O krok przed atakiem ransomware. Jak podstępem przechytrzyć cyberprzestępców?

W typowym ataku ransomware cyberprzestępcy często wykorzystują phishing, aby wprowadzić szkodliwy kod do systemu komputerowego ofiary, który następnie rozprzestrzenia się w całej sieci. Gdy wystarczająco dużo systemów zostanie zaatakowanych, przestępcy aktywują złośliwe oprogramowanie, aby zaszyfrować pliki i dane na tych urządzeniach, przez co stają się one niedostępne dla użytkowników. Następnie napastnicy próbują uzyskać od przedsiębiorstwa zapłatę pieniężną w zamian za klucz potrzebny do odszyfrowania plików.

Jednym z czynników wpływających na wzrost liczby takich ataków jest wdrożenie modelu work from anywhere (WFA) w przedsiębiorstwie. Pracownicy łączą się z zasobami firmowymi ze słabo zabezpieczonych sieci domowych i urządzeń, co ułatwia przestępcom przeprowadzenie ataku. Badanie Fortinet wykazało, że prawie dwie trzecie firm doświadczyło naruszenia danych z powodu luk w zabezpieczeniach pracy zdalnej.

Pliki nieodzyskane

Stosujący oprogramowanie ransomware do zablokowania danych użytkownika cyberprzestępcy zakładają, że ofiara zapłaci praktycznie każdą cenę, aby odzyskać kontrolę nad plikami. A jeśli tego nie zrobi, napastnicy korzystają z faktu, że równolegle do szyfrowania często wykradają dane, które następnie mogą – w ramach szantażu – wystawić na sprzedaż w sieci darknet.

Inżynierowie Fortinet obserwują też rosnącą liczbę przypadków, w których ofiara płaci okup, ale nigdy nie otrzymuje kluczy deszyfrujących, potrzebnych do przywrócenia dostępu do danych. W jeszcze poważniejszych przypadkach oprogramowanie ransomware trwale usuwa dane z dysków znajdujących się w komputerach stacjonarnych i serwerach, pomimo zapłacenia okupu.

Odpowiadanie na ataki ransomware za pomocą podstępu

Podstawową ochroną przedsiębiorstw przed skutkami ataku ransomware powinno być systematyczne wykonywanie kopii zapasowych (backup) obrazów dysków (serwerów i stacji roboczych) oraz plików i przechowywanie ich poza siecią, aby nie mogły dosięgnąć ich mechanizmy szyfrujące dane. Takie podejście umożliwi odzyskanie zaszyfrowanych plików, ale nie uchroni przed szantażem ich upublicznienia. Dlatego koniecznie należy też skanować urządzenia podłączane do sieci pod kątem ewentualnego zainfekowania złośliwym oprogramowaniem. Natomiast niezwykle skuteczną strategią kontrataku w przypadku ofensywy ransomware jest stosowanie techniki cyber deception.

W ramach tego mechanizmu zabezpieczeń w przedsiębiorstwie tworzona jest fałszywa sieć, pozornie łatwa do „zdobycia” dla hakerów. Celowo zapewniany jest w niej dostęp do atrakcyjnie wyglądających dla cyberprzestępców plików, które są nie do odróżnienia od tych przesyłanych w prawdziwej sieci (ale oczywiście ich kopia powinna zawierać nieprawdziwe informacje, aby ewentualny wyciek nie przyniósł przykrych konsekwencji). Próbując zaszyfrować fałszywe pliki, hakerzy demaskują siebie oraz swoje zamiary, a także ujawniają mechanizm podjętego ataku ransomware, zanim zdołają wyrządzić jakiekolwiek szkody w prawdziwym systemie produkcyjnym przedsiębiorstwa.

Cyber deception – element proaktywnej ochrony

Wdrażanie mechanizmów takiego cyfrowego podstępu rozpoczyna się od skonfigurowania na każdym urządzeniu końcowym lub serwerze fałszywego, udostępnionego w sieci dysku (partycji). Ten pseudosystem i zawarte w nim pliki zostają ukryte przed użytkownikami i wykorzystywanym przez nich oprogramowaniem, aby uniknąć generowania fałszywych alarmów. Zasoby te powinny zostać udostępnione w sieci jako odrębny serwer plików, ale zawierający wyłącznie fałszywe dane i generujący fałszywy ruch. Powinien być też zintegrowany ze świadomymi stosowania mechanizmu cyber deception rozwiązaniami ochronnymi, aby te niezbyt przeszkadzały w zaatakowaniu takiego serwera, ale jednocześnie ze szczególną uwagą go obserwowały.

Przy zastosowaniu tej metody, gdy ransomware zaatakuje urządzenie końcowe, zacznie szyfrować pliki najpierw na fałszywym dysku, co powinno zostać wykryte przez mechanizm cyber deception. Wówczas powinien on spowolnić proces szyfrowania i jednocześnie wykorzystać jedno z istniejących narzędzi ochronnych do automatycznego zablokowania złośliwego kodu, a przez to ograniczania szkód lub zapobiegnięcia im w ogóle. Takie urządzenie końcowe należy też automatycznie odizolować od reszty sieci.

Każdy element infrastruktury umożliwiającej zabezpieczanie środowiska IT za pomocą metody cyber deception powinien być zintegrowany z narzędziami ochronnymi innych dostawców, m.in. z zaporami sieciowymi, rozwiązaniami zapewniającymi kontrolę dostępu do sieci i systemami audiowizualnymi nowej generacji. Dzięki temu atak ransomware wykryty w fałszywej sieci może zostać szybko zneutralizowany. Ponadto, mechanizmy cyber deception dostarczają informacji umożliwiających prześledzenie drogi, którą przestępcy dostali się do firmowej sieci, a także odkrywają taktyki, narzędzia i procedury wykorzystywane przez cyberprzestępców.

Łącząc korzystanie ze strategii cyber deception z kompleksową platformą zarządzania bezpieczeństwem, przedsiębiorstwa mogą wykrywać i reagować na ataki, takie jak ransomware, na długo zanim złośliwe oprogramowanie spełni swoje zadanie.