Από την πρώτη γνωστή επίθεση extortion, το περίφημο «AIDS Trojan», πέρασαν 32 ολόκληρα χρόνια. Κατά τη διάρκεια αυτών των ετών, οι επιθέσεις ransomware έχουν εξελιχθεί ραγδαία, έχουν γίνει πιο εξεζητημένες και στοιχίζουν πολύ… ακριβά, σε χρόνο, χρήμα και δεδομένα, στις επιχειρήσεις που πέφτουν θύματα. Αρκεί, λοιπόν, μια απλή λύση antivirus για να παρέχει την απαραίτητη ασπίδα προστασίας στις σύγχρονες επιχειρήσεις ή μήπως η πολυπλοκότητα και «ευφυία» που ενσωματώνουν οι συγκεκριμένες επιθέσεις, επιτάσσει μια πιο ολιστική προσέγγιση στα ζητήματα γύρω από την κυβερνοασφάλεια;
Ιστορική αναδρομή
Πίσω στο 1989, ο βιολόγος Joseph Popp απέστειλε μέσω ταχυδρομείου χιλιάδες δισκέτες σε ανυποψίαστους παραλήπτες. Το περιεχόμενο των δισκετών, υποτίθεται ότι αφορούσε πληροφορίες σχετικά με τους παράγοντες κινδύνου του AIDS. Ωστόσο, αυτό που στην πραγματικότητα περιείχαν οι δισκέτες, ήταν κακόβουλο λογισμικό. Το «AIDS Trojan», εγκαθίστατο στον υπολογιστή, κρυπτογραφούσε αρχεία αποθηκευμένα στον σκληρό δίσκο και καθιστούσε αδύνατη την πρόσβαση των χρηστών σε αυτά.
Σύμφωνα με το μήνυμα που εμφανίζονταν στην οθόνη του χρήστη, η αιτία που προκάλεσε την αδυναμία πρόσβασης σε αυτά τα αρχεία, οφείλονταν στην λήξη της άδειας χρήσης ενός συγκεκριμένου λογισμικού. Έτσι, ο χρήστης καλούνταν να καταβάλλει 189 δολ. σε θυρίδα του Παναμά, για λογαριασμό της εταιρείας «PC Cyborg Corporation», ως προϋπόθεση για την λήψη του κλειδιού ανάκτησης. Μπορεί η συγκεκριμένη απόπειρα extortion να είχε στη βάση της μια σχεδιαστική δυσλειτουργία που επίτρεπε την απόσπαση του κλειδιού αποκρυπτογράφησης από το Trojan χωρίς την καταβολή «λύτρων», δεν παύει όμως να αποτελεί την πρώτη διαπιστωμένη επίθεση τέτοιου τύπου και -επί της ουσίας- τον προάγγελο των επιθέσεων ransomware με τη μορφή που τις γνωρίζουμε σήμερα.
Τα ransomware στον σημερινό κυβερνοχώρο
Στη σημερινή εποχή, οι δισκέτες και άλλα παρόμοια μέσα, έχουν εξαλειφθεί. Οι εκστρατείες ransomware έχουν εξελιχθεί και εξαπολύονται κυρίως μέσω μηνυμάτων εξαπάτησης ηλεκτρονικού ταχυδρομείου (phishing emails). Κατά βάση, ανεξάρτητα από την τεχνική που χρησιμοποιείται και τον τρόπο «γνωστοποίησης» της μόλυνσης στον τελικό χρήστη, στοχεύουν στην κρυπτογράφηση αρχείων και στο κλείδωμα των χρηστών έξω από τις συσκευές τους. Απώτερος σκοπός, δεν είναι άλλος από την απαίτηση «λύτρων» για να τους επιτραπεί εκ νέου η πρόσβαση. Μάλιστα, προκειμένου οι εν λόγω συναλλαγές να μην εντοπίζονται, οι κυβερνοεγκληματίες ζητούν την καταβολή των λύτρων σε κρυπτονομίσματα (π.χ. Bitcoin) ή προπληρωμένες κάρτες (π.χ. Paysafe). Ως αντάλλαγμα, οι δράστες υπόσχονται την αποκατάσταση της πρόσβασης στις μολυσμένες συσκευές και την αποκρυπτογράφηση των δεδομένων.
