Υπάρχουν πολλών ειδών ιοί και worms. Όσοι όμως ανήκουν στην κατηγορία των ransomware, όπως το πρόσφατο WannaCry είναι πανέξυπνοι. Δεν καταστρέφουν τον υπολογιστή, ούτε αποσπούν ευαίσθητα δεδομένα. Αυτό που κάνουν είναι να κρυπτογραφούν όλα τα σημαντικά αρχεία και να ζητούν λύτρα προκειμένου να τα απελευθερώσουν. Τα στατιστικά δεν είναι καθόλου καλά. Οι επιθέσεις ransomware το τελευταίο διάστημα στοχεύουν κατά κύριο λόγο τις επιχειρήσεις, διότι εκεί τα δεδομένα είναι πιο κρίσιμα και τα χρήματα περισσότερα.
Η πρόσφατη επίθεση του WannaCrypt (WannaCry) έδειξε με τον πιο γλαφυρό τρόπο, το πόσο ανίσχυροι είναι οι σύγχρονοι υπολογιστές μπροστά στους κυβερνοεγκληματίες. Μπορεί ο WannaCry να τέλειωσε τη δράση του άδοξα, πριν οι δημιουργοί του προλάβουν να μαζέψουν αρκετά χρήματα από τα θύματά τους, αλλά το ranswomware ήρθε για να μείνει. Στο μέλλον θα πρέπει να περιμένουμε όλο και περισσότερες επιθέσεις, οι οποίες πλέον στρέφονται κυρίως σε επιχειρήσεις.
Ο λόγος για την τάση αυτή είναι ξεκάθαρος: οι εγκληματίες θεωρούν ότι οι επιθέσεις με προγράμματα ransomware εναντίον επιχειρήσεων έχουν προοπτικές για μεγαλύτερα κέρδη σε σχέση με τις μαζικές επιθέσεις εναντίον ιδιωτών. Μία επιτυχημένη ransomware επίθεση εναντίον μιας εταιρίας μπορεί εύκολα να σταματήσει την εύρυθμη λειτουργεία της επιχείρησης για ώρες ακόμα και ημέρες, καθιστώντας τους ιδιοκτήτες των εταιρειών που έχει δεχτεί επίθεση πιο πιθανούς υποψήφιους για να πληρώσουν λύτρα.
Εάν κάποιος μολυνθεί από ransomware τα νέα δεν είναι καθόλου καλά. Στο σημείο αυτό να πούμε ότι η περίπτωση του πρόσφατου WannaCry το οποίο λόγω κάποιου σφάλματος στον κώδικά του, απενεργοποιήθηκε (τουλάχιστον η αρχική του μορφή) δεν είναι ο κανόνας, αλλά η εξαίρεση.
Εάν κάποιος μολυνθεί ουσιαστικά ο μόνος τρόπος να ανακτήσει τα αρχεία του είναι από κάποιο backup (εάν έχει φροντίσει να πάρει backup προφανώς) αλλιώς θα πρέπει να τα αποχαιρετήσει για πάντα. Και αυτό, διότι ο αλγόριθμος κρυπτογράφησης που χρησιμοποιείται από τα ransomware είναι τόσο ισχυρός (RSA-2048) που δεν υπάρχει περίπτωση να “σπάσει”. Επιπλέον, η αφαίρεση του ιού δεν συνεπάγεται αποκρυπτογράφηση των αρχείων τα οποία θα πρέπει να θεωρούνται χαμένα.
Εννοείται ότι σε καμία περίπτωση δεν θα πρέπει να ενδώσει και να πληρώσει τα λύτρα που ζητούν οι εγκληματίες, διότι αφενός έτσι προσφέρεται στήριξη στις παράνομες δραστηριότητες και αφετέρου κανείς δεν εγγυάται ότι πράγματι τα προσωπικά αρχεία θα αποκρυπτογραφηθούν, ενώ έχουν παρατηρηθεί και περιπτώσεις όπου το κλείδωμα επαναλαμβάνεται με τα λύτρα να αυξάνονται.
