Ransomware: Μια όχι τόσο νέα απειλή με νέες προεκτάσεις

Τι είναι το ransomware

Το ransomware είναι μια επίθεση εκβιασμού όπου στην παραδοσιακή της μορφή ο επιτιθέμενος κρυπτογραφεί ηλεκτρονικά αρχεία και φακέλους αποτρέποντας την πρόσβαση σε σημαντικά δεδομένα από τον κάτοχό τους. Η λογική πίσω από αυτού του τύπου τις επιθέσεις είναι η απαίτηση λίτρων ούτως ώστε να δοθεί το κλειδί αποκρυπτογράφησης. Οι πληρωμές των λίτρων γίνονται συνήθως σε μορφή κρυπτονομισμάτων λόγω της δυσκολίας που ενέχουν αυτού του τύπου οι συναλλαγές στον εντοπισμό στοιχείων σχετικών με τη συναλλαγή και  τους συναλλασσόμενους.

Ενώ στην αρχική μορφή της η επίθεση τύπου ransomware στόχευε υπολογιστικά συστήματα τα οποία έχουν μια ή περισσότερες αδυναμίες ασφάλειας και τις εκμεταλλεύονταν για να εισχωρήσουν στο σύστημα και να προβούν σε κρυπτογράφηση αρχείων, η επόμενη γενιά στοχεύει συγκεκριμένες επιχειρήσεις. Οι επιτιθέμενοι πια εντοπίζουν την επιχείρηση-θύμα, προσπαθούν να αποκτήσουν πρόσβαση στα συστήματά της, συνήθως μέσω της κλοπής διαπιστευτηρίων και στη συνέχεια οργανώνουν την επίθεσή τους. Στο πλαίσιο της επίθεσης εντοπίζουν τα σημαντικά αρχεία/δεδομένα της επιχείρησης, τα εξάγουν, αποκτούν αντίγραφα αυτών και στη συνέχεια τα κρυπτογραφούν καθιστώντας τα μη διαθέσιμα στην επιχείρηση. Εφόσον το επιτύχουν προχωρούν στον λεγόμενο διπλό εκβιασμό(double-extortion). Στο πλαίσιο του διπλού εκβιασμού ο επιτιθέμενος αρχικά ζητά λίτρα για να παράσχει το κλειδί της αποκρυπτογράφησης που «ξεκλειδώνει» τα αρχεία και στη συνέχεια  «απειλεί» την επιχείρηση ότι θα καταστήσει τα δεδομένα που έχει υποκλέψει διαθέσιμα είτε σε αρχές, είτε στους ανταγωνιστές, είτε δημόσια ή και στο dark web. Εναλλακτικά εάν το θύμα δεν προτίθεται να πληρώσει, και τα δεδομένα συμπεριλαμβάνουν δεδομένα σημαντικά και για μια  τρίτη συνεργαζόμενη με την επιχείρηση-θύμα επιχείρηση, ο επιτιθέμενος στρέφεται και εκβιάζει την τρίτη  επιχείρηση για να μη δημοσιοποιήσει τα πολύτιμα για αυτή δεδομένα.

Σημαντική εξέλιξη στο θέμα του ransomware είναι και η λογική του Ransomware-as-a-Service(RaaS) όπου δίνει τη δυνατότητα ακόμα και σε  αδύναμους τεχνικά επιτιθέμενους να μπορούν να διενεργήσουν μέσω αυτής της υπηρεσίας μια επίθεση αυτού του τύπου.

Αξίζει να σημειωθεί ότι σύμφωνα με την έκθεση του 2021 του ENISA σχετικά με το Threat Landscape, το Ransomware παραμένει η νούμερο ένα απειλή και το μέσο κόστος μιας τέτοιας επίθεσης ξεπερνάει τα 170.000 δολάρια.

Πως να προστατευθούμε

Εκτός από τον ευρύτερο σχεδιασμό και τα  γενικά μέτρα που  λαμβάνει ένας οργανισμός για να προστατευθεί συστήνεται  να έχει προνοήσει συγκεκριμένα και για μέτρα που προφυλάσσουν από το ransomware. Ενδεικτικά κάποια μέτρα αναφέρονται παρακάτω, παρόλα αυτά ο κάθε οργανισμός καλείται να τα προσαρμόσει ανάλογα με τις ανάγκες του και τη φύση του:

