Индикациите за предстояща рансъмуер атака са видими в рамките на

Индикациите за идна рансъмуер офанзива са забележими в границите на една седмица преди разгръщането ѝ, съобщи Мо Кашман, Trellix (снимка: Мария Малцева / TechNews.bg)

Какво значи рансъмуер? Всички знаем: опасност, загуба на данни, срината работливост, погубен човешки труд, леке върху репутацията на организацията. Но по какъв начин се случва рансъмуер офанзивата? Тя има обичайни стъпки, които са почти идентични в множеството случаи. Сходството дава известна предвидимост за организациите, които търсят метод да се защитят от сходно цифрово изнудване, стана ясно по време на форума InfoSec SEE 2024, проведен от COMPUTER 2000 България в „ Hyatt Regency Pravets Golf & SPA Resort ”.

Няма бранш, който да не е обиден от рансъмуер нападенията. Доколкото има статистика, тя демонстрира, че промишленостите на потребителските услуги и производството са най-потърпевши от рансъмуер. От позиция на мащабите се оказва, че въпреки да сме чували най-вече за изнудванията на известни корпорации, в действителност най-големите бизнеси не са тези, които киберпрестъпниците нападат най-често. Най-потърпевши са компаниите с оборот от 1 до 50 млн.

Добре познати стъпки

Обичайно една рансъмуер офанзива минава през няколко почти идентични стадия. Последователно се случват верижни дейности на изследване и разузнаване, първичен достъп, ескалиране и странично придвижване, събиране на данни и добиване, внасяне на рансъмуер кода и извършване на офанзивата – криптиране и „ заключване ” на скъпите данни, след което идва време за възможни договаряния и хипотетично заплащане на откупа, възобновяване на инфраструктурата след офанзивата, разбор на случилото се и обрисуване на заключения.

За всяко от дейностите на атакуващите, за всеки стадий от нападението има обилие от софтуерни принадлежности, описа Мо Кашман, полеви CTO за района EMEA в компанията Trellix.

(източник: Trellix)

Първоначалното изследване е времето, в което атакуващият събира всичката допустима информация за организацията-мишена: кои са формалните имейли, кой какъв е във компанията, кои са шефовете и така нататък Тази подготовка няма по какъв начин да бъде видяна от някого, тъй като най-често разчита на добре известни обстоятелства, които нерядко са публично притежание.

Първоначалният достъп всекидневно е пробив, който има за цел да разреши на атакуващия да „ поживее ” в ИТ инфраструктурата на организацията, до момента в който приготви и извърши пъкления си проект. Този достъп най-често се случва с помощта на компрометирани данни за логване, да вземем за пример откраднати посредством фишинг-писма. Много настоящо в последно време е потреблението на PDF файлове в измамническите писма. Все отново в доста случаи е евентуално данните да са добити и по различен метод, да вземем за пример посредством брутална силова офанзива (разбиване на пароли).

Следва ескалацията: атакуващият търси метод да разшири и усили правата си в границите на мрежата. Най-често този етап включва и така наречен странично придвижване, т.е. прекачване сред другите ИТ системи и нахлуване все по-навътре в мрежата, с от ден на ден пълномощия. За задачите на офанзивата на този стадий най-често са желани инструментите за далечен достъп до корпоративните инфраструктури, уточни Мо Кашман.

Следва събирането на данни – съществена цел на атакуващите. Когато са подготвени, те задействат своя проект. В рамките на няколко минути до няколко часа чиновниците с изненада откриват, че нямат достъп до файлове, с които обичайно работят. Като резултат, вътрешният отдел за техническа поддръжка бива засипан с еднотипни поръчки за проблем с достъпа до фирмените запаси. Не е извънредно на този стадий някой да се натъкне на известието от атакуващите – каква сума желаят и къде да бъде приведена.

Разпознаваеми последователности

Първият и вторият стадий от офанзивата всекидневно няма по какъв начин да бъдат видяни от екипите по сигурност в организацията, без значение какъв брой съобразителни и наблюдателни са експертите и какъв брой добре са оборудвани. Следващите няколко стъпки обаче могат да бъдат разпознати от така наречен NDR (Network Detection and Response) технология, уточни Пакс Танев, профилиран инженер в Trellix.

NDR технологията е ефикасен инструмент за различаване на рансъмуер офанзиви, уточни Пакс Танев, Trellix (снимка: Мария Малцева / TechNews.bg)

Дигиталните следи, които атакуващият оставя при своето скрито придвижване из ИТ инфраструктурата на организацията, биват видяни от технологията и взаимовръзката сред тях става явна. В общия случай, съгласно Мо Кашман, индикациите за идна рансъмуер офанзива са забележими в границите на една седмица преди разгръщането на офанзивата.