Πως μεταδίδεται το ransomware
Όπως και κάθε άλλος ιός, έτσι και το ransomware μολύνει έναν υπολογιστή από κάποιο e-mail ή αρχείο που κατέβηκε από κάποιο website. Τα ψεύτικα αρχεία όπως media players ή αναβαθμίσεις στο Flash είναι συνηθισμένος τρόπος διάδοσης των ransomware ιών, όπως επίσης και τα e-mails με θέμα που μοιάζει κάπως έτσι: «σας στέλνουμε το αποδεικτικό της πληρωμή σας», το οποίο περιέχει κάποιο επισυναπτόμενο αρχείο doc ή zip. Εάν κάποιος κάνει το λάθος και ανοίξει το επισυναπτόμενο αρχείο, η μόλυνση ξεκινά.
Από τη στιγμή που ένα ransomware βρεθεί στον υπολογιστή του θύματος θα ξεκινήσει να ψάχνει όλους τους δίσκους (εσωτερικούς, εξωτερικούς και δικτυακούς) για προσωπικά αρχεία (για παράδειγμα DOC, DOCX, XLS, PPT, PSD, PDF, EPS, AI, CDR, JPG, κ.λπ.), δηλαδή έγγραφα και αρχεία media. Δεν θα πειράξει όμως αρχεία συστήματος, διότι για να πετύχει το σκοπό του, χρειάζεται έναν λειτουργικό υπολογιστή. Επιπλέον, θα κρυπτογραφήσει και αρχεία που βρίσκονται στο δίκτυο, εφόσον οι δικτυακοί υπολογιστές ή φάκελοι έχουν αντιστοιχιστεί με κάποιο γράμμα δίσκου. Μάλιστα, εκτός από την ίδια την κρυπτογράφηση στο περιεχόμενο, το ransomware αλλάζει τόσο το όνομα των αρχείων όσο και την κατάληξη με τυχαία γράμματα και αριθμούς ούτως ώστε να μην μπορεί κανείς να καταλάβει ούτε από το όνομα για ποια αρχεία πρόκειται.
Όπως προαναφέραμε οι ιοί ransomware χρησιμοποιούν τον πανίσχυρο αλγόριθμο κρυπτογράφησης RSA-2048 (AES CBC 256-bit) που σημαίνει ότι ο μόνος τρόπος να αποκρυπτογραφήσει κανείς τα αρχεία είναι με το ιδιωτικό «κλειδί» του.
Μαζί με το κλείδωμα των προσωπικών αρχείων του θύματος, οι εγκληματίες δίνουν και οδηγίες ξεκλειδώματος οι οποίες περιλαμβάνουν αναλυτικά βήματα πληρωμής σε Bitcoin (για να μην είναι ανιχνεύσιμη η πληρωμή προφανώς). Εάν τα λύτρα δεν δοθούν σε κάποιο χρονικό διάστημα, διπλασιάζονται.
Αποκρυπτογράφηση τώρα
Εάν κάποιος μολυνθεί με κάποιο ransomware, το πρώτο πράγμα που πρέπει να κάνει είναι να το αφαιρέσει. Όλα τα εργαλεία internet security που κυκλοφορούν στην αγορά είναι σε θέση να εντοπίζουν και να αφαιρούν το ransomware.
Και φτάνουμε και στο πιο σημαντικό: μπορεί κανείς να πάρει τα αρχεία του πίσω; Δυστυχώς, όπως είπαμε και στην αρχή, τα πράγματα δεν είναι και τόσο απλά. Υπάρχουν διάφορα εργαλεία αποκρυπτογράφησης, αλλά δεν είναι γενικής φύσεως και απευθύνονται σε συγκεκριμένα ransomware, όπως για παράδειγμα το CoinVault, το Bitcryptor, το TeslaCrypt και το πιο πρόσφατο WannaCry κ.λπ.
Μάλιστα, η Cisco προσφέρει ένα τέτοιο εργαλείο αποκρυπτογράφησης το Talos TeslaCrypt Decryption το οποίο απευθύνεται σε όσους έχουν μολυνθεί με το TeslaCrypt. Στη συγκεκριμένη περίπτωση, οι μηχανικοί της Cisco μέσω reverse engineering κατάφεραν να “αποκρυπτογραφήσουν” την τεχνολογία του TeslaCrypt και να επιτρέψουν την ανάκτηση των προσωπικών αρχείων.
