Nowe zagrożenia typu Ransomware

Nowe zagrożenia typu Ransomware i jak się przed nimi bronić przy wykorzystaniu firewalla ASA FirePOWER.
Wykrywanie zarażeń mallwarem typu „crypto-locker”

W ostatnich miesiącach zauważono wzmożoną aktywność wyjątkowo złośliwego oprogramowania z rodziny „crypto-locker”. Mallware tego typu ma jeden prosty cel: zaszyfrować jak najwięcej danych ofiary, po czym zażądać okupu za ich odszyfrowanie.

Mniej wyrafinowane programy tego typu szyfrują jedynie dane przechowywane na dyskach lokalnych. Dla większości firm takie działanie nie jest krytyczne, gdyż większość danych przechowywana jest na dyskach sieciowych, a konsekwencją będzie najczęściej reinstalacja systemu operacyjnego. Jednakże dużo większe zagrożenie stwarzają te odmiany crypto-lockerów, które potrafią szyfrować także dyski sieciowe. W takim przypadku dane te zostaną zaszyfrowane w bardzo krótkim czasie, powodując natychmiastowe wstrzymanie procesów biznesowych zależnych od zaszyfrowanych plików. Dodatkowo, niektóre crypto-lockery w celu zwiększenia szybkości działania, szyfrują jedynie te pliki, które wydają się najwartościowsze dla danej organizacji (np. pliki Worda, Excela, pliki DWG itp.). Niestety, w bardzo wielu przypadkach klasyczne programy anty-wirusowe są bezradne, gdyż szybkość „mutacji” crypto-lockerów jest tak duża, że producenci oprogramowania nie są wstanie dostatecznie szybko aktualizować baz sygnatur.

Czy istnieje zatem możliwość wczesnego wykrycia infekcji crypto-lockerem i uniemożliwienie mu zaszyfrowania danych? Nadzieją na bardzo szybkie wykrycie zagrożenia jest inspekcja ruchu wychodzącego do Internetu. Aby cały proceder wyłudzenia okupu mógł się udać crypto-locker musi przesłać do swoich mocodawców klucz, którym zaszyfrował pliki ofiary. Ów klucz przesyłany jest zaraz po rozpoczęciu pracy przez crypto-lockera. Korzystając z firewalla najnowszej generacji jakim jest Cisco FirePower, możliwe jest wykrycie oraz zablokowanie próby połączenia się oprogramowania szyfrującego z serwerami mocodawców, a następnie poinformowania pracowników działu IT o zaistniałej sytuacji wraz z podaniem adresu IP zarażonego komputera. Ponadto, Cisco FirePower umożliwia dokładne prześledzenie aktywności zarażonego użytkownika przed zainfekowaniem. Dzięki temu można szczegółowo zbadać jak doszło do zarażenia i uczulić na zagrożenie innych użytkowników.

Crypto–lockerami można zarazić się na bardzo wiele sposobów. Jedną z najpopularniejszych metod infekcji jest otworzenie zarażonego załącznika. W Polsce niezwykle często dochodzi do zarażenia poprzez otworzenie załącznika (zainfekowany PDF) z informacją o rzekomej przesyłce poleconej od poczty polskiej. Do zarażenia może także dojść poprzez wejście na strony, które zwierają odpowiednio zmodyfikowane przez atakującego elementy – w szczególności pliki SWF oraz FLV. Należy zaznaczyć, iż niebezpieczeństwo takiej infekcji nie ogranicza się jednie do stron podejrzanego pochodzenia (strony z nielegalnym programowaniem, strony pornograficzne). Znany jest przypadek zarażenia przez zupełnie niewinnie wyglądającą stronę campingu na Helu. Atakujący wykorzystał fakt, iż działała ona w oparciu o bardzo starą wersję popularnego CMSa „Word-Press”. Po przejęciu kontroli nad panelem zarządzającym do strony został dodany szkodliwy plik SWF.

Poniżej przedstawiamy kilka prostych porad jak zmniejszyć prawdopodobieństwo infekcji crypto-lockerami, oraz jak wcześnie wykrywać zagrożenie:

  • Nie otwierać załączników z nieznanego pochodzenia
  • Jak najczęściej aktualizować programy użytkowe typu Adobe Acrobat, Flash Player, przeglądarka itp.
  • Zdywersyfikować poziomy uprawnień do zasobów sieciowych
  • Wdrożyć inspekcję ruchu nowej generacji na brzegu sieci w oparciu o Cisco ASA FirePower. Dzięki możliwości pracy w trybie L2, wdrożenie Cisco FirePower może odbyć się bez konieczności zmian w adresaci czy konfiguracji istniejącej infrastruktury. 

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów
0
projektów powyżej 100,000zł

Od samego początku naszej działalności stawialiśmy na profesjonalne podejście do naszych Klientów

Network w liczbach

0
lat na rynku
0
realizacji
0
Klientów