Πώς πρέπει να αντιμετωπίσετε μια κυβερνοεπίθεση

Το τμήμα έρευνας της Check Point® Software Technologies Ltd (NASDAQ: CHKP), Check Point Research (CPR), πρόσφατα αποκάλυψε ότι ο μέσος εβδομαδιαίος αριθμός επιθέσεων ransomware αυξήθηκε κατά 93% τους τελευταίους 12 μήνες. Κάθε εβδομάδα, περισσότεροι από 1.200 οργανισμοί παγκοσμίως πέφτουν θύματα επίθεσης ransomware και σε κίνδυνο βρίσκονται όλες οι επιχειρήσεις χωρίς εξαιρέσεις.

Σύμφωνα με την Cybersecurity Ventures, οι ζημιές που θα προκληθούν από το ransomware θα φτάσουν φέτος περίπου τα 20 δισεκατομμύρια δολάρια, δηλαδή θα αυξηθούν κατά 57 φορές σε σχέση με το 2015. Μέχρι το 2031, το κόστος των περιστατικών ransomware θα μπορούσε να ξεπεράσει ακόμη και το δυσθεώρητο ποσό των 265 δισεκατομμυρίων δολαρίων.

Ο αριθμός των επιθέσεων ransomware αυξάνεται για έναν απλό λόγο, οι χάκερ πληρώνονται. Η προθυμία για πληρωμή δημιουργεί έναν επικίνδυνο προηγούμενο και αυξάνει τα κίνητρα των επιτιθέμενων. Επιπλέον, η ασφάλιση κινδύνων στον κυβερνοχώρο γίνεται συνηθίζεται όλο και περισσότερο, επομένως οι εταιρείες δεν διστάζουν να ανταποκριθούν στις απαιτήσεις των εγκληματιών στον κυβερνοχώρο, επιδεινώνοντας περαιτέρω το πρόβλημα. Η αύξηση των επιθέσεων σχετίζεται επίσης με τη διαθεσιμότητα απειλών. Πολλές ομάδες χάκερ προσφέρουν υπηρεσίες ransomware , οπότε ο καθένας μπορεί να νοικιάσει αυτόν τον τύπο απειλής, όπως υποδομή, διαπραγμάτευση με θύματα ή ιστότοπους εκβιασμών όπου μπορούν να δημοσιεύονται κλεμμένες πληροφορίες και στη συνέχεια τα λύτρα μοιράζονται μεταξύ των «συνεργατών».

Ωστόσο, μια επίθεση ransomware συχνά δεν ξεκινά με ransomware. Συχνά μπορεί να ξεκινά με ένα «απλό» email ηλεκτρονικού “ψαρέματος”. Επιπλέον, οι ομάδες χάκερ συχνά συνεργάζονται. Για παράδειγμα, στις επιθέσεις του Ryuk ransomware, το κακόβουλο λογισμικό Emotet χρησιμοποιήθηκε για να διεισδύσει στο δίκτυο, στη συνέχεια το δίκτυο μολύνθηκε με Trickbot και τέλος το ransomware κρυπτογράφησε τα δεδομένα.

Πώς μπορούν οι επιχειρήσεις να γνωρίζουν αν έχουν πέσει θύματα επίθεσης ransomware και πώς πρέπει να αντιδράσουν; Αν δεν προλάβουν εγκαίρως την επίθεση, είναι σχετικά εύκολο να το διαπιστώσουν, καθώς θα λάβουν ένα μήνυμα που θα τους ζητά λύτρα και δεν θα έχουν πρόσβαση στα δεδομένα τους.

Επιπλέον, οι εγκληματίες στον κυβερνοχώρο βελτιώνουν συνεχώς τις τεχνικές τους για να αυξάνουν την πίεση για πληρωμή. Αρχικά, το ransomware “απλώς” κρυπτογραφούσε δεδομένα και απαιτούσε λύτρα για να τα ξεκλειδώσει.Σύντομα οι επιτιθέμενοι πρόσθεσαν μια δεύτερη φάση και έκλεβαν πολύτιμες πληροφορίες πριν από την κρυπτογράφηση, απειλώντας να τις δημοσιοποιήσουν εάν δεν καταβάλλονταν τα λύτρα. Περίπου το 40% όλων των νέων οικογενειών ransomware χρησιμοποιούν κλοπή δεδομένων κατά κάποιο τρόπο εκτός από την κρυπτογράφηση. Επιπλέον, πρόσφατα είδαμε και μια τρίτη φάση, κατά την οποία οι επιτιθέμενοι προσεγγίζουν συνεργάτες ή πελάτες των εταιρειών – θύματα για λύτρα, μια νέα τεχνική που ονομάζεται triple extortion.

