Какво трябва да знаем за анатомията на една рансъмуер атака

Индикациите за предстояща рансъмуер атака са видими в рамките на една седмица преди разгръщането ѝ, заяви Мо Кашман, Trellix (снимка: Мария Малцева / TechNews.bg)

Какво означава рансъмуер? Всички знаем: заплаха, загуба на данни, срината продуктивност, унищожен човешки труд, петно върху репутацията на организацията. Но как се случва рансъмуер атаката? Тя има традиционни стъпки, които са приблизително еднакви в повечето случаи. Сходството дава известна предвидимост за организациите, които търсят начин да се защитят от подобно дигитално изнудване, стана ясно по време на форума InfoSec SEE 2024, организиран от COMPUTER 2000 България в „Hyatt Regency Pravets Golf & SPA Resort”.

Няма сектор, който да не е засегнат от рансъмуер нападенията. Доколкото има статистика, тя показва, че индустриите на потребителските услуги и производството са най-потърпевши от рансъмуер. От гледна точка на мащабите се оказва, че макар да сме чували най-много за изнудванията на известни корпорации, всъщност най-големите бизнеси не са тези, които киберпрестъпниците атакуват най-често. Най-потърпевши са фирмите с оборот от 1 до 50 млн. долара.

Не всички атаки стават добре известни в общественото пространство. „Шумът” зависи много от вида на организацията. Успешните пробиви в държавни организации бързо се разчуват. При големи маркетингови и производствени компании ударът по имиджа не е толкова силен. Разгласяването засяга силно и софтуерните компании.

Мотивацията на нападателите в повечето случаи е чисто финансова, за разлика от тази при DDoS атаките. Има, разбира се, и идеологически причини, както и елементи на индустриална атака (удар „под кръста” от конкуренти), но основната мотивация си остава финансовата.

Добре познати стъпки

Обичайно една рансъмуер атака преминава през няколко приблизително еднакви етапа. Последователно се случват верижни действия на проучване и разузнаване, първоначален достъп, ескалиране и странично движение, събиране на данни и извличане, внасяне на рансъмуер кода и изпълняване на атаката – криптиране и „заключване” на ценните данни, след което идва време за евентуални преговори и предполагаемо плащане на откупа, възстановяване на инфраструктурата след атаката, анализ на случилото се и очертаване на изводи.

За всяко от действията на атакуващите, за всеки етап от нападението има изобилие от технологични инструменти, разказа Мо Кашман, полеви CTO за региона EMEA в компанията Trellix.

(източник: Trellix)

Първоначалното проучване е времето, в което атакуващият събира всичката възможна информация за организацията-мишена: кои са официалните имейли, кой какъв е във фирмата, кои са шефовете и т.н. Тази подготовка няма как да бъде забелязана от някого, защото най-често разчита на добре известни факти, които нерядко са обществено достояние. Вече са налице множество софтуерни инструменти за сканиране и събиране на обществено достъпната информация за дадена организация, каза Страхил „Пакс” Танев, инженер-специалист в Trellix.

Първоначалният достъп обичайно е пробив, който има за цел да позволи на атакуващия да „поживее” в ИТ инфраструктурата на организацията, докато подготви и изпълни пъкления си план. Този достъп най-често се случва благодарение на компрометирани данни за логване, например откраднати чрез фишинг-писма. Много актуално напоследък е използването на PDF файлове в измамническите писма. Все пак в много случаи е вероятно данните да са добити и по друг начин, например чрез брутална силова атака (разбиване на пароли).

Следва ескалацията: атакуващият търси начин да разшири и увеличи правата си в рамките на мрежата. Най-често този стадий включва и т.нар. странично движение, тоест прехвърляне между различните ИТ системи и навлизане все по-навътре в мрежата, с все повече правомощия. За целите на атаката на този етап най-често са предпочитани инструментите за отдалечен достъп до корпоративните инфраструктури, посочи Мо Кашман.

Следва събирането на данни – основна цел на атакуващите. Когато са готови, те задействат своя план. В рамките на няколко минути до няколко часа служителите с изненада установяват, че нямат достъп до файлове, с които традиционно работят. Като резултат, вътрешният отдел за техническа поддръжка бива засипан с еднотипни заявки за проблем с достъпа до фирмените ресурси. Не е необичайно на този етап някой да се натъкне на съобщението от атакуващите – каква сума искат и къде да бъде приведена.

Разпознаваеми последователности

Първият и вторият етап от атаката обичайно няма как да бъдат забелязани от екипите по сигурност в организацията, независимо колко съобразителни и наблюдателни са специалистите и колко добре са оборудвани. Следващите няколко стъпки обаче могат да бъдат разпознати от т.нар. NDR (Network Detection and Response) технология, посочи Страхил “Пакс” Танев.

NDR технологията е ефективен инструмент за разпознаване на рансъмуер атаки, посочи Страхил “Пакс” Танев, Trellix (снимка: Мария Малцева / TechNews.bg)

Дигиталните следи, които атакуващият оставя при своето прикрито движение из ИТ инфраструктурата на организацията, биват забелязани от технологията и взаимовръзката между тях става очевидна. В общия случай, според Мо Кашман, индикациите за предстояща рансъмуер атака са видими в рамките на една седмица преди разгръщането на атаката.

Очаквания

Свидетели сме на възхода на „рансъмуер като услуга”, забелязват експертите на Trellix. Все по-голяма част от киберизнудванията се случват по този метод. Шокиращото е, че подобна услуга лесно може да се намери с обикновена търсачка и няма нужда заинтересованият да търси из т.нар. тъмен уеб, каза Страхил „Пакс” Танев.

Благодарение на развитието на технологиите на изкуствения интелект и машинното самообучение рансъмуер нападенията стават все по-бързи и по-ефективни, подчертаха специалистите. До неотдавна една атака е осъществявана в рамките на около 40-60 дни. През 2024 година обаче се очаква този период да се съкрати до около 4-5 дни, посочи Танев. Това означава 12-кратко ускорение.

Мария Малцева

Мария Малцева

Коментар