Ransomware: Να πληρώσει κανείς ή να μην πληρώσει;

Το τμήμα έρευνας της Check Point Software Technologies, Check Point Research (CPR), πρόσφατα αποκάλυψε ότι ο μέσος εβδομαδιαίος αριθμός επιθέσεων ransomware αυξήθηκε κατά 93% τους τελευταίους 12 μήνες. Κάθε εβδομάδα, περισσότεροι από 1.200 οργανισμοί παγκοσμίως πέφτουν θύματα επίθεσης ransomware και σε κίνδυνο βρίσκονται όλες οι επιχειρήσεις χωρίς εξαιρέσεις.

Σύμφωνα με την Cybersecurity Ventures, οι ζημιές που θα προκληθούν από το ransomware θα φτάσουν φέτος περίπου τα 20 δισεκατομμύρια δολάρια, δηλαδή θα αυξηθούν κατά 57 φορές σε σχέση με το 2015. Μέχρι το 2031, το κόστος των περιστατικών ransomware θα μπορούσε να ξεπεράσει ακόμη και το δυσθεώρητο ποσό των 265 δισεκατομμυρίων δολαρίων.

Ο αριθμός των επιθέσεων ransomware αυξάνεται για έναν απλό λόγο, οι χάκερ πληρώνονται. Η προθυμία για πληρωμή δημιουργεί έναν επικίνδυνο προηγούμενο και αυξάνει τα κίνητρα των επιτιθέμενων. Επιπλέον, η ασφάλιση κινδύνων στον κυβερνοχώρο συνηθίζεται όλο και περισσότερο, επομένως οι εταιρείες δεν διστάζουν να ανταποκριθούν στις απαιτήσεις των εγκληματιών στον κυβερνοχώρο, επιδεινώνοντας περαιτέρω το πρόβλημα.

Η αύξηση των επιθέσεων σχετίζεται επίσης με τη διαθεσιμότητα απειλών. Πολλές ομάδες χάκερ προσφέρουν υπηρεσίες ransomware, οπότε ο καθένας μπορεί να νοικιάσει αυτόν τον τύπο απειλής, όπως υποδομή, διαπραγμάτευση με θύματα ή ιστότοπους εκβιασμών όπου μπορούν να δημοσιεύονται κλεμμένες πληροφορίες και στη συνέχεια τα λύτρα μοιράζονται μεταξύ των «συνεργατών».

Ωστόσο, μια επίθεση ransomware συχνά δεν ξεκινά με ransomware. Συχνά μπορεί να ξεκινά με ένα «απλό» email ηλεκτρονικού «ψαρέματος». Επιπλέον, οι ομάδες χάκερ συχνά συνεργάζονται. Για παράδειγμα, στις επιθέσεις του Ryuk ransomware, το κακόβουλο λογισμικό Emotet χρησιμοποιήθηκε για να διεισδύσει στο δίκτυο, στη συνέχεια το δίκτυο μολύνθηκε με Trickbot και τέλος το ransomware κρυπτογράφησε τα δεδομένα.

Πώς μπορούν οι επιχειρήσεις να γνωρίζουν αν έχουν πέσει θύματα επίθεσης ransomware και πώς πρέπει να αντιδράσουν; Αν δεν προλάβουν εγκαίρως την επίθεση, είναι σχετικά εύκολο να το διαπιστώσουν, καθώς θα λάβουν ένα μήνυμα που θα τους ζητά λύτρα και δεν θα έχουν πρόσβαση στα δεδομένα τους.

Επιπλέον, οι εγκληματίες στον κυβερνοχώρο βελτιώνουν συνεχώς τις τεχνικές τους για να αυξάνουν την πίεση για πληρωμή. Αρχικά, το ransomware «απλώς» κρυπτογραφούσε δεδομένα και απαιτούσε λύτρα για να τα ξεκλειδώσει. Σύντομα οι επιτιθέμενοι πρόσθεσαν μια δεύτερη φάση και έκλεβαν πολύτιμες πληροφορίες πριν από την κρυπτογράφηση, απειλώντας να τις δημοσιοποιήσουν εάν δεν καταβάλλονταν τα λύτρα. Περίπου το 40% όλων των νέων οικογενειών ransomware χρησιμοποιούν κλοπή δεδομένων κατά κάποιο τρόπο εκτός από την κρυπτογράφηση. Επιπλέον, πρόσφατα είδαμε και μια τρίτη φάση, κατά την οποία οι επιτιθέμενοι προσεγγίζουν συνεργάτες ή πελάτες των εταιρειών – θύματα για λύτρα, μια νέα τεχνική που ονομάζεται triple extortion.

