Przeglądamy różne etapy, przez które zazwyczaj przechodzą grupy ransomware podczas atakowania organizacji, i dzielimy się zaleceniami, jak uniknąć tego typu zagrożeń.
W ostatnich latach ataki ransomware stały się jednym z największych zagrożeń dla organizacji na całym świecie. Ten typ złośliwego oprogramowania infiltruje system ofiary i szyfruje jej pliki, żądając okupu w zamian za klucz odszyfrowywania i wydanie.
Ale jak dokładnie działają te ataki i jak można im zapobiegać? W tym artykule przyjrzymy się anatomii ataku ransomware, od jego wejścia do systemu do momentu żądania okupu, wyraźnie rozróżniając każdy z etapów w zależności od czasu, jaki dzieli go od momentu infekcji.
Wstępne przybycie: Początek ataku
faza początkowy dostęp Jest to pierwszy krok w ataku ransomware. W tym momencie atakujący szukają sposobu na włamanie się do systemu ofiary. Mogą to zrobić za pomocą różnych technik, takich jak phishing, wykorzystanie luk w zabezpieczeniach lub użycie słabych haseł.
W przypadku phishingu osoby atakujące wysyłają złośliwe wiadomości e-mail, które wydają się pochodzić z zaufanego źródła, takiego jak legalna organizacja lub jednostka rządowa. E-maile te często zawierają załącznik lub link, który po otwarciu lub kliknięciu pobiera ransomware do systemu ofiary.
Po drugie, wykorzystanie luk polega na znalezieniu luki w systemie ofiary, takiej jak przestarzałe oprogramowanie lub niepewna konfiguracja sieci, która umożliwia atakującym niepostrzeżenie złamanie zabezpieczeń systemu. Gdy atakujący odkryją lukę w zabezpieczeniach, mogą użyć zautomatyzowanych narzędzi do przeskanowania sieci w poszukiwaniu bardziej podatnych na ataki systemów.
Wreszcie, atakujący mogą również użyć słabych haseł, aby uzyskać dostęp do systemu ofiary. Ludzie często używają haseł łatwych do odgadnięcia, takich jak „123456” lub „hasło”. Atakujący mogą wypróbować te popularne hasła lub użyć zautomatyzowanych narzędzi do odgadnięcia prawidłowego hasła.
zadania rozpoznawania. Godziny, dni lub tygodnie po pierwszym przybyciu
podczas fazy poznać Atakujący próbują uzyskać informacje o sieci i systemach ofiary, a także wyszukują potencjalne luki, które mogą wykorzystać.
Cyberprzestępcy mogą wykorzystywać różne techniki do zbierania informacji, takie jak skanowanie portów, analiza ruchu sieciowego, socjotechnika i inne techniki. Informacje te służą do identyfikacji potencjalnych celów sieciowych i luk w zabezpieczeniach.
Gdy atakujący zidentyfikują podatne systemy, rozpoczynają fazę Ruch boczny. Obejmuje to poruszanie się po zaatakowanej sieci; Który system lub urządzenie początkowo włamało się do innych systemów w sieci. Celem jest rozszerzenie kontroli nad siecią i uzyskanie dostępu do dodatkowych informacji.
Atakujący mogą używać narzędzi, takich jak zdalny dostęp i exploity, aby uzyskać dostęp do innych systemów ofiar. Gdy system zostanie naruszony, mogą próbować użyć poświadczeń systemu, aby poruszać się po sieci i uzyskiwać dostęp do innych systemów. W tym momencie narzędzia takie jak Metasploit lub CobaltStrike mogą być wdrażane w celu wyszukiwania i wykorzystywania innych luk w zabezpieczeniach sieci.