Γενικό εργαλείο αποκρυπτογράφησης εν ενεργεία ransomware, δεν υπάρχει!
Android & Ransomware: καθόλου καλά τα νέα
Μια πρόσφατη έκθεση της Kaspersky αναφέρει ότι η αύξηση του αριθμού των χρηστών που δέχθηκαν επίθεση ransomware σε Android συσκευές μέσα σε ένα μόλις έτος, ήταν τετραπλάσιος.
Σε αντίθεση με τις απειλές που αντιμετωπίζουν οι υπολογιστές, όπου τα ransomware προγράμματα που χρησιμοποιούν διαδικασίες κρυπτογράφησης (crypto-ransomware) έχουν εκτοξευθεί στα ύψη, ενώ ο αριθμός των επιθέσεων που κλειδώνουν οθόνες μειώνεται (screen-blocker), το Android ransomware έχει ως επί το πλείστον τη μορφή screen-blocker. Αυτό οφείλεται στο γεγονός ότι οι Android συσκευές δεν μπορούν να αφαιρέσουν τα screen-blocker με τη βοήθεια εξωτερικού hardware, γεγονός που καθιστά αυτά τα προγράμματα τόσο αποτελεσματικά, όσο τα crypto-ransomware για τους υπολογιστές.
Το ποσοστό των χρηστών που δέχτηκαν επιθέσεις με mobile ransomware σε σχέση με τους χρήστες που δέχτηκαν επίθεση από κάθε είδους κακόβουλο λογισμικό για Android συσκευές αυξήθηκε επίσης: από 2,04% το 2014-2015, σε 4,63% το 2015-2016.
Μόλις τέσσερις ομάδες κακόβουλων λογισμικών ήταν υπεύθυνες για πάνω από το 90% του συνόλου των επιθέσεων που καταγράφηκαν εκείνη την περίοδο. Πρόκειται για τις κακόβουλες οικογένειες Small, Fusob, Pletor και Svpeng.
2017: η χρονιά του ransomware
Με βάση τις πληροφορίες που συγκεντρώθηκαν από τα εργαστήρια ερευνών της ESET σε όλο τον κόσμο, η έκθεση “Trends 2017: Security held ransom” δείχνει ότι και το 2017 θα αποτελέσει χρονιά ransomware. Όπως αναφέρεται στην έκθεση: “Μία νέα τάση διαφαίνεται στον ορίζοντα: Το Ransomware of Things ή RoT, δηλαδή η δυνατότητα των εγκληματιών του κυβερνοχώρου να επιτίθενται σε συσκευές κρατώντας τις ‘όμηρους’ και, στη συνέχεια, να απαιτούν την καταβολή λύτρων με αντάλλαγμα την αποκατάσταση του ελέγχου από το χρήστη”.
Με το κόστος της εγκληματικότητας στον κυβερνοχώρο να έχει αυξηθεί περισσότερο από 200% κατά την τελευταία πενταετία, η ESET θέλησε με την έκθεση αυτή όχι μόνο να βοηθήσει τις επιχειρήσεις και τους χρήστες να κατανοήσουν τις προηγμένες τακτικές και τεχνικές που χρησιμοποιούνται από τους χάκερ, αλλά και να συντελέσει στην προστασία τους από τις απειλές κατά το 2017.
Είναι σημαντικό όλοι οι χρήστες να έχουν επίγνωση από τι είδους επιθέσεις κινδυνεύουν, καθώς το έγκλημα στον κυβερνοχώρο έχει σημαντικές επιπτώσεις: επηρεάζει τους οικονομικούς πόρους που διαθέτουν χρήστες και οργανισμοί για να προστατευτούν, και επιδρά στη φήμη, πλήττοντας την σε περίπτωση που πέσουν θύματα επίθεσης. Η έκθεση υπογραμμίζει επίσης τη σημασία της συνεχούς εκπαίδευσης ως μία από τις βασικές προϋποθέσεις για να παραμείνει κανείς ασφαλής όσο βρίσκεται online και παρουσιάζει απλά βήματα για την αύξηση του γνωστικού επιπέδου στους αναγνώστες.
