Šta je to ransomver?

Saznajte više o ransomveru, o tome kako funkcioniše i kako možete da zaštitite sebe i preduzeće od ovog tipa sajber napada.

Rensomver je definisan

Ransomver je tip zlonamernog softvera ili malvera koji prete žrtvama tako što uništava ili blokira pristup kritičnim podacima ili sistemima dok se ne plati otkup. Istorijski, većina osoba koje su ciljali ransomver, ali je nedavno ransomver kojim upravlja čovek, koji cilja organizacije, postao veća i teža pretnja za sprečavanje i preokretanje. Uz ransomver kojim upravlja čovek, grupa napadača koristi kolektivnu inteligenciju kako bi dobila pristup poslovnoj mreži organizacije. Neki napadi ove vrste su toliko složeni da napadači koriste interne finansijske dokumente koje su otkrili da bi postavili cenu otkupa.

Nedavni napadi ransomvera

Nažalost, pominjanja ransomver pretnji u vestima postala su uobičajena. Samo u 2021. godini, napadi ransomvera su se smanjili za 935 procenata. Kao što možete da zamislite, efekti mogu biti razorni. Evo nekih nedavnih napada ransomvera i načina na koji su uticale na organizacije.

 

Kronos
 

Divovi ljudskih resursa (HR) Kronos pogođeni su napadom ransomvera u decembru 2021. u kom je uticao sistem plata i odsustva za klijente koji koriste Kronos privatni oblak. Pošto se mnoge organizacije oslanjaju na usluge Kronos za službe ljudskih resursa, uključujući Metropolitan transportnu upravu Njujorka, Univerzitet Džordž Vašington i Oregon Sektor za saobraćaj, kršenje ličnih podataka i informacija o zaposlenima nije bilo malo važno.

 

Colonial Pipeline
 

U maju 2021. američki kanal goriva je zatvorio svoje usluge kako bi sprečio dalje proboje nakon napada ransomvera koji je ugrozio hiljade zaposlenih lične informacije. Efekti su bili katastrofalni i cene goriva koje su se sijale širom istočne obale, što se u mnogome oslanja na colonijalni kanal. Na kraju, preduzeće je platilo kriptocurritetni otkup od 4,4 miliona USD za tamno hakovanje grupe DarkSide; JE KASNIJE ODUŽIO OKO 2,3 MILIONA USD.

 

Brenntag
 

Nemačko hemijsko preduzeće za distribuciju Brenntag, kao što je colonial Pipeline, pretrpelo je napad ransomvera od strane DarkSide. U ovom napadu, koji se dogodio u aprilu 2021, DarkSide kaže da je mogao da probije mrežu Brenntag putem ukradenih akreditiva kupljenih od neimenovanog prodavca. Napad je ukrao više od 6.000 osoba' datumi rođenja, brojevi socijalnog osiguranja i brojevi vozačke dozvole, kao i neki medicinski podaci. Nakon što dogovorite originalni otkup na 4,4 miliona USD, Brenntag je platila.

 

JBS
 

Najveći dobavljač mesa na svetu, JBS, postao je meta napada ransomvera u maju 2021, što je uticalo na poslovanje u Severnoj Americi i Australiji. Nakon privremenog stavljanja veb sajta van mreže i zaustavljanja proizvodnje, JBS je bio pod pritiskom da reaguje kako bi sprečio prekid lanca snabdevanja hranom i izbegao povećane cene hrane. JBS je na kraju platio otkupninu od 11 miliona USD u valuti Bitkoin kibernetičkoj grupi REvil.

Kako funkcioniše ransomver?

Napadi ransomvera oslanjaju se na preuzimanje kontrole nad podacima ili uređajima pojedinca ili organizacije kao načina zahtevanja novca. U proteklim godinama, društveno inženjerski napadi su bili najpopularniji, ali nedavno je ransomver kojim upravlja čovek postao popularan kriminalcima zbog potencijalne velike naplate.

 

Rensomver društvenog inženjeringa


Ovi napadi koriste phishing—oblik obmane u kojem se napadač predstavlja kao legitimno preduzeće ili veb sajt—da bi prevario žrtva da klikne na vezu ili otvori prilog e-pošte koji će instalirati ransomver na uređaju. Napadi često sadrže alarmističke poruke koje podstiče da se žrtva ponaša iz straha. Na primer, sajberkriminal može da predstavlja poznatu banku i pošalje e-poruku sa obaveštenjem nekome da je nalog zamrznut zbog sumnjive aktivnosti, pozivajući ih da kliknu na vezu u e-poruci kako bi rešili problem. Kada kliknu na vezu, instalira se ransomver.