Ruch boczny może trwać, dopóki osoby atakujące nie uzyskają dostępu do systemów o wysokiej wartości, które zawierają ważne informacje, takie jak dane finansowe lub dane dotyczące własności intelektualnej. Po osiągnięciu tego celu przechodzimy do etapu ekstrakcji informacji.
w fazie przemycanie Atakujący skutecznie kradną cenne dane ofiary przed ich zaszyfrowaniem, a następnie żądają zapłaty okupu, zanim będą mogli je odzyskać. Informacje są kradzione jako dodatkowy środek wywarcia presji na ofiarę, aby zapłaciła okup, ponieważ osoby atakujące grożą ujawnieniem skradzionych danych, o czym informowaliśmy w wielu przypadkach ataków grup ransomware na jednostki i instytucje rządowe.
Aby przeprowadzić fazę ekstrakcji, osoby atakujące wyszukują cenne dane, takie jak informacje finansowe, dane osobowe lub informacje o własności intelektualnej, na podstawie nazw lub typów plików, zawartych w nich folderów itd. Niektóre metody stosowane w przypadku naruszeń danych mogą obejmować tworzenie tylnych drzwi, korzystanie z narzędzi zdalnego dostępu, wykorzystywanie luk w zabezpieczeniach sieci lub używanie tego rodzaju złośliwego oprogramowania. złodziej informacji Jest przeznaczony do kradzieży poufnych informacji z zainfekowanego komputera. W niektórych przypadkach osoby atakujące wykorzystują również phishing jako technikę uzyskiwania poświadczeń dostępu od ofiary.
Po uzyskaniu informacji napastnicy wysyłają je na zdalny serwer kontrolowany przez atakujących, co może posłużyć jako karta przetargowa do wywarcia nacisku na ofiarę, aby zapłaciła okup: jeśli ofiara odmówi zapłaty, napastnicy mogą zagrozić, że dane publiczne, co może skutkować utratą reputacji, a nawet sankcjami prawnymi.
Wreszcie, odchodząc już od cichych lub nielicznych widocznych gołym okiem momentów ataku, cyberprzestępcy kontynuują etap ataku. wynajmowanieZnany również jako wydawniczy. W nim atakujący wdrażają i uruchamiają ransomware w sieci ofiary, szyfrując pliki. W szczególności, złośliwie wykonany kod rozpoczyna szyfrowanie plików ofiary poprzez zmianę rozszerzenia pliku, uniemożliwiając dostęp do plików, chyba że okup zostanie zapłacony. Napastnicy często zostawiają żądanie okupu w zaatakowanym systemie, zawierające szczegółowe instrukcje, jak zapłacić okup i odzyskać dostęp do plików.
Oprócz szyfrowania plików niektóre rodzaje oprogramowania ransomware mogą również wykonywać inne złośliwe działania, takie jak usuwanie kopii zapasowych lub dzienników oraz rozprzestrzenianie złośliwego oprogramowania na inne systemy.
Szantaż: W kolejnych dniach, tygodniach lub miesiącach
Na koniec znajdujemy działania, które cyberprzestępcy wdrożyli w celu uzyskania ekonomicznego zwrotu z ataku: etap szantaż.
W celu dostarczenia klucza deszyfrującego, który umożliwi ofierze odzyskanie zaszyfrowanych plików, atakujący żądają zapłacenia okupu w jakiejś kryptowalucie. Nie jest to jednak jedyny środek nacisku, ponieważ często stosują one również inne taktyki, takie jak grożenie ofierze, że umieści skradzione informacje na stronach używanych przez grupy ransomware, na których zawierają imię i nazwisko ofiary oraz dodatkowe szczegóły informacji. Może być dostępny do pobrania lub zakupu.
Publikowanie skradzionych plików na witrynach, które wyciekają, to taktyka, która zaczęła pojawiać się pod koniec 2019 r. i została przyjęta przez inne grupy ransomware w 2020 r. Cel: zmusić ofiarę do zapłacenia okupu. Atakujący kradną poufne dane, takie jak informacje finansowe, dane osobowe lub informacje o własności intelektualnej, a następnie publikują je w witrynach, które wyciekły. Może to mieć negatywny wpływ na reputację ofiary lub organizacji, której to dotyczy, i może skutkować sankcjami prawnymi. Atakujący często grożą ujawnieniem tych informacji, jeśli zobaczą, że ofiara nie chce zapłacić okupu, co może spowodować, że ofiara zmieni zdanie.
