National CSIRT-CY | National Computer Security Incident Response Team of Cyprus

Η Εθνική Ομάδα Αντιμετώπισης Ηλεκτρονικών Επιθέσεων προβλέπει την αύξηση της ηλεκτρονικής ασφαλείας ενισχύοντας την προστασία του κυβερνοχώρου των Εθνικών Κρίσιμων Πληροφοριακών Υποδομών, των τραπεζών και των παροχών επικοινωνίας της Κυπριακής Δημοκρατίας.

ENGLISH
Γραμμή Βοηθείας: 1490
ENGLISH

Η αυξανόμενη απειλή του Ransomware: 10 συμβουλές για πρόληψη και ανάκτηση

15 Μαρτίου 2023

Ο κίνδυνος επίθεσης από κακόβουλα άτομα (hacker) στα πληροφοριακά συστήματα της επιχείρησή σας δεν ήταν ποτέ μεγαλύτερος. Σε αυτήν την ανάρτηση, θα εξετάσουμε τι μπορείτε να κάνετε για να κρατήσετε μακριά το κακόβουλο λογισμικό Ransomware, μειώνοντας τον κίνδυνο και τον αντίκτυπο μιας τέτοιας επίθεσης.

Οι τεράστιες αλλαγές στις εργασιακές πρακτικές τα τελευταία δύο χρόνια έχουν αλλάξει και τους στόχους ασφαλείας του κάθε οργανισμού. Το προσωπικό εργάζεται κυρίως από το σπίτι και οι εργοδότες αναγκάστηκαν να φέρουν νέα εργαλεία παραγωγικότητας βασισμένα στο cloud (αυτόματη online αποθήκευση δεδομένων και πληροφοριών σε ένα «σύννεφο» από servers)

Αυτή η αλλαγή στη χρήση της τεχνολογίας αφήνει ελάχιστο ή καθόλου χρόνο για να εξετάσει κανείς τις πλήρεις συνέπειες για την ασφάλεια στον κυβερνοχώρο. Ως αποτέλεσμα, οι εταιρείες έχουν γίνει πολύ πιο ευάλωτες σε επιθέσεις.

Ταυτόχρονα, το μοντέλο επίθεσης έχει αλλάξει. Οι μεμονωμένοι Hacker, των οποίων ο μοναδικός στόχος είναι να προκαλέσουν αναστάτωση, δεν αποτελούν πλέον τη μεγαλύτερη απειλή. Έχουν αντικατασταθεί από οργανωμένες συμμορίες εγκληματιών που βγαίνουν για οικονομικό όφελος. Αυτό οδήγησε σε ένα τεράστιο κύμα επιθέσεων Ransomware που είναι τόσο πολύ εξελιγμένες όσο και εξαιρετικά καταστροφικές.

Τι είναι όμως ακριβώς το Ransomware και τι μπορείτε να κάνετε για να το κρατήσετε μακριά;

Θα σας δείξουμε πώς να μειώσετε τον κίνδυνο ενός περιστατικού Ransomware καθώς και να ελαχιστοποιήσετε τον αντίκτυπο μιας επίθεσης σε περίπτωση που συμβεί.

Τι είναι το Ransomware;

Το Ransomware είναι ένας συγκεκριμένος τύπος κακόβουλου λογισμικού που απαγορεύει στο θύμα την πρόσβαση στα δεδομένα του και σε άλλους πόρους πληροφορικής μέχρι να πληρώσει στον εισβολέα λύτρα. Ο μακράν ο πιο συνηθισμένος τύπος επίθεσης λειτουργεί κρυπτογραφώντας δεδομένα και κρατώντας το κλειδί κρυπτογράφησης που απαιτείται για την αποκρυπτογράφηση τους.

Ωστόσο, άλλες μέθοδοι περιλαμβάνουν επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS), όπου ένας hacker πλημμυρίζει τους διακομιστές σας με ψευδή αιτήματα σύνδεσης στις υπηρεσίες σας με αποτέλεσμα να καθιστά αδύνατη την κανονική λειτουργία των συστημάτων σας. Στη συνέχεια θα σας στείλουν ένα μήνυμα ζητώντας λύτρα για να τερματιστεί η επίθεση.