 

 

Ransomver kojim upravljaju ljudi


Ransomver kojim upravlja čovek često počinje putem ukradenih akreditiva naloga. Kada napadači dobiju pristup mreži organizacije na ovaj način, koriste ukradeni nalog da bi utvrdili akreditive naloga sa širim opsezima pristupa i traženje podataka i sistema kritičnih za preduzeća sa mogućnošćama velike finansijske naplate. Zatim instaliraju ransomver na ovim osetljivim podacima ili sistemima koji su kritični za preduzeća, na primer šifrovanjem osetljivih datoteka tako da organizacija ne može da im pristupi dok ne plati otkup. Kibernetički kriminalci teže da traže plaćanje u kriptokripti zbog anonimnosti.

 

Ovi napadači ciljaju velike organizacije koje mogu da plaćaju veći otkup od prosečne osobe, a ponekad traže milione dolara. Zbog velikih uloga uključenih u kršenje ove skale, mnoge organizacije odbijaju da plaćaju otkup umesto da procure osetljivi podaci ili rizikuju dalje napade od sajber kriminalca, čak i ako plaćanje ne garantuje sprečavanje bilo kog ishoda.

 

Kako su napadi ransomvera kojim upravljaju ljudi rasli, kriminalci koji stoje iza napada su postali organizovaniji. Zapravo, mnoge operacije ransomvera sada koriste ransomver kao model usluge, što znači da skup projektanta kriminalca kreira sam ransomver, a zatim zapošljava druge sajberkriminalne filijale da hakuje mrežu organizacije i instalira ransomver, čime se profit deli između dve grupe po dogovorenim stopama.

Različiti tipovi napada ransomvera

Ransomver se dobija u dva glavna oblika: kripto ransomver i ransomver ormarića.

 

Kripto ransomver


Kada je neka osoba ili organizacija žrtva napada kripto ransomvera, napadač šifruje osetljive podatke ili datoteke neke od njih tako da ne mogu da imaju pristup osim ako ne plaćaju zahtevani otkup. Teoretski, kada žrtva plati, dobija šifru za šifrovanje kako bi dobila pristup datotekama ili podacima. Međutim, čak i ako žrtva plati otkup, ne postoji garancija da će sajberkriminal poslati ključ za šifrovanje ili dati kontrolu. Doxware je oblik kripto ransomvera koji šifruje i prete da javno otkrije lične informacije žrtva, obično sa ciljem da ih ponižava ili osramoti u plaćanju otkupa.

 

Rensomver ormarića


U napadu ransomvera u ormariću, žrtva je zaključana sa svog uređaja i ne može da se prijavi. Žrtva će imati napomenu o otkupu na ekranu koja objašnjava da je zaključana i da sadrži uputstva za plaćanje otkupa radi ponovnog pristupa. Ovaj oblik ransomvera obično ne uključuje šifrovanje, pa kada žrtva ponovo preuzme pristup uređaju, čuvaju se osetljive datoteke i podaci.

Odgovaranje na napad ransomvera

Ako se otkrijete kao žrtva napada ransomvera, imate opcije za ponovno otkrivanje i uklanjanje.

 

Budite pažljivi u vezi sa plaćanjem otkupa


Iako je možda primamljivo platiti otkup u nadi da će problem jednostavno nestati, ne postoji garancija da će sajber kriminalci zadržati reč i odobriti vam pristup vašim podacima. Stručnjaci za bezbednost i agencije za sprovođenje zakona preporučuju da ne plaćate tražene ransomver napade jer bi to moglo da ostavi otvorene pretnje budućim pretnjama i da aktivno podržava kritičnu industriju. Ako ste već platili, odmah se obratite banci—možda ćete moći da zaustavite plaćanje ako ste platili kreditnom karticom.

 

Izolujte zaražene podatke


Čim budete mogli, izolujte ugrožene podatke da biste sprečili da se ransomver proširi na druge oblasti mreže.