Το Incident Response Team της Check Point Software που έχει αντιμετωπίσει πολυάριθμες περιπτώσεις ransomware σε οργανισμούς σε όλο τον κόσμο, συνιστά να ακολουθήσετε τα ακόλουθα βήματα κατά τη διάρκεια μιας επίθεσης ransomware:

1) Μείνετε Ψύχραιμοι

Εάν ο οργανισμός σας πέσει θύμα επίθεσης ransomware, μην πανικοβληθείτε. Επικοινωνήστε αμέσως με την ομάδα ασφαλείας σας και τραβήξτε μια φωτογραφία του σημειώματος λύτρων, θα είναι χρήσιμο για την επιβολή του νόμου και την περαιτέρω έρευνα.

2) Απομονώστε τα παραβιασμένα συστήματα

Αποσυνδέστε αμέσως τα μολυσμένα συστήματα από το υπόλοιπο δίκτυο για να αποτρέψετε περαιτέρω ζημιές. Ταυτόχρονα, εντοπίστε την πηγή της μόλυνσης.

3) Προσοχή στα αντίγραφα ασφαλείας

Οι επιτιθέμενοι γνωρίζουν πολύ καλά ότι οι οργανισμοί θα προσπαθήσουν να ανακτήσουν τα δεδομένα τους από αντίγραφα ασφαλείας για να αποφύγουν την καταβολή των λύτρων. Αυτός είναι ο λόγος για τον οποίο μία από τις φάσεις της επίθεσης είναι συχνά η προσπάθεια εντοπισμού και κρυπτογράφησης ή διαγραφής αντιγράφων ασφαλείας. Επίσης, μην συνδέετε ποτέ εξωτερικές συσκευές σε μολυσμένες συσκευές. Η ανάκτηση κρυπτογραφημένων δεδομένων μπορεί να προκαλέσει αλλοίωση, λόγω ελαττωματικού κλειδιού για παράδειγμα.

4) Καμία επανεκκίνηση ή συντήρηση συστήματος

Απενεργοποιήστε τις αυτόματες ενημερώσεις και άλλες εργασίες συντήρησης στα μολυσμένα συστήματα. Η διαγραφή προσωρινών αρχείων ή η πραγματοποίηση άλλων αλλαγών θα μπορούσε να περιπλέξει άσκοπα τις έρευνες και την αποκατάσταση. Ταυτόχρονα, μην κάνετε επανεκκίνηση των συστημάτων, καθώς ορισμένες απειλές ενδέχεται να αρχίσουν στη συνέχεια να διαγράφουν αρχεία.

5) Συνεργαστείτε

Στην καταπολέμηση του εγκλήματος στον κυβερνοχώρο και ειδικότερα του ransomware, η συνεργασία είναι βασική. Επικοινωνήστε λοιπόν με τις αρχές και τους εθνικούς φορείς κυβερνοασφάλειας και μην διστάσετε να επικοινωνήσετε με την ειδική ομάδα αντιμετώπισης συμβάντων μιας αξιόπιστης εταιρείας ασφάλειας στον κυβερνοχώρο. Ενημερώστε τους υπαλλήλους για το περιστατικό, συμπεριλαμβανομένων οδηγιών σχετικά με το πώς να ενεργήσουν σε περίπτωση ύποπτης συμπεριφοράς.

6) Προσδιορίστε τον τύπο του ransomware

Εάν το μήνυμα των επιτιθέμενων δεν αναφέρει άμεσα τον τύπο του ransomware, τότε μπορείτε να χρησιμοποιήσετε ένα από τα δωρεάν εργαλεία που διατίθενται και να επισκεφθείτε επίσης, τον ιστότοπο No More Ransom project, όπου ίσως βρείτε ένα εργαλείο αποκρυπτογράφησης ειδικά για το δικό σας ransomware.

7) Να πληρώσει κανείς ή να μην πληρώσει;

Εάν η επίθεση ransomware είναι επιτυχής, ο οργανισμός βρίσκεται αντιμέτωπος με την επιλογή εάν θα πληρώσει τα λύτρα ή όχι. Σε κάθε περίπτωση, οι εταιρείες πρέπει πάντα να επιστρέφουν στην αρχή και να ανακαλύπτουν τους λόγους για τους οποίους συνέβη το περιστατικό. Είτε ήταν ανθρώπινος παράγοντας είτε η τεχνολογία που απέτυχε, χρειάζεται να ξαναδούν όλες τις διαδικασίες και να επανεξετάσουν ολόκληρη τη στρατηγική για να διασφαλίσουν ότι παρόμοιο περιστατικό δεν θα ξανασυμβεί ποτέ. Η διαδικασία αυτή είναι απαραίτητη ανεξάρτητα από το αν θα πληρώσουν τα λύτρα ή όχι. Είναι λάθος να θωρήσει κάποιος ότι με την ανάκτηση δεδομένων το θέμα θεωρείται λήξαν.