Μια άλλη μορφή Ransomware είναι το doxware, όπου ένας εισβολέας απειλεί να εκθέσει ευαίσθητα δεδομένα, τα οποία θα μπορούσαν να βλάψουν σοβαρά έναν οργανισμό ή ένα άτομο.

Τα ηλεκτρονικά μηνύματα ψαρέματος τύπου «Phishing», τα οποία περιέχουν κακόβουλους υπερσυνδέσμους ή συνημμένα, είναι η πιο ευρέως χρησιμοποιούμενη μέθοδος έναρξης επίθεσης. Η αμέλεια των εργαζομένων και οι κακές πρακτικές των χρηστών γίνονται επίσης ευρέως αντικείμενο εκμετάλλευσης από επιθέσεις ransomware.

Πρέπει να πληρώσω τα λύτρα;

Η σύντομη απάντηση είναι όχι. Οι πληρωμές Ransomware δεν είναι η λύση. Μπορεί να φαίνεται ως η μόνη, ή ακόμα και η πιο οικονομική επιλογή για τις εταιρείες που έχουν δεχθεί επίθεση.

Πρέπει να θυμάστε ότι έχετε να κάνετε με εγκληματίες και πληρώνοντας, αποδεικνύετε το επιχειρηματικό τους μοντέλο και ενθαρρύνετε περαιτέρω επιθέσεις.

Ακόμα κι αν πληρώσετε, δεν υπάρχει καμία εγγύηση ότι θα λάβετε πίσω τα δεδομένα σας. Οι εγκληματίες μπορούν εύκολα να απαιτήσουν περισσότερα χρήματα για να δημοσιοποιήσουν δεδομένα που γνωρίζουν ότι είναι ευαίσθητα ή υψηλής αξίας.

Μέτρα προστασίας από Ransomware

Τα παρακάτω είναι τα πιο σημαντικά πρώτα βήματα που πρέπει να κάνει οποιαδήποτε εταιρεία, ανεξάρτητα από το μέγεθος, για να ελαχιστοποιήσει τον κίνδυνο μιας επιτυχημένης επίθεσης Ransomware.

1. Χρησιμοποιήστε λογισμικό ανίχνευσης και απόκρισης τελικού σημείου (EDR)

Το EDR ( Endpoint Detection and Response Software) είναι μια προηγμένη μορφή προστασίας από απειλές, η οποία συχνά συγχέεται με το λογισμικό προστασίας από ιούς. Ωστόσο, τα προϊόντα προστασίας από ιούς είναι γενικά σχεδιασμένα μόνο για να προστατεύουν γνωστές απειλές, ενώ το EDR είναι σε θέση να ανιχνεύει και να ανταποκρίνεται σε πολλές νέες μορφές επίθεσης όταν και όταν συμβαίνουν.

Το EDR λειτουργεί συλλέγοντας δεδομένα από σταθμούς εργασίας και άλλα τελικά σημεία και χρησιμοποιώντας αυτές τις πληροφορίες για να ανιχνεύσει τα σημάδια κακόβουλης συμπεριφοράς.

Από την ξαφνική στροφή προς την απομακρυσμένη εργασία, το EDR γίνεται όλο και πιο σημαντικό, καθώς οι hacker βρίσκουν την ευκαιρία να εκμεταλλευτούν τις αδυναμίες στο δίκτυο μίας επιχείρησης.

2. Ακολουθήστε την αρχή του ελάχιστου προνομίου (PoLP)

Το PoLP(Principle of Least Privilege) είναι μια προσέγγιση για την ασφάλεια πληροφορικής, μέσω της οποίας παρέχετε σε κάθε χρήστη το ελάχιστο επίπεδο πρόσβασης στα δεδομένα και τους πόρους που χρειάζονται για να εκτελέσει το ρόλο του. Για παράδειγμα, ένα μέλος του προσωπικού μπορεί να χρειαστεί να έχει πρόσβαση σε προσωπικά δεδομένα ως μέρος των καθηκόντων του, αλλά δεν χρειάζεται να αλλάξει τα προσωπικά στοιχεία κανενός. Επομένως, θα πρέπει να τους παραχωρήσετε άδεια ανάγνωσης τέτοιων δεδομένων αλλά όχι τροποποίησης.

