«…Και γι’ αυτό ποτέ μη στείλεις να μάθεις για ποιον χτυπά η καμπάνα. Χτυπά για σένα».
Μία μεγάλη επιχείρηση έπεσε θύμα επίθεσης Ransomware και δεν δέχτηκε τον εκβιασμό, αλλά θα μπορούσε να ήταν πολύ χειρότερα. Εμπειρογνώμονες ασφαλείας μας δίνουν μια εικόνα για το πώς μια στοχευμένη επίθεση Ransomware έθεσε εκτός λειτουργίας βασικά πληροφοριακά συστήματα μιας μεγάλης επιχείρησης, αφού οι χάκερ εκμεταλλεύτηκαν τρωτά σημεία ασφαλείας.
Οι κυβερνοεγκληματίες χρησιμοποίησαν την μέθοδο του ηλεκτρονικού ψαρέματος (phishing) και εκμεταλλεύτηκαν μια σειρά από ευπάθειες, από παλιάς τεχνολογίας υλικό έως και προεπιλεγμένους κωδικούς πρόσβασης, για να σχεδιάσουν και εκτελέσουν την επίθεσή τους, με σκοπό να εκβιάσουν το θύμα/επιχείρηση ώστε να πληρώσει λύτρα για την αποκατάσταση των συστημάτων της.
Σε αυτήν την περίπτωση, η επιχείρηση επέλεξε να μην πληρώσει τα λύτρα, κάτι που και οι αρχές αποθαρρύνουν διότι αυτό θα χρηματοδοτούσε επιπλέον επιθέσεις από εγκληματίες στον κυβερνοχώρο. Αντ’ αυτού, η επιχείρηση κάλεσε μία εταιρεία με εμπειρογνώμονες κυβερνοασφάλειας για να εξετάσουν τα συστήματα και να αποκαταστήσουν τη λειτουργικότητα τους, κάνοντας χρήση των αντιγράφων ασφαλείας.
«Έχουμε να κάνουμε με μία στοχευμένη επίθεση. Τέτοιες επιθέσεις στοχεύουν σε οργανισμούς και επιχειρήσεις όπως αυτή, οι οποίες, εάν δεν έχουν τους απαιτούμενους μηχανισμούς αντιμετώπισης περιστατικών ασφαλείας, η πρώτη τους αντίδραση θα ήταν να ενδώσουν στον εκβιασμό Ransomware επειδή θέλουν να επιστρέψουν γρήγορα στις δραστηριότητές τους», δήλωσε ο εκπρόσωπος της εταιρείας κυβερνοασφάλειας.
Η εταιρεία κυβερνοασφάλειας διερεύνησε την επίθεση και βοήθησε την επιχείρηση/θύμα να επιστρέψει στις δραστηριότητές της χωρίς να πληρώσει τα λύτρα με κόστος όμως, εκτός από το κόστος της αποκατάστασης, την διαταραχή στην καθημερινή της λειτουργία και φυσικά τον σοβαρότατο αντίκτυπο στην φήμη της, μόλις δημοσιοποιήθηκε το γεγονός. Η επιχείρηση, πιθανότατα δεν θα είχε πέσει θύμα εάν οι βασικές ευπάθειες ασφαλείας είχαν εντοπιστεί και αντιμετωπιστεί πριν την επίθεση, κάτι το οποίο πολλές επιχειρήσεις, δυστυχώς, το πράττουν «κατόπιν εορτής».
Το συγκεκριμένο Ransomware, εκτέλεσε μία τρισδιάστατη επίθεση η οποία συμπεριλάμβανε εκτός των άλλων, την αντιγραφή των δεδομένων πριν την κρυπτογράφησή τους για περαιτέρω εκβιασμό καθώς και την χρήση ενός δευτερεύοντος κακόβουλου λογισμικού. Για την επίθεση χρησιμοποιήθηκε μια ισχυρή μορφή κακόβουλου λογισμικού που παρέχει στους επιτιθέμενους πλήρη πρόσβαση στα παραβιασμένα συστήματα, συμπεριλαμβανομένης της δυνατότητας μετακίνησης εντός των δικτύων, έκδοσης εντολών και κλοπής δεδομένων.
Ενώ πολλές επιθέσεις Ransomware ξεκινούν συνήθως με τη στόχευση και πρόσβαση μέσω απομακρυσμένων θυρών, η συγκεκριμένη ξεκίνησε με την μέθοδο του ηλεκτρονικού ψαρέματος (phishing). Ένα έγγραφο του Microsoft Word, στάλθηκε με email, σε χρήστη της επιχείρησης, ως μέρος μιας προσπάθειας ηλεκτρονικού ψαρέματος. Το έγγραφο αφορούσε τιμολόγιο από εξωτερικό συνεργάτη και μόλις ο χρήστης κατέβασε το έγγραφο, ένας κακόβουλος κώδικας εκτέλεσε μια εντολή PowerShell που κατέβασε το πρωτεύον κακόβουλο λογισμικό. Οι εντολές αυτές γενικά δεν είναι απαραίτητες σε χρήστες που δεν χρειάζονται δικαιώματα διαχειριστή, οπότε εάν το PowerShell είχε απενεργοποιηθεί για όσους δεν το χρειάζονταν, η κυβερνοεπίθεση θα μπορούσε να είχε σταματήσει σε αυτό το σημείο.