Να η ευκαιρία για το κανάλι
Η ψηφιακή ασφάλεια αποτελεί (ή τουλάχιστον θα πρέπει να αποτελεί) την νούμερο ένα προτεραιότητα των σύγχρονων επιχειρήσεων. Μια ειδική περίπτωση αποτελούν τα χρηματοπιστωτικά ιδρύματα τα οποία βρίσκονται συνεχώς σε κατάσταση αυξημένου ρίσκου ψηφιακών επιθέσεων (όχι κατ’ ανάγκη μέσω ransomware). Έτσι, οι οργανισμοί αυτοί θα πρέπει να εντείνουν την ασφάλειά τους, ιδιαίτερα σε μια εποχή όπου οι πιθανοί τρόποι εισόδου κακόβουλου λογισμικού πολλαπλασιάζονται.
Μάλιστα, όπως προκύπτει από διάφορες έρευνες που έχουν πραγματοποιηθεί, οι δαπάνες των χρηματοπιστωτικών οργανισμών στον τομέα της ψηφιακής ασφάλειας είναι τρεις φορές μεγαλύτερες σε σύγκριση με οργανισμούς άλλων κλάδων.
Μετά την πρόσφατη παγκόσμια επίθεση του WannaCry και των πολλών εκδόσεών του που έχουν ήδη αρχίσει να κάνουν την εμφάνισή τους, οι επιχειρήσεις αντιλαμβάνονται ότι το ransomware δεν είναι κάτι που απασχολεί μόνο τους απλούς χρήστες. Τα εταιρικά δεδομένα έχουν πολύ μεγαλύτερη αξία και το κόστος αποκατάστασης από μια επίθεση ransomware είναι τεράστιο και πολλές φορές ανυπολόγιστο. Τα κρούσματα στην περίπτωση του WannaCry προήρθαν από τον τομέα των τηλεπικοινωνιών, της υγειονομικής περίθαλψης (κυρίως στο Ηνωμένο Βασίλειο), καθώς και από διάφορους εμπορικούς και εταιρικούς ιστότοπους, σε νοσοκομεία και σε σχολεία.
Οι εταιρείες IT security συστήνουν σε καμία περίπτωση να μην πληρώνονται τα λύτρα που ζητούνται από τους κυβερνοεγκληματίες, αλλά το δίλλημα για τη διοίκηση της εταιρείας που έχει δεχθεί επίθεση, υπάρχει.
Καθώς λοιπόν οι επιθέσεις malware στρέφονται πλέον στις επιχειρήσεις και το ransomware έχει γίνει μια παγκόσμια μάστιγα με στόχο την απόσπαση χρημάτων, το κανάλι των συνεργατών οφείλει να δραστηριοποιηθεί. Θα πρέπει αφενός να γνωρίζει για τον κίνδυνο και να ενημερώσει τους πελάτες του (υφιστάμενους και δυνητικούς), ενώ από την άλλη θα πρέπει να γνωρίζει για τις νέες τεχνολογίες στο χώρο του IT security, την προστασία των servers, e-mail gateways, endpoints και φυσικά mobile συσκευών.
Ο εφησυχασμός μπορεί να αποτελέσει όπλο στα χέρια των κυβερνοεγκληματιών. Επομένως, απαιτείται εγρήγορση από όλους.
Στις 12 Μαΐου, το WannaCryptor (WannaCry) ransomware μόλυνε χιλιάδες υπολογιστές σε όλο τον κόσμο. Μάλιστα σε μόλις 24 ώρες, ο αριθμός των περιστατικών ξεπέρασε τις 185.000 μηχανές σε περισσότερες από 100 χώρες. Η επίθεση ήταν ιδιαίτερα επικίνδυνη για τις επιχειρήσεις επειδή αρκεί να μολυνθεί ένα μόνο endpoint για να εξαπλωθεί η επίθεση σε όλο το δίκτυο και μερικές φορές ακόμη και σε άλλες χώρες σε άλλες θυγατρικές. Το γεγονός αυτό οφείλεται στο ότι το ransomware αξιοποίησε μια πρόσφατα εντοπισμένη ευπάθεια, επηρεάζοντας ένα ευρύ φάσμα λειτουργικών συστημάτων των Windows, συμπεριλαμβανομένων των 2008, 2008 R2, 7, 7 SP1. Για να καταλάβουμε τη σπουδαιότητα της κατάστασης αρκεί να πούμε ότι η Microsoft έσπευσε να κυκλοφορήσει σχετικό patch και για τα Windows XP, την υποστήριξη των οποίων (όπως και των παραπάνω server εκδόσεων) έχει σταματήσει εδώ και μερικά χρόνια.