Το PoLP μπορεί να συμβάλει στη μείωση του κινδύνου επίθεσης Ransmware μέσω τεχνικών κοινωνικής μηχανικής, όπως τα μηνύματα ηλεκτρονικού ψαρέματος (Phishing). Διότι, εάν ένας hacker καταφέρει να κλέψει τα διαπιστευτήρια σύνδεσης ενός υπαλλήλου, δεν σημαίνει απαραίτητα ότι θα έχει επαρκή προνόμια για να εξαπολύσει μια επίθεση.

3. Εφαρμόστε μια πολιτική ισχυρού κωδικού πρόσβασης

Τα αρχεία κωδικών πρόσβασης είναι αγαπημένοι στόχοι για τους hacker. Αν και οι κωδικοί πρόσβασης που περιέχονται στα αρχεία κωδικών πρόσβασης είναι κατακερματισμένοι, γεγονός που τους καθιστά ακατανόητους, οι εισβολείς έχουν μια σειρά από κόλπα στο μανίκι τους για να τα σπάσουν. Ωστόσο, όσο μεγαλύτεροι και πιο περίπλοκοι είναι οι κωδικοί πρόσβασης, τόσο πιο δύσκολο είναι να σπάσουν.

Επομένως, είναι σημαντικό να επιβάλλετε ισχυρούς κωδικούς πρόσβασης επιβάλλοντας ένα ελάχιστο μήκος και απαιτώντας τουλάχιστον έναν αριθμό, κεφαλαίο, πεζό και μη αλφαριθμητικό χαρακτήρα. Με αυτόν τον τρόπο, σε περίπτωση που κάποιος έκλεψε τους κωδικούς πρόσβασής σας, θα ήταν πολύ δύσκολο για τον δράστη να τους σπάσει.

Θα πρέπει επίσης να περιστρέψετε τους κωδικούς πρόσβασης ως μέρος μιας ισχυρής πολιτικής κωδικών πρόσβασης. Με άλλα λόγια, θα πρέπει να ζητάτε από τους χρήστες να αλλάζουν τους κωδικούς πρόσβασής τους περιοδικά. Αυτό περιορίζει αποτελεσματικά τον χρόνο που έχουν οι εισβολείς για να σπάσουν τους κωδικούς πρόσβασής σας και να τους χρησιμοποιήσουν.

4. Ενεργοποιήστε τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA)

Εάν τα συστήματά σας υποστηρίζουν MFA (Multifactor Authentication), όπου οι χρήστες πρέπει να περάσουν από ένα επιπλέον βήμα επαλήθευσης, όπως η εισαγωγή ενός εφάπαξ κωδικού που αποστέλλεται στο τηλέφωνό τους, θα πρέπει να τον ενεργοποιήσετε το συντομότερο δυνατό.

Το MFA λειτουργεί ως στρώμα άμυνας βάζοντας άλλο ένα εμπόδιο που πρέπει να ξεπεράσει ένας εισβολέας για να μπει στα συστήματά σας.

