Атака №4: Ransomware

Атака №4: Ransomware

Когато прекъсването се превръща в лост за натиск

Обобщение – Ransomware

Как работи атаката

Ransomware рядко започва с криптиране.
Започва с достъп.

Атакуващите първо установяват присъствие. чрез phishing, откраднати креденшъли, изложени услуги или уязвими крайни точки. След това се придвижват вътрешно, ескалират привилегии и идентифицират критични системи.

Преди криптирането често се извършва изнасяне на данни. Това превръща атаката в модел на двойно изнудване. Плати за декриптиране. Плати, за да не бъдат публикувани данните.

Когато криптирането започне, то се разпространява бързо. Споделени ресурси, виртуални машини, cloud сторидж, backup системи. Целта не е само прекъсване. Целта е натиск.

Ransomware превръща оперативната зависимост в инструмент за изнудване.

Кого таргетира най-често

Ransomware следва критичността за бизнеса.

Роли

• IT администратори

• инфраструктурни екипи

• оператори на backup системи

• security екипи

Сектори

• здравеопазване

• производство

• логистика

• публичен сектор

• финансови услуги

• образование

Тип организации

• организации с плоски мрежи

• компании без тествани backup-и

• хибридни cloud среди

• бизнеси зависими от непрекъсваеми операции

Колкото по-болезнен е downtime-ът, толкова по-голям е натискът.

На какво разчита атаката

Ransomware е успешна, когато няколко слоя се провалят едновременно.

Човешки фактор

• кликване на phishing

• слаба хигиена на креденшъли

• забавено докладване

• злоупотреба с привилегии

Технически пропуски

• липса на сегментация

• изложен RDP или remote услуги

• липса на endpoint детекция

• прекомерни администраторски права

• незащитени backup-и

Процесни слабости

• непроверен incident response план

• неясна кризисна комуникация

• липса на процедури за изолиране

• липса на recovery тестове

Ransomware рядко е единичен провал. Тя е натрупан риск, който се реализира.

Как се хваща

Откриването зависи от момента.

Какво виждат потребителите

• недостъпни файлове

• променени разширения

• ransom съобщения

• необичайно забавяне

Какво вижда IT

• масово променяне на файлове

• процеси на криптиране

• необичайна администраторска активност

• опити за изтриване на backup-и

Какво вижда SOC

• lateral движение

• credential dumping

• ескалация на привилегии

• изнасяне на данни

Колкото по-рано се засече атаката, толкова по-малък е обхватът ѝ.

Как се ограничава въздействието

При ransomware скоростта определя изхода.

Приоритетите са:

• изолиране на засегнатите системи

• деактивиране на компрометирани акаунти

• спиране на lateral движение

• защита и проверка на backup-и

• активиране на incident response

Какво не помага:

• преговори без ограничаване

• възстановяване без елиминиране

• скриване на инцидента

• предположение, че backup-ите са сигурни без тест

Ограничаването не е възстановяване. Възстановяването изисква контрол.

Какво реално помага

Устойчивостта срещу ransomware се изгражда преди инцидента.

Хора

• регулярни обучения

• ясни кризисни роли

• рамка за управленски решения

Процеси

• документиран incident response план

• редовно тестване на backup-и

• стратегия за сегментация

• симулации на ransomware сценарии

Технологии

• EDR/XDR върху крайни точки

• постоянен мониторинг и SOC видимост

• immutable или офлайн backup-и

• управление на привилегирован достъп

• защитен remote достъп

Подготвеността намалява възможността за изнудване.

Чести митове

„Backup-ите решават проблема“
„Основният риск е криптирането“
„Ние сме твърде малки“
„Ако платим, сме в безопасност“

Ransomware вече не е само криптиране. Тя е зависимост, изтичане на данни и натиск върху бизнеса.

Атака №1: Фишинг и социално инженерство

Атака №2: Злоупотреба с акаунти и превземане на достъп

Атака №3: Компрометиране на бизнес имейли

Следва: Атака №5: Атаки срещу веригата за доставки