Άρα να πληρώσω ή να μην πληρώσω; Η απάντηση δεν είναι τόσο απλή όσο φαίνεται αρχικά. Ενώ τα ποσά είναι μερικές φορές εκατοντάδες χιλιάδες ή εκατομμύρια δολάρια, οι διακοπές λειτουργίας κρίσιμων συστημάτων μπορεί να ξεπεράσουν αυτά τα ποσά. Είναι σημαντικό να θυμάστε ωστόσο, ότι ακόμη και αν πληρώσετε τα λύτρα, αυτό δεν σημαίνει ότι τα δεδομένα, ή έστω μέρος αυτών, θα αποκρυπτογραφηθούν πραγματικά. Υπάρχουν ακόμη και γνωστές περιπτώσεις όπου οι επιτιθέμενοι έχουν «πειράξει» τους κώδικες έτσι ώστε οι οργανισμοί να μην μπορούν να ανακτήσουν τα δεδομένα ακόμη και αν το ήθελαν.

Μη βιαστείτε να πάρετε μια απόφαση, εξετάστε προσεκτικά όλες τις επιλογές σας. Η καταβολή των λύτρων θα πρέπει να είναι πραγματικά η τελευταία λύση.

Πώς μπορείτε να ελαχιστοποιήσετε τον κίνδυνο να είστε το επόμενο θύμα ransomware;

1. Να είστε ιδιαίτερα προσεκτικοί τα Σαββατοκύριακα και τις αργίες. Οι περισσότερες επιθέσεις ransomware κατά το τελευταίο έτος πραγματοποιήθηκαν τα Σαββατοκύριακα ή τις αργίες, όταν οι οργανισμοί είναι πιθανότερο να αντιδράσουν με καθυστέρηση σε μια απειλή.
2. Εγκαταστήστε τακτικά ενημερώσεις και επιδιορθώσεις. Το WannaCry έπληξε σοβαρά τους οργανισμούς σε όλο τον κόσμο τον Μάιο του 2017, μολύνοντας περισσότερους από 200.000 υπολογιστές μέσα σε τρεις ημέρες. Παρόλα αυτά, ένα patch για την ευπάθεια EternalBlue που ήταν αυτή που εκμεταλλεύτηκαν οι χάκερ, ήταν διαθέσιμο ένα μήνα πριν από την επίθεση.
3. Εγκαταστήστε anti-ransomware. Η προστασία κατά του ransomware παρακολουθεί κάθε ασυνήθιστη δραστηριότητα, όπως το άνοιγμα και η κρυπτογράφηση μεγάλου αριθμού αρχείων.
4. Η εκπαίδευση είναι ουσιαστική για την προστασία. Πολλές κυβερνοεπιθέσεις ξεκινούν με ένα στοχευμένο μήνυμα ηλεκτρονικού ταχυδρομείου που δεν περιέχει κακόβουλο λογισμικό, αλλά χρησιμοποιεί κοινωνικές πρακτικές για να παρασύρει τον χρήστη να κάνει κλικ σε έναν επικίνδυνο σύνδεσμο.
5. Οι επιθέσεις ransomware δεν ξεκινούν με ransomware, γι’ αυτό προσέξτε άλλους κακόβουλους κώδικες, όπως το Trickbot ή το Dridex, που διεισδύουν σε οργανισμούς και προετοιμάζουν το έδαφος για μια επακόλουθη επίθεση ransomware.
6. Η δημιουργία αντιγράφων ασφαλείας και η αρχειοθέτηση δεδομένων είναι απαραίτητη. Εάν κάτι πάει στραβά, τα δεδομένα σας θα πρέπει να είναι εύκολα και γρήγορα ανακτήσιμα.
7. Περιορίστε την πρόσβαση μόνο σε απαραίτητες πληροφορίες και τμηματική πρόσβαση. Αν θέλετε να ελαχιστοποιήσετε τις επιπτώσεις μιας πιθανώς επιτυχημένης επίθεσης, τότε είναι σημαντικό να διασφαλίσετε ότι οι χρήστες έχουν πρόσβαση μόνο στις πληροφορίες και τους πόρους που απολύτως χρειάζονται για να κάνουν τη δουλειά τους.