• Μια συνηθισμένη τακτική των επιτιθέμενων είναι η απόκτηση απομακρυσμένης πρόσβασης στον οργανισμό εκμεταλλευόμενοι μια αδυναμία που θα εντοπισθεί στο σύστημα και τις διαδικασίες που υποστηρίζουν  την παροχή απομακρυσμένης πρόσβασης στα συστήματα του. Ως εκ τούτου προτείνεται να υπάρχουν αυξημένα μέτρα όταν επιτρέπεται η απομακρυσμένη πρόσβαση τα οποία θα ακολουθούν τη λογική του zero-trust και θα παρέχουν πρόσβαση όχι μόνο πιστοποιώντας τον χρήστη μέσω ενός σετ διαπιστευτηρίων αλλά και πιστοποιώντας τη συσκευή και το δίκτυο από το οποίο προέρχεται και ορίζοντας το επίπεδο της πρόσβασης(όταν είναι εφικτό) σε επίπεδο εφαρμογής και όχι συστήματος.
• Μια ακόμα συνηθισμένη τακτική είναι μέσω επιθέσεων τύπου spear phishing. Εκτός των αναπτυγμένων συστημάτων προστασίας που μπορούμε να διαθέτουμε σε επίπεδο υπηρεσίας e-mail, θα πρέπει μεγάλη σημασία να δοθεί στην επαγρύπνηση του συνόλου του οργανισμού σχετικά με τέτοιου τύπου επιθέσεις ούτως ώστε να έχουν αυξημένη την ικανότητα να μπορούν να διαχωρίζουν τα «νόμιμα» e-mails από τα «μη νόμιμα».
• Είναι σημαντικό να γνωρίζουμε ότι η κλοπή διαπιστευτηρίων, που είναι ένα από τα πιο συνηθισμένα αρχικά βήματα μιας τέτοιας επίθεσης, μειώνεται έως 99% εάν χρησιμοποιείται από τον οργανισμό η λογική του multi factor authentication. Πρόσθετα όμως με την ενδυνάμωση της διαδικασία της αυθεντικοποίησης, σε όλους τους χρήστες, απαιτείται αυξημένη προσοχή στους χρήστες με αυξημένα δικαιώματα. Όταν έχουμε χρήστες που έχουν αυξημένα δικαιώματα σε συστήματα και εφαρμογές θα πρέπει να ενεργοποιήσουμε πρόσθετους μηχανισμούς αυθεντικοποίησης καθώς και αυξημένους μηχανισμούς εντοπισμού «ύποπτων» κινήσεων.
• Σημαντική είναι όμως και η προστασία σε επίπεδο δεδομένων, τόσο στην πρόσβαση σε αυτά με την λογική του need-to-know, least-privilege όσο και με τη λογική της κρυπτογράφησής τους.
• Η τήρηση συστηματικών back up,απομονωνόμενων από το λοιπό εταιρικό δίκτυο, παραμένει φυσικά μια από τις βασικότερες ενέργειες που πρέπει να κάνουν οι οργανισμοί ούτως ώστε να εξασφαλίσουν την άμεση αποκατάσταση των συστημάτων και των δεδομένων εφόσον «πέσουν» θύματα μιας επίθεσης ransomware.

Και αν δεν αποφύγουμε την επίθεση τύπου ransomware;

Γενικότερα προτείνεται να υπάρχει ένα ολοκληρωμένο πλάνο διαχείρισης ενός τέτοιου περιστατικού, εφόσον συμβεί, ούτως ώστε να υπάρχουν συγκεκριμένες οδηγίες τόσο για όλο τον οργανισμό όσο και για συγκεκριμένους χρήστες οι οποίοι είναι κομβικής σημασίας για την επιτυχή διαχείριση τέτοιου είδους περιστατικών.

Ιδιαίτερα σημαντική μπορεί να φανεί, πρόσθετα με όλα τα άλλα μέτρα, η σύναψη από τη μεριά της επιχείρησης μιας ασφαλιστικής σύμβασης σχετικά με τους κυβερνοκινδύνους (Cyber Insurance) ως ένας τρόπος μερικής μεταφοράς του συγκεκριμένου κινδύνου(risk transfer). 

Μέσω της ασφαλιστικής κάλυψης, εκτός της χρηματικής αποζημίωσης που θα λάβει η επιχείρηση, θα έχει πρόσβαση σε υπηρεσίες υποστήριξης και διαχείρισης κατά τη διάρκεια ενός τέτοιου περιστατικού από ένα σύνολο επαγγελματιών διαφορετικών ειδικοτήτων εξειδικευμένων σε επιθέσεις τέτοιου τύπου.

Δήμητρα Ξηντάρα, Information Security and Privacy Professional, CISM,CIPP/E,CIPM