Το Incident Response Team της Check Point Software που έχει αντιμετωπίσει αμέτρητες περιπτώσεις ransomware σε οργανισμούς σε όλο τον κόσμο, συνιστά να ακολουθήσετε τα ακόλουθα βήματα κατά τη διάρκεια μιας επίθεσης ransomware:

1) Μείνετε Ψύχραιμοι
Εάν ο οργανισμός σας πέσει θύμα επίθεσης ransomware, μην πανικοβληθείτε. Επικοινωνήστε αμέσως με την ομάδα ασφαλείας σας και τραβήξτε μια φωτογραφία του σημειώματος λύτρων, θα είναι χρήσιμο για την επιβολή του νόμου και την περαιτέρω έρευνα.

2) Απομονώστε τα παραβιασμένα συστήματα
Αποσυνδέστε αμέσως τα μολυσμένα συστήματα από το υπόλοιπο δίκτυο για να αποτρέψετε περαιτέρω ζημιές. Ταυτόχρονα, εντοπίστε την πηγή της μόλυνσης. Βέβαια, όπως αναφέρθηκε, μια επίθεση ransomware ξεκινά συνήθως με μια άλλη απειλή και οι χάκερς μπορεί να έχουν εισέλθει στο σύστημα για μεγάλο χρονικό διάστημα, καλύπτοντας σταδιακά τα ίχνη τους, οπότε ο εντοπισμός του “ασθενούς μηδέν” μπορεί να είναι κάτι που οι περισσότερες εταιρείες δεν μπορούν να χειριστούν χωρίς εξωτερική βοήθεια.

3) Προσοχή στα αντίγραφα ασφαλείας
Οι επιτιθέμενοι γνωρίζουν πολύ καλά ότι οι οργανισμοί θα προσπαθήσουν να ανακτήσουν τα δεδομένα τους από αντίγραφα ασφαλείας για να αποφύγουν την καταβολή των λύτρων. Αυτός είναι ο λόγος για τον οποίο μία από τις φάσεις της επίθεσης είναι συχνά η προσπάθεια εντοπισμού και κρυπτογράφησης ή διαγραφής αντιγράφων ασφαλείας. Επίσης, μην συνδέετε ποτέ εξωτερικές συσκευές σε μολυσμένες συσκευές. Η ανάκτηση κρυπτογραφημένων δεδομένων μπορεί να προκαλέσει αλλοίωση, λόγω ελαττωματικού κλειδιού για παράδειγμα. Ως εκ τούτου, είναι χρήσιμο να δημιουργήσετε αντίγραφα των κρυπτογραφημένων δεδομένων. Επιπλέον, σταδιακά αναπτύσσονται εργαλεία αποκρυπτογράφησης που μπορούν να βοηθήσουν στην αποκρυπτογράφηση άγνωστων μέχρι πρότινος κωδικών. Εάν είχατε αντίγραφα ασφαλείας που δεν έχουν κρυπτογραφηθεί, ελέγξτε την ακεραιότητα των δεδομένων πριν την πλήρη επαναφορά.

4) Καμία επανεκκίνηση ή συντήρηση συστήματος
Απενεργοποιήστε τις αυτόματες ενημερώσεις και άλλες εργασίες συντήρησης στα μολυσμένα συστήματα. Η διαγραφή προσωρινών αρχείων ή η πραγματοποίηση άλλων αλλαγών θα μπορούσε να περιπλέξει άσκοπα τις έρευνες και την αποκατάσταση. Ταυτόχρονα, μην κάνετε επανεκκίνηση των συστημάτων, καθώς ορισμένες απειλές ενδέχεται να αρχίσουν στη συνέχεια να διαγράφουν αρχεία.

5) Συνεργαστείτε
Στην καταπολέμηση του εγκλήματος στον κυβερνοχώρο και ειδικότερα του ransomware, η συνεργασία είναι βασική. Επικοινωνήστε λοιπόν με τις αρχές και τους εθνικούς φορείς κυβερνοασφάλειας και μην διστάσετε να επικοινωνήσετε με την ειδική ομάδα αντιμετώπισης συμβάντων μιας αξιόπιστης εταιρείας ασφάλειας στον κυβερνοχώρο. Ενημερώστε τους υπαλλήλους για το περιστατικό, συμπεριλαμβανομένων οδηγιών σχετικά με το πώς να ενεργήσουν σε περίπτωση ύποπτης συμπεριφοράς.

6) Προσδιορίστε τον τύπο του ransomware
Εάν το μήνυμα των επιτιθέμενων δεν αναφέρει άμεσα τον τύπο του ransomware, τότε μπορείτε να χρησιμοποιήσετε ένα από τα δωρεάν εργαλεία που διατίθενται και να επισκεφθείτε επίσης, τον ιστότοπο No More Ransom project, όπου ίσως βρείτε ένα εργαλείο αποκρυπτογράφησης ειδικά για το δικό σας ransomware.