Anatomia unui atac ransomware

Ransomware-ul este una dintre cele mai profitabile surse de venit pentru hacker-i si din acest motiv este o metoda de atac extrem de folosita atat impotriva organizatiilor, cat si impotriva oamenilor obisnuiti. Unul dintre primele astfel de atacuri a avut loc in 1989, reprezentat de malware-ul “AIDS trojan” distribuit pe dischete. Victima trebuia sa trimita 189$ catre o casuta postala din Panama pentru a recastiga acces la sistemul sau. De atunci si pana acum acest tip de malware a evoluat constant, fiind distribuit prin email-uri ce contin hyperlink-uri sau atasamente malitioase, plata recompensei facandu-se in cryptomonede pentru ca tranzactia sa fie imposibil de urmarit si hacker-ii sa ramana astfel anonimi.

Bazandu-ne pe cele de mai sus putem spune ca ransomare-ul este un software malitios care ii permite unui hacker sa restrictioneze accesul unei persoane sau unei companii la propriile fisiere si informatii, cerand pentru restabilirea accesului plata unei sume de bani, de obicei in cryptomonede (Bitcoin, Monero).

5 faze ale unui atac ransomware

Analistii de securitate cibernetica au identificat 5 faze ale unui atac ransmoware. Departamentele IT, inginerii SOC, dar si persoane cheie din management (CIO, CISO) trebuie sa inteleaga ce se intampla in fiecare faza a atacului si sa recunoasca “semnele” acestuia (indicators of compromise – IOCs). Astfel, vor creste sansele ca atacul sa nu se execute cu succes sau macar sa se limiteze efectele acestuia.

Timpul care trece de la infectare pana la primirea “biletului de rascumpare” pe ecranul laptop-ului este unul foarte strans, in jur de 15 minute. Recunoasterea foarte rapida a indicatorilor de compromis este critica pentru oprirea atacului.

Faza 1 – Exploatarea sistemului si infectarea acestuia. Software-ul malitios trebuie sa ajunga cumva pe sistemul tinta. De obicei, utilizatorul primeste un email malitios sau sistemul are o vulnerabilitate care poate fi exploatata de atacator.

Faza 2 – Livrarea ransomware-ului si executare. Utilizatorul descarca un fisiere executabil anexat unui email sau da click pe un URL care in fundal descarca malware-ul de pe un server din  Internet. Dupa executare, malware-ul isi creaza un mecanism de persistenta.

Faza 3 – Stergerea backup-urilor. Virusii de tip ransomware scaneaza sistemul tinta pentru eventuale backup-uri facute de catre utilizator si o data ce le gaseste, le va sterge pentru a impiedica utilizatorul sa restaureze datele compromise. Acest aspect este caracteristic unui atac ransomware, alte tipuri de atac nu se preocupa sa stearga backup-urile.

Faza 4 – Criptarea fisierelor. O data ce backup-urile au fost sterse, ransomware-ul contacteaza un server de tip C&C (Command and control) pentru a obtine cheile cu care sa cripteze fisierele si folderele de pe sistemul tinta.

Faza 5 – Notificarea utilizatorului si auto-distrugerea. O data ce fisierele sunt criptate, pe ecranul sistemului apare un bilet de rascumparare care contine instructiuni despre cum sa se faca plata pentru a obtine cheile de decriptare. De obicei, mai apare si un cronometru care indica timpul ramas pana cand rascumpararea va creste sau pana cand datele vor fi pierdute pentru totdeauna, pentru a stimula victima sa plateasca suma ceruta. Totodata, in fundal, ransomware-ul se sterge singur de pe sistem pentru a nu lasa urme care sa fie folosite de analistii de securitate pentru a intelege modul de functionare si pentru a crea masuri de protectie.

Ransomware-ul a devenit atat de profitabil pentru atacatori, incat acestia au inceput sa il ofere ca un serviciu. Platformele de Ransomware as a Service pun la dispozitia oricui doreste un mod prin care sa execute astfel de atacuri. Nivelul necesar de cunostiinte tehnice este practic zero, tot procesul de lansare a atacului fiind de tipul click next finish.

Organizatiile pot lupta impotriva ransomware-ului pe trei planuri:

  • instalarea aplicatiilor si a echipamentelor care sa monitorizeze constant, 24×7, reteaua de date, serverele si dispozitivele utilizatorilor pentru orice activitate neobisnuita si sa detecteze si sa neutralizeze orice amenintare cibernetica
  • instalarea patch-urilor de securitate oferite de producatorii de software si sisteme de operare de indata ce acestea sunt disponibile
  • educarea utilizatorului prin training-uri de specialitate cu privire la securitatea cibernetica si la pericolele din Internet; adesea omul este de regula veriga cea mai slaba din lantul de protectie implementat de organizatie si nepracticarea din partea sa a unui comportament minim de bune practici poate expune organizatia in fata unui atac.

Inginerii Dendrio va pot ajuta sa va consolidati securitatea, iar trainerii Bittnet va pot sustine in demersurile de educare constanta a utilizatorilor in domeniul securitatii cibernetice.

Mihai Dumitrascu, Sr Systems Engineer