Εκτός από τους κωδικούς μιας χρήσης μέσω SMS, άλλες μορφές MFA περιλαμβάνουν:

  • Εφαρμογές ελέγχου ταυτότητας για επιτραπέζιους υπολογιστές και κινητά τηλέφωνα
  • Φυσικά κλειδιά ασφαλείας U2F, τα οποία συνδέονται μέσω Bluetooth ή συνδέονται στη θύρα USB σας
  • Οι κωδικοί επιβεβαίωσης σύνδεσης παραδόθηκαν στη διεύθυνση email σας
  • Βιομετρικός έλεγχος ταυτότητας, όπως αναγνώριση δακτυλικών αποτυπωμάτων, προσώπου και φωνής

5. Διατηρήστε το λογισμικό ενημερωμένο

Οι ενημερώσεις λογισμικού και οι ενημερώσεις κώδικα περιέχουν διορθώσεις σε ευπάθειες που μπορούν να εκμεταλλευτούν οι εισβολείς ανά πάσα στιγμή. Επομένως, θα πρέπει να τα εφαρμόσετε στο λογισμικό και τα λειτουργικά σας συστήματα μόλις γίνουν διαθέσιμα.

Αλλά να θυμάστε πάντα να λαμβάνετε αντίγραφα ασφαλείας πριν εγκαταστήσετε ενημερώσεις, ώστε να μπορείτε να ανακτήσετε γρήγορα εάν αντιμετωπίσετε ζητήματα όπως σφάλμα συστήματος ή απώλεια κρίσιμης λειτουργικότητας.

Σε περιπτώσεις όπου δεν μπορείτε να ανεχτείτε κανένα χρόνο διακοπής λειτουργίας, μπορεί να χρειαστεί να διαχειριστείτε πρώτα ενημερώσεις σε δοκιμαστικό περιβάλλον, προκειμένου να ελέγξετε για τυχόν πιθανά προβλήματα πριν κυκλοφορήσετε στα ζωντανά συστήματά σας.

 

6. Αυξήστε την ευαισθητοποίηση των εργαζομένων για την κυβερνοασφάλεια

Σύμφωνα με έρευνα του Πανεπιστημίου του Στάνφορντ το ανθρώπινο λάθος ήταν η βασική αιτία σχεδόν του 90% όλων των περιστατικών ασφαλείας. Η μελέτη αποκάλυψε επίσης ότι η νεότερη γενιά ήταν πιο ευάλωτη σε επιθέσεις Phishing – με το 25% να λέει ότι είχε κάνει κλικ σε έναν σύνδεσμο Phishing σε σύγκριση με μόλις 8% των εργαζομένων άνω των 51 ετών.

Οι χρήστες σας είναι ο πιο αδύναμος κρίκος στην ασφάλεια των συστημάτων σας. Επομένως, αξίζει να καλλιεργήσετε μια κουλτούρα ασφάλειας στην επιχείρησή σας.

Εγγράψτε υπαλλήλους σε ένα μάθημα ευαισθητοποίησης σχετικά με την ασφάλεια και δημιουργήστε αντίγραφα ασφαλείας με τις δικές σας συμβουλές σχετικά με τις βέλτιστες πρακτικές ασφάλειας. Εάν τους υπενθυμίζετε περιοδικά τους καθημερινούς κινδύνους, όπως η κοινή χρήση αναιρουμένων μέσων, το κλικ σε κακόβουλους συνδέσμους και η χρήση δημόσιων υπηρεσιών Wi-Fi, θα είστε πολύ λιγότερο ευάλωτοι σε μια επίθεση Ransomware.

Μέτρα επιχειρησιακής συνέχειας και αποκατάστασης από καταστροφές (BCDR).

Εκτός από ισχυρές διαδικασίες και διαδικασίες ασφαλείας, θα πρέπει επίσης να έχετε λάβει μέτρα για να επαναφέρετε την επιχείρησή σας στα πόδια της το συντομότερο δυνατό σε περίπτωση που δεχτεί κάποια επίθεση ή μη διαθεσιμότητα των υπηρεσιών της.

Αυτό σκοπεύει να επιτύχει η επιχειρηματική συνέχεια και η ανάκαμψη από καταστροφές (BCDR).

Όποια και αν είναι η φύση της διακοπής, είτε μέσω επίθεσης Ransomware, διακοπής ρεύματος, βλάβης υλικού, ανθρώπινου λάθους ή απρόβλεπτων ανεπιθύμητων συμβάντων, το BCDR θα συμβάλει στη διασφάλιση της ταχείας ανάκτησης συστημάτων πληροφορικής και κρίσιμων για την αποστολή δεδομένων με ελάχιστη διακοπή και κόστος για την επιχείρησή σας.