Οι επιθέσεις του συγκεκριμένου ransomware προκάλεσαν σοβαρά προβλήματα σε οργανισμούς όπως νοσοκομεία, εταιρείες τηλεπικοινωνιών και επιχειρήσεις φυσικού αερίου και κοινής ωφέλειας. Μεταξύ των οργανισμών που δέχτηκαν τα χειρότερα κτυπήματα είναι η Εθνική Υπηρεσία Υγείας (NHS) στο Ηνωμένο Βασίλειο.
Τι ακριβώς κάνει το WannaCry;
Όπως κάθε ransomware που… σέβεται τον εαυτό του, έτσι και το συγκεκριμένο, άπαξ και μολύνει έναν υπολογιστή ξεκινά το κλείδωμα των αρχείων του με ισχυρή κρυπτογράφηση ζητώντας λύτρα για να τα αποκρυπτογραφήσει. Στην προκειμένη περίπτωση τα λύτρα ήταν ύψους 300 δολαρίων, πληρωτέα σε Bitcoin για να μην μπορούν να εντοπιστούν.
Το WannaCry εκμεταλλεύθηκε μια ευπάθεια που υπάρχει στις περισσότερες εκδόσεις των Windows επιτρέποντας σε έναν απομακρυσμένο εισβολέα να εκτελεί κώδικα στον ευάλωτο υπολογιστή και να χρησιμοποιεί αυτόν τον κώδικα για να «φυτέψει» ransomware και να το εκτελέσει αυτόματα χωρίς να χρειαστεί κάποια ενέργεια από τον χρήστη. Αυτή η πρωτόγνωρη συμπεριφορά, το καθιστά το τέλειο εργαλείο για επίθεση σε συγκεκριμένα περιβάλλοντα ή υποδομές, όπως servers που εκτελούν μια ευάλωτη έκδοση του Server Message Block (SMB protocol).
Η δράση του WannaCry διακόπηκε απότομα όταν ένας Βρετανός ερευνητής ειδικός σε θέματα ασφάλειας ανακάλυψε ένα bug στον κώδικα. Αυτό σημαίνει ότι απλά σταμάτησε η εξάπλωση του ιού. Η ζημιά που προκάλεσε δεν διορθώνεται αυτόματα (έχουν πάντως κυκλοφορήσει διάφορα εργαλεία από κατασκευαστές antivirus που αποκρυπτογραφούν τα κλειδωμένα αρχεία), ενώ είναι πολύ πιθανό να κυκλοφορήσουν κι άλλες παραλλαγές του στο κοντινό μέλλον.
Άρθρο εκ μέρους της BlueSoft
Bitdefender: η απάντηση στη μάστιγα του ransomware
Είναι γεγονός ότι μαζί με την εξέλιξη της τεχνολογίας, εξελίσσεται το ίδιο και η τεχνολογία των ιών κάθε είδους, οι οποίοι μεταλλάχθηκαν σε ένα πανίσχυρο όπλο στα χέρια των cyber criminals. Ένα τέτοιο όπλο είναι και το ransomware που κρυπτογραφεί τα δεδομένα του θύματος. Ο θύτης στη συνέχεια ζητάει λύτρα για την αποκρυπτογράφηση.
Όσο λοιπόν προχωρά η εξέλιξη της τεχνολογίας των malwares άλλο τόσο (και περισσότερο) πρέπει να εξελίσσεται και η τεχνολογία της άμυνας. Η Bitdefender σταθερά στις κορυφαίες θέσεις στον τομέα του cyber security κινείται διαρκώς προς αυτή την κατεύθυνση.
