφει. Αυτό, δημιουργεί μια αίσθηση φόβου στο θύμα και ως εκ τούτου αυξάνει την πιθανότητα να καταβληθούν τα λύτρα που απαιτεί ο επιτιθέμενος.
Στάδιο 4: Κρυπτογράφηση (Encryption)
Στο τέταρτο στάδιο της επίθεσης, το ransomware εκτελεί τον κακόβουλο κώδικα και αρχίζει να κρυπτογραφεί τα κρίσιμα δεδομένα του θύματος. Για να επιτευχθεί αυτό, το εγκατεστημένο ransomware δημιουργεί μια σύνδεση με έναν διακομιστή εντολών και ελέγχου (command-and-control server), που διατηρεί το κλειδί κρυπτογράφησης καθώς και οδηγίες σχετικά με αυτήν. Μπορεί επίσης να δίνει οδηγίες αναφορικά με το ποιες συγκεκριμένες μορφές αρχείων θα πρέπει να στοχεύει η κρυπτογράφηση.
Στάδιο 5: Εκβιασμός (Extortion or blackmail)
Κατά το τελικό στάδιο της επίθεσης, ο επιτιθέμενος απαιτεί πληρωμή ως αντάλλαγμα για το κλειδί αποκρυπτογράφησης που χρησιμοποιείται για την ανάκτηση των μολυσμένων αρχείων. Στην οθόνη του θύματος εμφανίζεται ένα μήνυμα που τον ενημερώνει πως τα αρχεία του έχουν στσοχοποιηθεί και παραβιαστεί. Αυτό το μήνυμα περιέχει επίσης οδηγίες για το πώς πρέπει να γίνει η πληρωμή. Γενικά, συνηθίζεται να προσδιορίζεται συγκεκριμένος χρόνος που έχουν στη διάθεσή τους τα θύματα για να πραγματοποιήσουν την πληρωμή και να λάβουν εκ νέου πρόσβαση στα κρίσιμα δεδομένα τους.
Αντιμετωπίζοντας μια επίθεση ransomware
Όπως προκύπτει από τα παραπάνω, μια επίθεση τύπου ransomware, είναι μια αλληλουχία γεγονότων που είναι ικανή να προκαλέσει μεγαλές καταστροφές, ειδικά αν πραγματοποιηθεί σε ευρεία κλίμακα. Κλειδί για την καταπολέμηση των ransomware, αποτελεί η ευαισθητοποίηση των οργανισμών και των ομάδων ασφαλείας, σχετικά με τον τρόπο λειτουργίας αυτού του τύπου επιθέσεων. Με την κατανόηση του κύκλου ζωής του ransomware, οι χρήστες και οι ομάδες ασφαλείας μπορούν να προλαμβάνουν τέτοιου τύπου επιθέσεις, με την ανάλογη στρατηγική.
Οι λύσεις SIEM και το Log360 της ManageEngine
Η υιοθέτηση λύσεων SIEM, όπως το Log360 της ManageEngine, βοηθούν στην ανίχνευση ενδείξεων μόλυνσης από ransomware μέσω συσχέτισης συμβάντων σε πραγματικό χρόνο, ειδοποιήσεων, ανάλυσης και ανίχνευσης ανωμαλιών. Όλα τα παραπάνω, δ΄ίνουν τη δυνατότητα καταπολέμησης μιας εν εξελίξει επίθεσης ransomware, σε όποιο στάδιο και αν βρίσκεται αυτή. Για να αξιολογήσετε τις δυνατότητες του Log360 της ManageEngine κατεβάστε τη δοκιμαστική έκδοση εδώ.