• H. Dunanta 1, Zagreb
  • 01 5585 266

Špica napada ransomwarea predviđa kako se radnici vraćaju u ured

 

COVID-19 postavio je mjesto za eksploziju ransomware incidenata. Kako su tvrtke namijenjene daljinskom radu s malo vremena za pripremu, morali su biti napravljeni određeni kompromisi u interesu kontinuiteta poslovanja; za mnoge tvrtke to je značilo labavljenje sigurnosnih protokola kako bi zaposlenici ostali produktivni.

No, unatoč gotovo savršenim uvjetima oluje, stopa incidenata sa ransomwareom ostala je stabilna. Međutim, malo je vjerojatno da će se taj trend nastaviti. Iako su određeni sektori uživali u kratkom odmoru od ransomwarea, vjerujemo da ćemo možda vidjeti porast napada u narednim tjednima kako se udaljeni radnici - i njihovi potencijalno kompromitirani uređaji - vraćaju u ured.

ID Ransomware Daily Submissions in the Last 6 Months

Ransomware se ne povezuje na C2 poslužitelje


Većina modernih sojeva ransomwarea isporučuje se u višestupnim napadima koji akterima prijetnji omogućuju da saznaju više o zaraženom sustavu prije nego što odluče hoće li ili ne implementirati ransomware.

Prva faza napada uglavnom je izviđanje. Nakon što je sustav ugrožen, napadači koriste zlonamjerni softver prve faze za istraživanje zaražene krajnje točke i procjenu vrijednosti cilja. Zlonamjerni softver koristi više dodataka za periodično postavljanje upita o instaliranom softveru, skeniranje mreža i dohvaćanje podataka o sustavu.

Ako zlonamjerni softver utvrdi da je sustav prikladan cilj, on uspostavlja vezu (koja se ponekad naziva i pozivnica kući) s napadačevim naredbom za upravljanje i kontrolu (C&C), koji se koristi za preuzimanje ransomwarea i održavanje komunikacije između aktera prijetnje i kompromitirani sustav. S druge strane, ako se sustav smatra neprimjerenim ciljem, kuća za pozive se ne pokreće i ransomware ne raspoređuje.

Vjerujemo da ovaj potonji scenarij može objasniti neočekivano ravnu stopu ransomware incidenata posljednjih mjeseci. S obzirom na to da toliko ljudi sada radi kod kuće, veliki broj kompromitiranih krajnjih točaka možda je kategoriziran kao neprikladne ciljeve, što bi spriječilo zlonamjerni softver da uspostavi vezu s C&C poslužiteljima napadača i doprinijelo prividnom zatišju u incidentima koji se tiču ​​ransomwarea.

Ransomware kako bi se pojavio kad se ljudi vrate na posao
Budući da se kućice za pozive ne pokreću i ne koristi se otkupni softver, postoji velika vjerojatnost da mnogi udaljeni radnici trenutno rade s kompromitiranih krajnjih točaka, potpuno zaboravljajući na činjenicu da u sebi imaju malware. Zlonamjerni softver može mirovati tjednima ili čak mjesecima (prosječno vrijeme trajanja, koje je definirano kao vrijeme između početnog kompromisa i otkrivanja, 56 dana, prema FireEye ), čekajući pravu priliku za povezivanje na svoj C&C poslužitelj.

Ta se prilika možda nalazi iza ugla. S obzirom na to da države postupno smanjuju pravila socijalne distanciranja, očekujemo da dođe do skoka u incidentima koji se tiču ​​ransomwarea dok se zaposlenici vraćaju u ured i povezuju kompromitirane krajnje točke s korporativnim mrežama. To može pokrenuti funkciju kućnog zvanja zlonamjernog softvera i pokrenuti niz događaja koji u konačnici vodi do uvođenja ransomwarea.

Preporučene akcije za tvrtke
Organizacije svih veličina moraju osigurati da uređaji koji se koriste za daljinski rad nisu ugroženi prije nego što dopuste da se povežu na mrežu tvrtke. Ispod su neke učinkovite strategije za ublažavanje rizika vraćanja uređaja koji se koriste kod kuće, na radno mjesto:

  • Segmentacija mreže: Najefikasniji način zaštite mreže poduzeća je stvaranje podmreže posebno za krajnje točke koje su se prije koristile na daljinu. Segmentacija sprječava da se zlonamjerni softver bočno kreće po mreži i omogućava IT timovima da lako izoliraju i kontroliraju incidente.
  • Provjera sigurnosti uređaja : Provjerite da nije bilo kršenja pravila kao što su propušteno zakazano skeniranje, neodobrene instalacije softvera i neobični obrasci za prijavu.
  • Reimage uređaji : Ako zaposlenici rade daljinski već duže vrijeme, tvrtke bi trebale razmisliti o ponovnom osmišljavanju uređaja izdanih na poslu kako bi se uklonili rizik od zaraze zlonamjernim softverom.
    Trening o osvješćivanju cyber-sigurnosti : Kako se zaposlenici vraćaju na radno mjesto, ažurirani trening za osvještavanje o cyber-sigurnosti može pomoći u smanjenju zlonamjernog softvera, izbjegavanju kršenja sigurnosnih politika, poboljšanju produktivnosti tvrtke i postizanju usklađenosti.


Zaključak
Iako je ransomware ostao stabilan ili se čak smanjio u nekim sektorima posljednjih tjedana, ovaj se trend vjerojatno neće nastaviti. Predviđamo da incidenti s otkupnim softverom izviru dok se udaljeni radnici vraćaju u ured s kompromitiranim uređajima, ali tvrtke imaju mogućnosti ublažavanja ove prijetnje.

Zaštitite uređaj sa Emsisoft Anti-Malware.


Je li vas antivirus iznevjerio? Mi nećemo. Preuzmite besplatnu probnu inačicu Emsisoft Anti-Malware i uvjerite se sami.

Danas je sjedište tvrtke Emsisoft na Novom Zelandu, ali održava globalnu prisutnost putem lokalnih timova u svim vremenskim zonama. Zlonamjerni softver ne spava, a ni mi.

Korisni linkovi

Pratite nas