Μόλις το πρώτο κακόβουλο λογισμικό εκτέλεσε το αρχικό μέρος της επίθεσης, αποκτώντας πρόσβαση στο δίκτυο, το δεύτερο ενεργοποιήθηκε και έκλεψε διαπιστευτήρια σύνδεσης εταιρικών λογαριασμών και υπηρεσιών ώστε να αποκτηθεί πρόσβαση και σε άλλα μέρη του δικτύου. Με αυτόν τον τρόπο, οι κυβερνοεγκληματίες μπόρεσαν να αποκτήσουν έλεγχο σε πάνω από το μισό δίκτυο, «ζώντας» μέσα στην επιχείρηση για δύο μήνες, πριν τελικά εξαπολύσουν το Ransomware. Η επίθεση θα μπορούσε να ήταν πολύ χειρότερη, δεδομένου ότι το κακόβουλο λογισμικό δεν είχε θέσει σε κίνδυνο ολόκληρο το δίκτυο αλλά περίπου το 60% αυτού, συμπεριλαμβανομένων κάποιων εφαρμογών. Αυτό συνέβη εν μέρει επειδή το τμήμα πληροφορικής της επιχείρησης κατάφερε να περιορίσει την επίθεση, αποδεικνύοντας ότι ο χρόνος απόκρισης είναι πάντοτε κρίσιμης σημασίας.
Μετά από 3 ημέρες, μεγάλο μέρος της επιχείρησης επανήλθε και άρχισε να λειτουργεί ξανά, χωρίς να έχουν δοθεί τα λύτρα. Ωστόσο, οι τρείς ημέρες διακοπής λειτουργίας της επιχείρησης ήταν πολύ δαπανηρές καθώς και η αποκατάσταση του δικτύου, συν την όποια αναβάθμιση της ασφάλειας μετά, έτσι ώστε να μην επαναληφθεί η επίθεση. Όπως σε πολλές επιχειρήσεις που πέφτουν θύματα επιθέσεων στον κυβερνοχώρο, αυτή θα μπορούσε να αποφευχθεί εάν η συγκεκριμένη επιχείρηση είχε διασφαλίσει ότι η υγιεινή της ασφάλειας στον κυβερνοχώρο ήταν η σωστή και είχε επισημάνει και διορθώσει τις ευπάθειες που οι επιτιθέμενοι μπόρεσαν να επωφεληθούν. Για παράδειγμα, για πολλές από τις ευπάθειες που εκμεταλλεύονται οι επιτιθέμενοι έχουν εκδοθεί κρίσιμες ενημερώσεις ασφαλείας για την προστασία των συστημάτων, αλλά παρά το γεγονός αυτό υπάρχουν επιχειρήσεις που δεν τις έχουν ακόμη εφαρμόσει, η ακόμη χρησιμοποιούν παλιό και παρωχημένο υλικό και λογισμικό το οποίο δεν υποστηρίζεται πλέον. Η επίθεση θα μπορούσε επίσης να αποφευχθεί εάν είχαν χρησιμοποιηθεί ισχυροί κωδικοί πρόσβασης και έλεγχος ταυτότητας πολλών παραγόντων για την ασφάλεια των συστημάτων.
«Το προλαμβάνειν καλύτερο του Θεραπεύειν».
Όταν πρόκειται για επιθέσεις στον κυβερνοχώρο, η πρόληψη είναι η καλύτερη θεραπεία, γιατί όχι μόνο αποτρέπει την επιχείρηση να πέσει θύμα Ransomware ή άλλου κακόβουλου λογισμικού, αλλά το κόστος εξασφάλισης των συστημάτων από πριν, θα είναι σχεδόν σίγουρα λιγότερα ακριβό απ’ ότι η αποκατάσταση τους μετά από ένα συμβάν, ειδικότερα εάν η επίθεση διαταράξει τις λειτουργίες ή προκαλέσει ζημιά στη φήμη της επιχείρησης. Οι επιθέσεις τύπου Ransomware, σε οποιαδήποτε μορφή τους, θα εξακολουθούν να υπάρχουν και θα εξακολουθούν να αποτελούν απειλή, επειδή πάρα πολλές επιχειρήσεις και οργανισμοί δεν ακολουθούν τους βασικούς κανόνες ασφαλείας. Και μέχρι να διορθωθεί αυτό, το Ransomware θα παραμείνει ένα σοβαρότατο πρόβλημα.