Τα παρακάτω βήματα αποτελούν αναπόσπαστο μέρος ενός καλά σχεδιασμένου σχεδίου BCDR.

7. Ακολουθήστε τον Κανόνα δημιουργίας αντιγράφων ασφαλείας 3-2-1

Δεν πρέπει ποτέ να βασίζεστε μόνο σε ένα μόνο αντίγραφο ασφαλείας των δεδομένων σας. Οι επαναφορές μπορεί να αποτύχουν.

Επίσης, οι πιο προηγμένες επιθέσεις Ransomware στοχεύουν και στα αντίγραφα ασφαλείας σας.

Για να διασφαλίσετε επαρκή προστασία, θα πρέπει να ακολουθείτε τον κανόνα 3-2-1 δημιουργίας αντιγράφων ασφαλείας, σύμφωνα με τον οποίο διατηρείτε δύο τοπικά αντίγραφα, τα δεδομένα παραγωγής σας και ένα αντίγραφο ασφαλείας σε διαφορετικό μέσο, και ένα άλλο αντίγραφο αποθηκευμένο σε μια υπηρεσία εκτός τοποθεσίας.

Το τοπικό αντίγραφο ασφαλείας θα είναι άμεσα διαθέσιμο για απλή και γρήγορη ανάκτηση. Ωστόσο, θα είναι επίσης πιο ευάλωτο σε επιθέσεις.

Το αντίγραφο ασφαλείας εκτός τοποθεσίας, από την άλλη πλευρά, θα απομακρυνθεί από τα συστήματα εντός του χώρου σας. Ως εκ τούτου, οι hacker θα δυσκολευτούν να επιτεθούν, καθώς πιθανότατα θα χρειαστούν πρόσθετα διαπιστευτήρια πρόσβασης και επίσης συμπληρωματικές πληροφορίες δικτύου για να το εντοπίσουν. Αυτό θα ισχύει ιδιαίτερα εάν χρησιμοποιείτε μια υπηρεσία δημιουργίας αντιγράφων ασφαλείας cloud.

 

8. Πάρτε αμετάβλητα αντίγραφα ασφαλείας

Ένα αμετάβλητο αντίγραφο ασφαλείας είναι ένα αντίγραφο των δεδομένων σας που δεν μπορεί να τροποποιηθεί, να κρυπτογραφηθεί ή να διαγραφεί. Χρησιμοποιεί τεχνολογία κλειδώματος που εμποδίζει οποιονδήποτε, συμπεριλαμβανομένων των χρηστών με δικαιώματα διαχειριστή, να κάνει τέτοιες αλλαγές μέχρι το τέλος μιας καθορισμένης περιόδου διατήρησης.

Ως εκ τούτου, μπορείτε να είστε σίγουροι ότι μπορείτε να ανακτήσετε τις υπηρεσίες σας μετά από μια επίθεση Ransomware ή οποιοδήποτε άλλο είδος περιστατικού προστασίας δεδομένων.

9. Έλεγχος των αντιγράφων ασφαλείας

Θα μπορούσε να περάσει κάποιο χρονικό διάστημα από τη στιγμή που ένας εισβολέας παραβίασε για πρώτη φορά το σύστημά σας.

Κατά τη διάρκεια αυτής της περιόδου τα αντίγραφα ασφαλείας σας θα έχουν επίσης μολυνθεί. Επομένως, βεβαιωθείτε ότι το σύστημα δημιουργίας αντιγράφων ασφαλείας δεν λαμβάνει απλώς αντίγραφα των δεδομένων σας, αλλά και τα σαρώνει για κακόβουλο λογισμικό. Με αυτόν τον τρόπο, μπορείτε να είστε σίγουροι ότι είναι καθαρά και ασφαλή για χρήση όποτε τα χρειάζεστε.

