Mergi la conţinutul principal
foto simbol

4 martie 2022, Chișinău - Pe parcursul anului 2021, autoritățile din securitate cibernetică, la nivel global, au identificat o creștere a numărului de incidente de tip ransomware cu un impact crucial asupra infrastructurilor critice din diverse domenii de activitate, acest fapt fiind un rezultat expres al tacticilor și tehnicilor tot mai sofisticate întrebuințate de hackeri în lansarea și operarea amenințărilor de acest tip. 

Grupările de infractori și-au sporit impactul prin:

  • Direcționarea asupra tehnologiei de „cloud computing”. Programatorii/dezvoltatorii de ransomware au vizat infrastructurile cloud pentru a exploata vulnerabilitățile cunoscute din aplicațiile cloud și software-ul pentru mașini virtuale. Atacatorii au vizat, de asemenea, conturi cloud, interfețe de programare a aplicațiilor în cloud (API-uri) și sisteme de backup și stocare a datelor pentru a bloca accesul la resursele cloud și a cripta datele. Complementar, infractorii au țintit și furnizorii de servicii cloud, pentru a cripta integral un volum mare de date cu referire la clienți;
  • Orientarea spre furnizorii de servicii. Concomitent cu utilizarea intensă a Ransomware-as-a-service (RaaS) a fost identificată și tendința de “asistare” a victimelor pentru a face plățile de răscumpărare. Spre exemplu, specialiștii din Marea Britanie au observat că actorii implicați în acest tip de atacuri au prestat servicii de “asistență” 24/7 pentru efectuarea plăților de răscumpărare în vederea recuperării informațiilor criptate. În acest context, autoritățile din domeniul securității cibernetice din aceste țări menționează că dacă acest model de “business ransomware” va continua, prin care victimele vor achita pentru recuperarea datelor, fenomenul menționat va căpăta proporții considerabile în viitor.
  • Atacuri îndreptate spre procesele industriale, prin blocarea întregii infrastructuri critice sau a proceselor. Deși majoritatea incidentelor ransomware împotriva infrastructurilor critice afectează sistemele informatice și tehnologice de afaceri, a fost observat că mai multe grupuri de infractori au dezvoltat cod conceput pentru a bloca procesele industriale (infrastructura critică); 
  • Efectuarea atacului asupra lanțului de aprovizionare cu software pentru a compromite și a estorca resurse financiare.  La nivel global, în 2021, infractorii au vizat marile companii internaționale din cadrul lanțului de aprovizionare cu software pentru a compromite și extorca ulterior clienții acestora. 
  • Lansarea atacurilor ransomware cu preponderență în zilele de weekend și sărbători – structurile specializate din domeniul securității cibernetice au documentat o creștere vădită de acest tip de atacuri în special în zilele de odihnă sau cele declarate sărbători oficiale, pe tot parcursul anului 2021. O astfel de tendință a fost raportată cu preponderență în SUA. 
  • Diversificarea metodelor de estorcare a banilor de la victimele supuse atacurilor – după blocarea și criptarea rețelelor atacate, autorii utilizează metoda de estorcare prin 3 căi, uneori în 2, care presupune: (1) amenințarea victimei despre publicarea informației sensibile care a fost furată, (2) întreruperea/blocarea accesului victimei la internet și/sau (3) informarea clienților/partenerilor victimei despre atacul produs și despre datele care au fost furate, făcând astfel o presiune enormă asupra acestuia din urmă în vederea obținerii răscumpărării solicitate. 

Tendințele și comportamentul atacatorilor

  • Rapoartele autorităților de securitate cibernetică au demonstrat că atacatorii au tendințe de:
  • Obținere a accesului la rețelele de comunicații electronice prin aplicarea tehnicilor de inginerie socială, dezvăluire a credențialelor de autentificare RDP (Remote Desktop Protocols) sau identificarea acestora prin atac de forță brută, precum și exploatarea vulnerabilităților tehnice. Infractorii au drept scop obținerea accesului la rețea și a drepturilor privilegiate în vederea executării codului malițios pe dispozitiv;
  • Utilizare a serviciilor de criminalitate cibernetică. Se evidențiază utilizarea sporită a modelului de afaceri criminal ransomware-as-a-service (RaaS). De asemenea, infractorii utilizează și servicii independente (centru de suport) pentru accelerarea plății de răscumpărare;
  • Schimb de informații privind potențialele victime. Grupările de infractori eurasiatice partajează informațiile despre victimele afectate între acestea, astfel diversificând amenințările la adresa organizațiilor vizate.