Οι τεχνολογίες της σίγουρα δεν στέκονται στην πατροπαράδοτη μέθοδο των signatures. Η άμυνα οργανώνεται σε 4 μεγάλους τομείς: πρόληψη, πρόβλεψη, ανίχνευση και απόκριση.
Πέρα λοιπόν της ανίχνευσης μέσω των υπογραφών, πολύ βασικό ρόλο η machine learning τεχνολογία. Η scan engine της Bitdefender έχει εγκατασταθεί σε 500 εκ. endpoints παγκοσμίως. Κάθε endpoint ενημερώνει διαρκώς τη βάση δεδομένων της Bitdefender για νέα malwares και κακόβουλες τεχνικές. Το αποτέλεσμα είναι ότι όχι μόνο το detection rate είναι εξαιρετικά υψηλό, όχι μόνο τα false positives είναι σε μηδενικό επίπεδο αλλά είναι δυνατό να προβλέπεται αν μία εφαρμογή είναι κακόβουλη μόνο λόγω της συμπεριφοράς της.
Πρόσφατο παράδειγμα είναι ο Wannacry ο οποίος αν και ήταν πρωτοεμφανιζόμενος αποκρούστηκε αμέσως μόνο λόγω της συμπεριφοράς του χωρίς να απαιτείται από τους χρήστες της Bitdefender καμία απολύτως ενέργεια. Με αυτό τον τρόπο μάλιστα η Bitdefender όχι μόνο προστάτεψε τους χρήστες της αλλά βοήθησε με τον τρόπο της να μην εξαπλωθεί περισσότερο η επίθεση.
Εκτός της machine learning τεχνολογίας η Bitdefender μπορεί να αμυνθεί και σε 0-day threats που εκμεταλλεύονται ευπάθειες του λειτουργικού ή άλλων εφαρμογών (Java, Flash κτλ). Για τις απειλές αυτές, η Bitdefender χρησιμοποιεί Advanced Anti-Exploit τεχνικές για να τις γνωρίσει καταρχήν και να τις εξουδετερώσει στη συνέχεια. Επιπλέον, παρακολουθούνται διαρκώς όλα τα processes του λειτουργικού.
Μια ύποπτη εφαρμογή δεν θα διακοπεί αμέσως, αποφεύγοντας ένα πιθανό false positive, αλλά θα παρακολουθείται και θα βαθμολογείται για κάθε ενέργεια της. Όταν το συνολική «βαθμολογία» ξεπεράσει ένα συγκεκριμένο threshold θα οριστεί κακόβουλη, θα διακοπεί και θα γίνουν roll back όλες οι ενέργειες της καθαρίζοντας το σύστημα από τα κατάλοιπα της.
Μία επιπλέον ασπίδα της εταιρικής της λύσης είναι το Ransomware vaccine που κλειδώνει συγκεκριμένα μέρη του λειτουργικού στα οποία θα ενεργήσουν τα γνωστά ransomware σιγουρεύοντας με αυτό τον τρόπο ότι τα ransomwares δεν θα δράσουν αν βρουν τρόπο να διεισδύσουν στο σύστημα.
Οι cyber criminals είναι αμείλικτοι για αυτό και η λύση ασφαλείας που θα εγκαταστήσουμε να κινείται στην ανάπτυξη νέων τεχνολογιών που θα βεβαιώνουν ότι είμαστε ασφαλείς.
Για περισσότερες πληροφορίες επικοινωνήστε με την Blue Soft & IT
Ιθάκης 8, Χαλάνδρι, τηλ: 215-5353030, info@bluesoft.gr
CISCO: Εντοπίστε και νικήστε το WannaCry
Το WannaCry είναι ένα νέο ransomware, το οποίο εστιάζει σε μια ευπάθεια του λειτουργικού συστήματος Microsoft Windows. Ως εκ τούτου, μετά από μια επιτυχημένη επίθεση, η πλειοψηφία των δεδομένων του θύματος κρυπτογραφούνται και δεν μπορούν να χρησιμοποιηθούν. Οι επιτιθέμενοι απαιτούν λύτρα της τάξεως των 300$ έως 600$ ανά υπολογιστή για να απελευθερώσουν τα υπό «ομηρία» δεδομένα.
Δείτε περισσότερα εδώ…