Sprzedawanie skradzionych informacji to kolejna taktyka stosowana przez hakerów do zarabiania na ataku. Jeśli ofiara nie zapłaci okupu, atakujący mogą zaoferować skradzione informacje na sprzedaż innym cyberprzestępcom na czarnym rynku. Informacje te mogą zostać wykorzystane do przeprowadzenia dalszych ataków lub kradzieży tożsamości. Z drugiej strony informacje mogą być pozyskiwane przez anonimowych nabywców, co utrudnia identyfikację osób odpowiedzialnych za ataki.
Zalecenia
Oto kilka wskazówek, jak uniknąć ataku ransomware — lub zatrzymać go, jeśli się rozwinie:
- Aktualizowanie oprogramowania: dla organizacji i użytkowników ważne jest, aby ich system operacyjny i oprogramowanie były aktualne, ponieważ aktualizacje mogą zawierać poprawki zabezpieczeń, które usuwają luki w zabezpieczeniach, które mogą wykorzystać cyberprzestępcy.
- Korzystaj z niezawodnych rozwiązań zabezpieczających: instalacja niezawodnego oprogramowania antywirusowego, zapory ogniowej i innych rozwiązań zabezpieczających jest niezbędna do ochrony przed oprogramowaniem ransomware i innymi atakami złośliwego oprogramowania.
- Regularnie twórz kopie zapasowe: zarówno użytkownicy domowi, jak i korporacyjni powinni regularnie tworzyć kopie zapasowe wszystkich swoich krytycznych danych i systemów. Ważne jest, aby przechowywać kopie zapasowe w bezpiecznym miejscu, z dala od komputera, z którego wykonano kopię, tak aby były poza zasięgiem cyberprzestępców.
- Edukowanie ludzi: W przypadku organizacji osoby, które je integrują, muszą być świadome ryzyka związanego z oprogramowaniem ransomware lub innym zagrożeniem komputerowym. Organizacje powinny zapewnić szkolenie i edukację osobom pracującym wewnętrznie w zakresie rozpoznawania wiadomości e-mail phishingowych i innych technik wykorzystywanych przez cyberprzestępców do dystrybucji oprogramowania ransomware.
- Wdrożenie silnych zasad bezpieczeństwa: Organizacje muszą wdrożyć silne zasady bezpieczeństwa, w tym stosowanie silnych haseł i ograniczanie dostępu do krytycznych danych i systemów.
- Opracuj plan reagowania na incydenty: Organizacje powinny mieć plan reagowania na incydenty na wypadek ataku ransomware. Plan powinien zawierać kroki, które należy podjąć, aby zminimalizować szkody oraz bezpiecznie i szybko odzyskać dane.
- Sprawdź źródło załączników i linków: współtwórcy instytucjonalni i użytkownicy domowi powinni zweryfikować źródło załączników i linków przed ich otwarciem lub kliknięciem, ponieważ cyberprzestępcy mogą je wykorzystać do dystrybucji oprogramowania ransomware.
„Amatorski praktykujący muzykę. Wieloletni przedsiębiorca. Odkrywca. Miłośnik podróży. Nieskrępowany badacz telewizji.”
:quality(75)/cloudfront-us-east-1.images.arcpublishing.com/elcomercio/G73RL2I77RHUTF4Z247S57H3NM.jpg "MWC 2024: Honor potwierdza przybycie Magic 6 Pro do Peru | Światowy Kongres Mobilny | MWC Barcelona 2024 | Telefony komórkowe | Smartfony | Telefony komórkowe | Wiadomości | Hiszpania | | technologia")
:quality(85)/cloudfront-us-east-1.images.arcpublishing.com/infobae/JCHP4WQPAJE7BLT42T6S57PYRY.jpg "Apple Mexico: to obecnie najczęściej słuchane podcasty")