Ωστόσο, όπως κάθε τι που εξελίσσεται, τα ransomware δεν περιορίζονται πλέον μόνο στην κρυπτογράφηση αρχείων. Τα τελευταία χρόνια, χρησιμοποιούνται ευρέως και ως μορφή «εκβιασμού» για την απόσπαση μεγάλων χρηματικών ποσών, με αντάλλαγμα τη μη δημοσιοποίηση ευαίσθητων εταιρικών -και όχι μόνο- δεδομένων, που έχουν υφαρπάξει οι κυβερνοεγκληματίες. Καθώς όμως δεν υπάρχει καμία «εγγύηση» πως η πρόσβαση στα κρυπτογραφημένα αρχεία θα ανακτηθεί ή πως δεν θα διαρρεύσουν δεδομένα, ακόμα κι αν καταβληθούν τα «λύτρα», η καλύτερη αντιμετώπιση των επιθέσεων ransomware, δεν έγκειται στην καταστολή, αλλά στην πρόληψή τους.
Ποιοι αποτελούν στόχο επιθέσεων;
Είναι προφανείς οι λόγοι για τους οποίους οι μεγάλες επιχειρήσεις και οργανισμοί, αποτελούν δυνητικό στόχο των κυβερνοεγκληματιών. Το ερώτημα είναι αν μπαίνουν στη διαδικασία να καταβάλλουν το τίμημα, σε περίπτωση που πέσουν θύματα επίθεσης. Η απάντηση, δίδεται με εμφατικό τρόπο, αν αναλογιστεί κανείς ότι φέρονται να διατηρούν στην κατοχή τους bitcoins μεγάλης αξίας, προκειμένου να εξυπηρετήσουν αυτόν ακριβώς τον σκοπό. Επομένως, ναι, όπως αποδεικνύεται, οι μεγάλες επιχειρήσεις στην πλειοψηφία τους, θα ήταν πρόθυμες να καταβάλλουν ό,τι τους ζητηθεί, με όποιο ρίσκο εμπεριέχεται σε αυτήν τη συναλλαγή, προκειμένου να διατηρήσουν ακέραιη τη φήμη τους.
Στον αντίποδα, υπάρχει μια εντελώς λανθασμένη εντύπωση, ότι οι μικρές και μεσαίες επιχειρήσεις δεν διατρέχουν κίνδυνο να πέσουν θύματα ransomware. Η αλήθεια είναι πολύ διαφορετική, βέβαια, καθώς οι ΜμΕ, αποτελούν ολοένα και περισσότερο ενδιαφέροντα στόχο για τους κυβερνοεγκληματίες. Το γεγονός ότι δεν διαθέτουν παρόμοιους πόρους με τις μεγάλες επιχειρήσεις για την ασφάλεια των υποδομών και δεδομένων τους, τις κάνει περισσότερο ευάλωτες σε κάθε είδους κυβερνοεπίθεση. Επομένως, κάθε είδους εταιρεία, ανεξαρτήτως μεγέθους, μπορεί να αποτελέσει δυνητικό στόχο ransomware.