 

Pokretanje antimalver programa


Mnogi napadi ransomvera mogu da se reše tako što ćete instalirati antimalver program da biste uklonili ransomver. Kada odaberete renomirano antimalver rešenje, kao što je Windows zaštitnik, obavezno ga ažurirajte i uvek ga držite pokrenutim kako biste imali zaštitu od najnovijih napada.

 

Prijavite napad


Obratite se lokalnim ili saveznim agencijama za sprovođenje zakona da biste prijavili napad. U Sjedinjenim Državama, ovo su vaše lokalne terenske kancelarije FBI-aIC3, ili Tajna služba. Iako ovaj korak verovatno neće rešiti vaše trenutne nedoumice, to je važno zato što ove vlasti aktivno prate i nadgledaju različite napade. Pružanje detalja o vašem iskustvu može biti korisna informacija u većoj slici pronalaženja i sudskih procesa sajberkriminalne ili kibernetičke grupe.

OneDrive zaštita od ransomvera

Uz napade ransomvera više nego ikada ranije i toliki broj ličnih podataka ljudi koji su digitalno sadržali, potencijalna ispadanja iz napada je zadivljena. Srećom, postoji mnogo načina da sačuvate digitalni život samo na taj—vaš digitalni život, a ne nečiji. Evo kako da se mirite pomoću proaktivne zaštite od ransomvera.

 

Instaliranje antimalver programa


Najbolji oblik zaštite je sprečavanje. Mnogi napadi ransomvera mogu da se otkriju i blokiraju pomoću pouzdane antimalver usluge, kao što su Microsoft Sentinel, Microsoft 365 zaštitnik ili Microsoft zaštitnik za oblak. Kada koristite antimalver program, uređaj prvo skenira sve datoteke ili veze koje pokušavate da otvorite kako biste se uverili da su bezbedne. Ako je datoteka ili veb lokacija zlonamerna, antimalver program će vas upozoriti i predložiti da je ne otvorite. Ovi programi takođe mogu da uklone ransomver sa uređaja koji je već zaražen.

 

Držite redovne obuke


Redovnim obukama obavestite zaposlene o tome kako da uoče znakove phishing i drugih napada ransomvera. Ovo ih neće naučiti samo bezbednijim praksama za posao, već i o tome kako da budu bezbedniji prilikom korišćenja ličnih uređaja.

 

Prelazak u oblak


Kada premestite podatke u uslugu zasnovanu na oblaku, like A usluga pravljenja rezervne kopije u oblakuAzure Blokiraj rezervnu kopiju skladišta blob objekta, ili Office 365 rezervne kopije i usluge oporavka, moći ćete lako da napravite rezervnu kopiju podataka radi bezbednije čuvanja. Ako ransomver ikada ugrozi vaše podatke, ove usluge obezbeđuju da oporavak bude neposredan i sveobuhvatan.

 

Usvajanje Nulta pouzdanost modela


Model Nulta pouzdanost model procenjuje sve uređaje i korisnike kao rizik pre nego što im dozvoli pristup aplikacijama, datotekama, bazama podataka i drugim uređajima, što smanjuju verovatnoću da zlonamerni identitet ili uređaj mogu da pristupe resursima i instaliraju ransomver. Kao primer, primena višestruke potvrde identiteta, jedna komponenta Nulta pouzdanost modela, prikazana je kako bi se smanjila efikasnost napada identiteta za više od 99%. Da biste procenili fazu Nulta pouzdanost zrelosti organizacije, ponesite našu Nulta pouzdanost Procena zrelosti.

 

Pridruživanje grupi za deljenje informacija


Grupe za deljenje informacija, koje se često organizuju po industriji ili geografskoj lokaciji, podstiču slično strukturirane organizacije da sarađuju sa rešenjima za kibernetičku bezbednost. Grupe takođe nude organizacijama različite pogodnosti, kao što su odgovori na incidente i digitalne forenzičke usluge, vesti o najnovijim pretnjama i nadgledanje javnih IP opsega i domena.

 

Održavanje rezervnih kopija van mreže


Pošto će neki ransomver pokušati da potraži i izbriše sve rezervne kopije na mreži koje možda imate, preporučujemo da zadržite ažuriranu rezervnu kopiju osetljivih podataka van mreže koju redovno testirate da biste se uverili da se može ponovo pokrenuti ako vas ikada pogodi napad ransomvera. Nažalost, održavanje rezervne kopije van mreže neće rešiti problem ako ste naišli na kripto ransomver napad, ali to može biti efikasna alatka za korišćenje u napadu ransomvera u ormariću.

