de Alina Constantinescu
la 25 Aug. 2016
Este un scenariu de cosmar pentru orice manager IT sa primeasca un apel in urma caruia sa afle ca sute de computere au fost infectate cu ransomware, ceea ce face ca sisteme critice sa fie offline iar operatiunile organizatiei sunt puse in pericol.
Asa s-a intamplat la inceputul acestui an in cazul unei mari organizatii care a fost victima unui atac de tip ransomware atent planuit si executat. Cercetarile Symantec au relevat ca acesta a fost exemplul perfect al unei forme noi de atac cu specific corporatist. Desi majoritatea gruparilor care se ocupa cu atacuri de tip ransomware s-au axat pe campanii la scara larga si nediscriminatorii, cateva grupari au inceput sa vizeze in mod special anumite organizatii, in vederea paralizarii complete a operatiunilor si obtinerii unei rascumparari substantiale.
Multe dintre aceste atacuri folosesc acelasi nivel inalt de expertiza intalnit in atacurile de ciber-spionaj, utilizand instrumente care includ exploatarea vulnerabilitatilor software si a licentelor software, pentru a patrunde si pentru a parcurge reteaua unei organizatii.
Atacatorii din exemplul dat au procedat la fel, castigand teren in reteaua organizatiei prin exploatarea unei vulnerabilitati intr-unul dintre servere. Folosind cateva dintre instrumentele de hacking disponibile oricui, atacatorii au descoperit reteaua victimei si au infectat cat mai multe computere, cu ajutorul unei variante de ransomware necunoscute pana atunci.
Atacul a cauzat o perturbare semnificativa pentru organizatie, insa ar fi putut fi mult mai rau. Din fericire, sistemele critice au revenit rapid online si multe dintre datele criptate de ransomware au putut fi restabilite din backup-uri.
Atacurile de acest tip sunt inca relativ rare, insa acum, dupa ce s-a dovedit ca sunt posibile, oportunitatea de a santaja organizatii bine finantate poate fi o motivatie pentru alte atacuri.
Tendinte ingrijoratoare
Cea mai recenta cercetare a Symantec cu privire la ransomware a descoperit ca acest tip de atac a devenit unul dintre cele mai mari pericole cu care se confrunta in prezent companiile si utilizatorii. 2015 a fost un an record, cu 100 de familii ransomware noi descoperite. Cea mai mare parte a acestora reprezinta acum o forma mai periculoasa a amenintarii: cripto-ransomware, care poate sa cripteze puternic fisierele victimelor.
Cererea de rascumparare medie a crescut de peste doua ori si este acum de 679 de dolari, de la 294 dolari, cat era la finalul anului 2015. Anul acesta s-a inregistrat si un nou record in ceea ce priveste cererea de rascumparare, cu o amenintare cunoscuta sub numele 7ev3n-HONE$T (Trojan.Cryptolocker.AD) care solicita peste 5.000 dolari per computer.
Cele mai afectate tari si industrii
Cu 31% din infectarile la nivel global, S.U.A. continua sa fie cea mai afectata de ransomware. Italia, Japonia, Olanda, Germania, Regatul Unit, Canada, Belgia, India si Australia sunt celelalte tari care completeaza top 10.
In timp ce majoritatea victimelor (57%) continua sa fie utilizatori, tendinta pe termen lung indica o crestere lenta, dar constanta, a atacurilor de tip ransomware indreptate catre organizatii mai degraba decat catre persoane particulare.
Sectorul serviciilor, cu 38% din totalul infectarilor organizationale, a fost de departe cel mai afectat sector de afaceri. Productia, cu 17% din infectari, alaturi de finante, asigurari, imobiliare si administratie publica (ambele cu 10%), au fost si ele foarte afectate.
.jpg)
Sfaturi pentru companii si utilizatori
- Noi variante de atacuri de tip ransomware apar in mod regulat. Pastrati-va intotdeauna software-ul de securitate actualizat, pentru a va proteja impotriva acestora.
- Pastrati-va sistemul de operare si alte software-uri actualizate. Actualizarile de software vor include frecvent patch-uri pentru vulnerabilitatile de securitate nou descoperite care ar putea fi exploatate de atacatori ransomware.
- Email-ul este una din metodele principale de infectare. Stergeti orice email suspicios pe care il primiti, in special in cazul in care contine link-uri si/sau atasamente.
- Fiti extrem de atenti la orice atasament la email-ul Microsoft Office care va indeamna sa activati macro-uri pentru a vizualiza continutul. Daca nu sunteti absolut sigur ca este un email autentic de la o sursa de incredere, nu activati macro-urile si stergeti imediat email-ul.
- Singurul mod eficient de combatere a infectarii cu ransomware este backup-ul datelor importante. Atacatorii profita de victimele lor, criptand fisiere valoroase si lasandu-le inaccesibile. Daca victima are copii backup, isi pot restaura fisierele dupa ce infectia a fost curatata.
Protectie
- Adoptarea unei abordari multi-strat cu privire la securitate minimizeaza sansele de infectare. Symantec are o strategie comprehensiva care protejeaza impotriva atacurilor de tip ransomware in trei etape.
- Prevenire: securitate email, prevenirea intruziunilor, Download Insight, protectie browser, Proactive Exploit Protection (PEP).
- Continut: Motor antivirus avansat bazat pe semnatura, cu tehnologie euristica de tip invatare automata, incluzand SONAR si Sapient.
- Raspuns: Echipa dedicata de raspuns la incidente, pentru a sprijini organizatiile sa raspunda si sa se refaca dupa un atac de tip ransomware.
Foto: pixabay.com
Comentarii