Πώς μπορεί μια εταιρεία να προστατευτεί;
Αναλογιζόμενοι πως οι πλείστες επιθέσεις ransomware αποτελούν προϊόν κοινωνικής μηχανικής, η διαρκής εκπαίδευση και ευαισθητοποίηση των ίδιων των χρηστών σε θέματα γύρω από την κυβερνοασφάλεια, αποτελεί βασικό πυλώνα πάνω στον οποίο πρέπει να δομηθεί η στρατηγική ασφάλειας μιας επιχείρησης. Υπάρχουν ασφαλώς και ορισμένες πρακτικές μέθοδοι, οι οποίες εφόσον ακολουθούνται πιστά, ελαχιστοποιούν τις πιθανότητες απώλειας δεδομένων από επιθέσεις τύπου ransomware. Αναφέρονται ενδεικτικά:
- Η λήψη αντιγράφων ασφαλείας σε τακτά χρονικά διαστήματα.
- Η αποθήκευση αντιγράφων ασφαλείας σε περισσότερα από ένα αντίτυπα.
- Η διατήρησή τους σε διαφορετικά μέσα αποθήκευσης, τόσο online όσο και offline.
- Η συνεχής ενημέρωση του λειτουργικού συστήματος και κάθε είδους εταιρικού λογισμικού, με τις τελευταίες διαθέσιμες εκδόσεις και patches.
- Η απενεργοποίηση περιττών λογισμικών / υπηρεσιών.
- Η χρήση ισχυρών κωδικών πρόσβασης.
- Η ενεργοποίηση ελέγχου ταυτότητας δύο / πολλαπλών παραγόντων.
- Ο έλεγχος ρυθμίσεων του τείχους προστασίας.
- Ο περιορισμός πρόσβασης σε κοινόχρηστα αρχεία κι εταιρικά δεδομένα μόνο σε διαπιστευμένους χρήστες.
- Η χρήση μιας αξιόπιστης και πολύ-επίπεδης λύσης εταιρικής ασφάλειας.
Τι μπορεί να κάνει η Cysoft για εσάς;
Οι επιθέσεις ransomware αλλά και παντός είδους κυβερνοαπειλές, εντάσσονται στους πλέον σοβαρούς κινδύνους που καλούνται να αντιμετωπίσουν καθημερινά οι επιχειρήσεις κάθε μεγέθους. Πιθανή έκθεση σε αυτούς τους κινδύνους, όχι μόνο θα διαταράξει την εύρυθμη λειτουργία, αλλά και υπό προϋποθέσεις, μπορεί να οδηγήσει μια επιχείρηση σε «οικονομική ασφυξία» και μοιραία σε οριστική παύση των εργασιών της. Ως εκ τούτου, κάθε επιχείρηση οφείλει και πρέπει να είναι προστατευμένη μέσα σε αυτό το διαρκώς μεταβαλλόμενο περιβάλλον, διασφαλίζοντας με κάθε τρόπο την επιχειρησιακή της συνέχεια.
Διανύοντας ήδη την τρίτη δεκαετία δραστηριοποίησης στην εγχώρια αγορά, η Cysoft, με την πιστοποιημένη της τεχνογνωσία και σε συνεργασία με κορυφαίους κατασκευαστές προϊόντων ασφάλειας και διαχείρισης πληροφοριακών συστημάτων, προσφέρει μια πλήρη γκάμα λύσεων που εμπιστεύονται οι μεγαλύτερες ελληνικές εταιρείες και οργανισμοί από τον κλάδο της ενέργειας, τον τηλεπικοινωνιακό, τον τραπεζικό, τον ασφαλιστικό, τον ιατρικό, τη ναυτιλία κ.α.
Συμβαδίζοντας με τις σύγχρονες επιχειρησιακές ανάγκες, οι λύσεις της Cysoft προσφέρονται (σχεδόν στο σύνολό τους) και as-a-service, μέσω cloud. Επιπλέον, εξελίσσοντας περαιτέρω τη διάθεση των λύσεων σε μικρές και μεσαίες επιχειρήσεις που ενδεχομένως δε διαθέτουν οικονομικούς και διαχειριστικούς πόρους παρόμοιου μεγέθους με μια μεγάλη εταιρεία, η Cysoft παρέχει το σύνολο των παραπάνω λύσεων και με τη μορφή διαχειριζόμενων υπηρεσιών.