 

Redovno ažurirajte softver


Pored toga što će sva antimalver rešenja biti ažurirana (razmislite o izboru automatskih ispravki), obavezno preuzmite i instalirajte sve ostale ispravke sistema i softverske zakrpe čim postanu dostupne. To vam pomaže da umanjite sve bezbednosne ranjivosti koje kibernetički kriminalci mogu da iskoriste kako bi dobili pristup vašoj mreži ili uređajima.

 

Kreiranje plana odgovora na incident


Kao što vam je na licu mesta plan za hitne slučajeve za izlazak iz kuće ako dođe do požara, bićete bezbedniji i spremniji, kreiranje plana odgovora na incidente za šta da radite ako vas napad ransomvera pogodi, pružiće vam akcibilne korake za izvršavanje različitih scenarija napada kako biste mogli da se vratite normalnom i bezbednom radu što pre.

Najčešća pitanja

|

Nažalost, skoro svako ko ima prisustvo na mreži može da postane žrtva napada ransomvera. Lični uređaji i poslovne mreže su česte ciljeve sajber kriminalca.

 

Ulaganje u proaktivna rešenja, međutim, kao što je threat-protection services, predstavlja dostupan način da sprečite da ransomver ikada zarazi mrežu ili uređaje. Stoga, pojedinci i organizacije sa antimalver programima i drugim bezbednosnim protokolima na licu mesta, kao što je Nulta pouzdanost model, pre nego što dođe do napada, najmanja je verovatnoća da će postati žrtva napada ransomvera.

Tradicionalni napadi ransomvera se dešavaju kada se pojedinac navede da uđe u interakciju sa zlonamernim sadržajem, kao što je otvaranje zaražene e-pošte ili posećivanje štetnog veb sajta, što instalira ransomver na uređaju.

 

U napadu ransomvera kojim upravlja čovek, grupa napadača cilja i proboj osetljivih podataka organizacije, obično putem ukradenih akreditiva.

 

Obično, za ransomver sa društvenim inženjeringom i ransomver kojim upravlja čovek, žrtva ili organizacija će biti predstavljene ransom napomenom koja detaljno prikazuje podatke koji su ukradeni i cenu vraćanja. Međutim, plaćanje otkupa ne garantuje da će podaci zapravo biti vraćeni ili da će buduća kršenja biti sprečena.

Efekti napada ransomvera mogu biti razorni. Na pojedinačnom i organizacionom nivou, bilo bi primorano da plati visoke ransome bez garancije da će im podaci biti vraćeni ili da se dodatni napadi neće izvršiti. Ako kibernetički kriminalac procuri u osetljive informacije organizacije, njegova reputacija može biti oslabljena i smatra se nepouzdanim. U zavisnosti od tipa informacija koje su procurele i veličine organizacije, hiljade pojedinca mogu biti pod rizikom da postanu žrtva krađe identiteta ili drugih sajber kriminala.

Kibernetički kriminalci koji zaraženi virusom' uređaji sa ransomverom žele novac. Teže da podese ransome u kriptocurrenci zbog svojih anonimnih priroda i priroda koje se ne mogu uočiti. U napadu rensomvera na društvenim mrežama koji cilja pojedinca, otkup može biti stotine ili hiljade dolara. U napadu ransomvera kojim upravlja čovek koji cilja organizaciju, otkup može biti milioni dolara. Ovi složeniji napadi na organizacije mogu da koriste poverljive finansijske informacije koje su sajber kriminalci pronašli prilikom proboja mreže kao osnove za postavljanje otkupa za koji smatraju da organizacija može da priušti.

Žrtva bi trebalo da prijavi napade ransomvera lokalnim ili saveznim agencijama za sprovođenje zakona. U Sjedinjenim Državama, ovo su vaše lokalne terenske kancelarije FBI-aIC3, ili Tajna služba. Stručnjaci za bezbednost i službenici za sprovođenje zakona preporučuju da ne plaćate ransoms—ako ste već platili, odmah se obratite banci i lokalnim organima. Banka će možda moći da blokira plaćanje ako ste platili kreditnom karticom.