Και μην ξεχνάτε να δοκιμάζετε το σύστημα επαναφοράς σας σε τακτική βάση, καθώς θέλετε να βεβαιωθείτε ότι λειτουργεί σωστά όταν το χρειάζεστε και ότι τα αντίγραφα ασφαλείας είναι απαλλαγμένα από φθορές ή άλλα προβλήματα που θα μπορούσαν να εμποδίσουν την ανάκτηση.

10. Καταρτίστε ένα σχέδιο αντιμετώπισης περιστατικών

Η ανάκτηση από μια επίθεση Ransomware μπορεί να είναι ένα τεράστιο εγχείρημα, καθώς οι υπηρεσίες σας λειτουργούν με ασφάλεια. Ίσως να χρειαστεί να γίνει λεπτομερή ανάλυση για να διαπιστώσετε τα πλήρη γεγονότα του συμβάντος.

Εάν η επίθεση ενέχει απειλή για παραβίαση προσωπικών δεδομένων, τότε το πιο πιθανό να χρειαστεί να το αναφέρετε τόσο Εθνική Ομάδα Αντιμετώπισης Ηλεκτρονικών Επιθέσεων (CSIRT-CY), Αρχή Ψηφιακής Ασφάλειας (ΑΨΑ), στο Γραφείο του Επιτρόπου Επικοινωνιών καθώς και στην Αστυνομία. 

Επομένως, είναι σημαντικό να καταρτίσετε ένα σχέδιο αντιμετώπισης περιστατικού, ώστε να είστε κατάλληλα εξοπλισμένοι για να αντιμετωπίσετε ένα περιστατικό. Αυτό θα πρέπει να δώσει προτεραιότητα στη διαδικασία ανάκτησης του.

Προετοιμάσου

Η καλύτερη άμυνα για κάθε οργανισμό είναι να είναι προετοιμασμένος για κάθε είδους επίθεση Ransomware.

    • Ελέγξτε την ασφάλειά σας.
    • Αυξήστε την ασφάλειά σας.
    • Εφαρμόστε διαδικασίες δημιουργίας αντιγράφων ασφαλείας και ανάκτησης.
    • Εκπαιδεύστε το ανθρώπινο δυναμικό σας

Αν νομίζετε ότι κινδυνεύετε, αναλάβετε δράση!

Working towards a trusted and cyber secure Europe

Protect your cyber hygiene

Cyber Europe 2022 [exercise]

Cyber threats require heightened defences

Νέα
Απλές και καθημερινές συμβουλές ασφάλειας στον κυβερνοχώρο για τα παιδιά και τους γονείς Πώς να ελέγξετε αν το τηλέφωνό σας έχει παραβιαστεί; 5 σημάδια για να καταλάβετε Κυβερνοασφάλεια: Ένα ασφαλέστερο διαδίκτυο αρχίζει μαζί με την νέα σχολική χρονιά… Κενό ασφαλείας WinRAR χρησιμοποιείται σε επιθέσεις Zero-Day Μνημόνιο Συνεργασίας μεταξύ του Επιτρόπου Προστασίας Δεδομένων Προσωπικού Χαρακτήρα (ΕΠΔΠΧ) και του Επιτρόπου Επικοινωνιών (ΕΕ) Μνημόνιο Συναντίληψης και Συνεργασίας μεταξύ της Αρχής Ψηφιακής Ασφάλειας και του Κυπριακού Εμπορικού και Βιομηχανικού Επιμελητήριου Συναντήσεις Επιτρόπου Επικοινωνιών κ. Γιώργου Μιχαηλίδη στα γραφεία της ITU Ευρώπης στην Γενεύη. Ο Βοηθός Επίτροπος Επικοινωνιών κ. Πέτρος Γαλίδης στον Alpha Κύπρου Πώς να αποτρέψετε τις επιθέσεις Ransomware: Οι 10 καλύτερες πρακτικές για το 2023 Επίτροπος Επικοινωνιών, Γιώργος Μιχαηλίδης στο ΚΥΠΕ: Στις 700 αυξάνει τις κρίσιμες υποδομές η οδηγία NIS