Co kwartał FortiGuard Labs publikuje raporty na temat zagrożeń. W ostatnim podsumowaniu pojawiła się informacja o tym, że co najmniej dwie znaczące rodziny ransomware są dostępne w modelu RaaS (Ransomware-as-a-Service). Chodzi o programy Sodinokibi oraz Nemty.
Dostępność szkodliwego oprogramowania w modelu as-a-service w połączeniu z nowymi technikami umożliwiającymi dostarczanie coraz bardziej wyrafinowanego i szkodliwego oprogramowania, odgrywa ogromną rolę w zwiększaniu skuteczności ataków.
Nowe zagrożenia
Według doniesień ransomware GandCrab zarobił ponad 2 miliardy dolarów dla swoich deweloperów w ciągu niespełna dwóch lat. Duża część tej kwoty trafiła do jego twórców dzięki wykorzystaniu RaaS do dystrybucji złośliwego oprogramowania. Dzięki stworzeniu sieci partnerskiej byli w stanie szeroko rozpowszechnić swoje oprogramowanie i znacząco zwiększyć swoje przychody.
Dodanie dwóch dodatkowych, powszechnych wariantów oprogramowania ransomware do modelu sprzedaży RaaS sprawiło, że nie tylko nadal stanowi ono poważne i aktualne zagrożenie dla organizacji korporacyjnych. Jednocześnie można się spodziewać także znacznego wzrostu liczby i nasilenia ataków w obecnym roku. Korzystając z modelu RaaS, autorzy złośliwego oprogramowania, takiego jak Sodinokibi i Nemty, znacznie obniżają poprzeczkę do przeprowadzania ataków, sprawiając, że staje się ono jeszcze bardziej dostępne i zyskowne dla stale rosnącej liczby cyberprzestępców.
Możliwości działania
W obliczu tych zagrożeń organizacje są zmuszone podjąć odpowiednie kroki, które zapewnią im skuteczną ochronę sieci i zasobów sieciowych przed zagrożeniem ransomeware. Poniżej prezentujemy listę 15 aktywności, które firmy mogą zacząć wdrażać od ręki:
- Korzystaj z łatek i aktualizacji systemów operacyjnych, urządzeń i oprogramowania.
- Używaj narzędzi inwentaryzacyjnych i list IOC, aby ustalić, które zasoby są najbardziej narażone na atak.
- Aktualizuj sygnatury sieciowe IPS oraz narzędzia antywirusowe i antymalware.
- Twórz kopie zapasowe systemów i przechowuj je w trybie offline razem ze wszystkimi urządzaniami koniecznymi do ich odzyskiwania.
- Wykonuj testy naprawcze i wstępnie rozdzielaj obowiązki tak, by w przypadku naruszeń szybko zostały podjęte działania serwisowe, a system został jak najszybciej przywrócony do stanu sprzed ataku.
- Aktualizuj zabezpieczenia poczty mailowej i bramy zabezpieczeń internetowych, tak, by weryfikowały załączniki, witryny i pliki pod kątem wyszukiwania złośliwego oprogramowania.
- Używaj sandboxa do izolowania i analizowania nowych lub wcześniej nierozpoznanych plików w bezpiecznym środowisku.
- Blokuj reklamy i serwisy społecznościowe, które nie mają znaczenia biznesowego.
- Korzystaj z modelu bezpieczeństwa Zero Trust, który obejmuje ocenę wirusów, tak by jej użytkownicy nie mogli zainfekować aplikacji, danych lub usług o kluczowym znaczeniu dla firmy.
- Sprawdzaj i blokuj urządzenia, które nie spełniają wymagań polityki bezpieczeństwa.
- Korzystaj z „białej listy” aplikacji, dzięki której zapobiegniesz pobieraniu lub wykorzystywaniu nieautoryzowanych aplikacji.
- Wykorzystaj CASB (Cloud Access Security Broker), aby zapewnić spójne warunki bezpieczeństwa autoryzowanych aplikacji SaaS, pozostałe blokuj.
- Podobnie jak w ochronie przeciwpożarowej, podziel swoją sieć na strefy bezpieczeństwa, aby unikać rozprzestrzeniania się szkodliwego oprogramowania.
- Korzystaj z narzędzi informatyki śledczej (Forensic), w celu identyfikacji, skąd dotarło do ciebie zagrożenie, jak długo rezydowało oraz by upewnić się, że zostało usunięte z każdego urządzenia i nie zaatakuje go ponownie.
- Planuj działania wokół najsłabszego ogniwa w Twoim systemie zabezpieczeń – ludzi, którzy korzystają z urządzeń i aplikacji. Konieczne będą szkolenia, jednak dają one ograniczone możliwości. W eliminacji większości, jeśli nie wszystkich wiadomości phishingowych i złośliwych załączników, pomoże dobór odpowiednich narzędzi.
Chcesz dowiedzieć się więcej na ten temat?
Przeczytaj poniższe artykuły:
https://threatpost.com/ransomware-family-10-ways-take-action/151080/