Măsuri de protecție în vederea prevenirii infectării cu ransomware:

  • Experții în securitate cibernetică recomandă responsabililor și factorilor de decizie să aplice măsuri de atenuare pentru a reduce probabilitatea și impactul incidentelor de tip ransomware prin:
  • Actualizarea și mentenanța la zi a sistemelor de operare și software-ului.  Aplicarea patch-urilor de securitate în timp util este unul dintre pașii cei mai eficienți și mai rentabili pe care o organizație poate să îi întreprindă pentru a-și minimiza expunerea la amenințările de securitate cibernetică. Verificarea în mod regulat a actualizărilor software, notificărilor de tip EOL și acordarea priorității corecției vulnerabilităților tehnice exploatabile cunoscute. În mediile Cloud, se va asigura că mașinilor virtuale, aplicațiilor și bibliotecilor le sunt, de asemenea, aplicate patch-uri în mod regulat. Complementar se recomandă automatizarea scanărilor și testării securității software-ului. De asemenea, se va lua în considerare actualizarea hardware-ului și software-ului, după necesitate, pentru a profita de capacitățile de virtualizare și securitate oferite de furnizor.
  • Realizarea regulată a copiilor de rezervă;
  • Utilizarea autentificării multifactoriale (MFA pentru webmail, VPN-uri, conturi care accesează sistemele informaționale ale infrastructurii critice și conturi privilegiate care gestionează copii de rezervă.); 
  • Cyber Hygiene – prin implementarea unui program de instruire a angajaților; 
  • Desfășurarea exercițiilor, și antrenamentelor comune de consolidare a capacităților de reacție la atacuri cibernetice, ce implică tehnici de inginerie socială pentru dezvoltarea capacităților și sporirea conștientizării utilizatorilor asupra riscurilor derivate din e-mailurile de tip phishing și spearphishing.
  • Securizarea și monitorizarea serviciului Remote Desktop Protocol (RDP). 
  • Implementarea unei politici privind conturile cu autentificare prin parolă ce trebuie să fie puternice și unice. Parolele nu ar trebui să fie reutilizate în mai multe conturi sau stocate în sistemul la care un atacator ar putea avea acces.
  • Utilizarea pentru Linux a unui modul de securitate (cum ar fi: SELinux, AppArmor sau SecComp) pentru apărare în profunzime. Modulele de securitate pot împiedica sistemul de operare să stabilească conexiuni arbitrare, ceea ce reprezintă o strategie eficientă de atenuare împotriva ransomware-ului, precum și împotriva execuției de cod la distanță (RCE).
  • Protejarea stocării cloud efectuând copii de rezervă în mai multe locații, necesitând MFA pentru acces și criptând datele în cloud. La utilizarea gestionării cheilor bazată pe cloud pentru criptare, se va sigura că rolurile de stocare și administrare a cheilor sunt segregate.
  • Acțiuni de securitate a mediul corporativ al unei organizații
  • Infractorii cibernetici folosesc tehnici de descoperire a rețelei și a sistemelor informaționale pentru vizibilitatea și maparea rețelelor și a sistemului. Pentru a limita capacitatea unui atacator de a studia mediul corporativ al unei organizații, este importantă aplicarea următoarele acțiuni:
  • Segmentarea rețelei, care poate ajuta la prevenirea răspândirii ransomware-ului prin controlarea fluxurilor de trafic între subrețele și accesul la subrețele. Aceasta deoarece o conectivitate tot mai sporită dintre acestea ar genera și o extindere a suprafeței de amenințare. În cazul marilor corporații este utilă segmentarea rețelei între diviziile internaționale, acolo unde este cazul. 
  • Implementarea criptării end-to-end, care poate preveni interceptarea comunicațiilor, care, la rândul lor, pot preveni amenințările cibernetice de obținere a informațiilor necesare pentru a avansa un atac ransomware.
  • Identificarea, detectarea și investigarea activității anormale și potențiale ce indică un ransomware prin intermediul unui instrument de monitorizare a rețelei. 
  • Reducerea expunerii credențialelor. Conturile și credențialele lor prezente pe gazde pot permite compromiteri suplimentare ale unei rețele. Impunerea protecției credențialelor, prin restricționarea locurilor în care conturile și acestea pot fi utilizate, reduce oportunitățile pentru atacatori de a colecta credențiale pentru escaladarea privilegiilor.
  • Menținerea copiilor de rezervă a datelor offline (adică, deconectate fizic) și testarea în mod regulat a backup-ului și restabilirea datelor. Aceste practici protejează și asigură continuitatea operațiunilor unei entități sau cel puțin minimizează timpul de nefuncționare în urma unui potențial atac, precum și protejează împotriva pierderilor de date. 
  • Se va asigura că toate datele de rezervă sunt criptate, imuabile (adică, nu pot fi modificate sau șterse) și acoperă întreaga infrastructură de date a organizației. Se va lua în considerare stocarea cheilor de criptare în afara cloud-ului. Backup-urile din cloud care sunt criptate, folosind un serviciu de gestionare a cheilor în cloud (KMS), ar putea fi afectate în cazul în care mediul dat devine compromis.