ransomware
Gdy ransomware przedostaje się do sieci korporacyjnej, zwykle odbywa się to za pośrednictwem poczty e-mail, luk w oprogramowaniu lub niezabezpieczonych połączeń zdalnych. Umieszczenie szkodliwego oprogramowania przez osobę z wewnątrz wydaje się nieprawdopodobne. Jednak, jak pokazują prawdziwe wydarzenia, czasami taka metoda dostarczania oprogramowania ransomware przynosi oczekiwany efekt. Niektórzy atakujący organizują więc rekrutację wśród pracowników firm, oferując im zysk w postaci odsetka z zapłaconego okupu.
Kreatywny schemat dostarczania
Choć może to zabrzmieć absurdalnie, są osoby, które szukają wspólników poprzez wiadomości spamowe. Na przykład jedna z wiadomości bezpośrednio oferuje „40%, 1 milion dolarów w bitcoinach” każdemu, kto zechce zainstalować i umieścić ransomware DemonWare na głównym serwerze Windows swojej organizacji.
Pewien zespół badaczy postanowił podszyć się pod zainteresowanych wspólników. Otrzymali oni link do pliku wraz z instrukcjami dotyczącymi uruchomienia szkodliwego oprogramowania. Osoba stojąca za wysyłką takiej wiadomości spamowej była najwyraźniej niedoświadczonym cyberprzestępcą — badacze bez problemu nakłonili ją do rozmowy. Okazało się, że był to młody Nigeryjczyk, który wyszukał w serwisie LinkedIn kierownictwo wyższego szczebla, aby wysłać tym osobom wiadomości. Swój pierwotny plan – wysyłanie szkodliwego oprogramowania pocztą e-mail – porzucił, gdy zdał sobie sprawę, jak silne są korporacyjne systemy cyberbezpieczeństwa.
Jakie błędy zawierał ten schemat?
Aby przekonać osoby chętne do zaangażowania się jako wspólnicy, że ich udział w akcji będzie bezpieczny, cyberprzestępca twierdził, że oprogramowanie ransomware usunie wszystkie dowody przestępstwa, w tym wszelkie potencjalne nagrania z systemów bezpieczeństwa. Zalecił także usunięcie pliku wykonywalnego, tak aby nie pozostawić jakichkolwiek śladów. Można się domyśleć, że przestępca planował oszukać swoich wspólników – prawdopodobnie po zaszyfrowaniu serwera nie obchodziłoby go, co stało się z osobą, która zdecydowała się na ten krok – ale najprawdopodobniej nie rozumiał, jak działają dochodzenia kryminalistyczne.
Decyzja o skorzystaniu z oprogramowania DemonWare zdradziła również jego brak doświadczenia. Chociaż nadal bywa ono używane, nie jest szczególnie wyrafinowane, a jego kod źródłowy jest dostępny w portalu GitHub. Podobno twórca tego szkodliwego oprogramowania chciał pokazać, jak łatwo jest napisać ransomware.
Jak zachować bezpieczeństwo
Ten konkretny przykład pokazuje, że pracownicy firmy naprawdę mogą odegrać rolę w ataku ransomware. Chociaż możliwe jest, że ktoś uruchomi w sieci szkodliwe oprogramowanie, znacznie bardziej prawdopodobny jest scenariusz, w którym ktoś sprzeda dostęp do systemu informacyjnego organizacji.
Rynek, na którym sprzedaje się dostęp do sieci korporacyjnych, istnieje od dawna w ciemnej sieci, a osoby stojące za ransomware często kupują dostęp od innych cyberprzestępców – tzw. brokerów dostępu początkowego (ang. Initial Access Brokers). To właśnie oni mogą być szczególnie zainteresowani zakupem danych w celu uzyskania zdalnego dostępu do sieci organizacji lub serwerów w chmurze. Reklamy takich zakupów są skierowane do niezadowolonych lub zwolnionych pracowników i krążą po ciemnej sieci.
Aby upewnić się, że nikt nie zagraża bezpieczeństwu Twojej firmy, wpuszczając do niej osoby korzystające z ransomware:
- przyjmij strategię przyznawania najniższych możliwych uprawnień,
- przechowuj szczegółową ewidencję prób uzyskania dostępu do sieci i serwerów organizacji, a gdy zwalniasz pracowników, odwołuj uprawnienia i zmieniaj hasła,
- na każdym serwerze zainstaluj rozwiązania bezpieczeństwa, które potrafią przeciwdziałać najnowszemu szkodliwemu oprogramowaniu,
- korzystaj z rozwiązań typu Managed Detection and Response, które pomogą zidentyfikować podejrzaną aktywność w infrastrukturze, zanim atakujący będą mieli szansę wyrządzić poważne szkody.
Porady