כיצד לזהות רנסומוור: הבנת סימני הדבקה

מדריכים

68.5% של העסקים. בנוסף, מספר משפחות הגונבים מחזיקים שנזרקו ב-2020 היה בגודל של 34% יותר מאשר ב-2019 (לעומת 127 משפחות ב-2020).

בפוסט בלוג זה, אנו מגדירים תוכנות פיצוץ ומאירים אור על ערוצי הדבקה ראשיים וטכניקות זיהוי תוכניות פיצוץ. גם אנו עוברים על הפתרונות לזיהוי תוכניות פיצוץ, למניעת הדבקה נוספת ולהגברת העמידות של הנתונים שלך נגד תוכניות פיצוץ.

מהו תוכנת פיצוץ?

תוכנת פיצוץ היא תוכנה זדונית המשמשת לפרוץ לתוך סביבות מערכות מידע אישיות/עסקיות ולהצפין או לנעול נתונים. מטרתם של התקפות תוכנות הפיצוץ היא לחבל על פיונרים מנפיקים בתמורה לשחזור גישה לנתונים המצופפים/נעולים.

איך מערכות נדבקות בתוכניות פיצוץ: 5 וקטורי הדבקה

כדי למנוע נדבקות של מערכות ה-IT של הארגון שלך בתוכניות פיצוץ, עליך להיות מודע לדרכי הפצת תוכנות הזדוניות הנפוצות ביותר. בכך, תוכל ללמוד אילו רכיבי מערכת יותר חשופים ופגיעים בהתקפות תוכניות פיצוץ ואיך לזהות במהירות פעילות של תוכניות פיצוץ בתשתית שלך.

הדרכים שבהן הארגון שלך יכול להפוך לקורבן של תוכנות פשע דיגיטליות הן בלתי ספור. אך הנה כמה מובילות ביותר של וקטורי זיהום מלוואיר:

  • הודעות דוא"ל חשודות המפנות את הנמען ללחוץ על קישור או להוריד קובץ מצורף המכיל תוכנות זדוניות.
  • אתרי אינטרנט זדוניים נבנים על מנת להטעות אנשים לגלישה בדפיהם ולבסוף להיכנס לתוך תוכניות פשע דיגיטליות על ידי לחיצה על קישורים זדוניים.
  • מדיה חברתית לעתים תיחשב כמקורות אמינים וחוקיים, ולכן מאפשרות לאנשים לסמוך באופן מיידי עליהם. לרוב, תוכניות זיהום מתפשרות דרך אפליקציות זדוניות, פרסומות, תוספים וקישורים בפלטפורמות המדיה החברתית. אלה האפליקציות, פרסומות, קישורים וקבצי תוספת לדפדפן משכנעים לאנשים להוריד תוכן זדוני, כגון תוכניות פשע דיגיטליות או סוכני כרייה של מטבעות דיגיטליים.
  • מרקטינג זדוני הוא סוג של פרסום מקוון המכיל קוד זדוני. אתה לוחץ על הקישור באתר הנראה כחוקי, והמחשב שלך יכול להיכנס באופן אוטומטי לתוך תוכניות פשע דיגיטליות.
  • תוכניות פשע דיגיטליות בניית מובנות לנייד המתבצעות דרך אפליקציות ניידות בהן מוטבע קוד זדוני. על ידי הורדת תוכניות כאלה, אתה יכול לתת לתוכניות פשע דיגיטליות להיכנס לטלפון הנייד שלך בשניות, ואז להפיץ את הזיהום למחשב בפעם הבאה שתחבר את שני המכשירים.

טכניקות איתור תוכניות פשע דיגיטליות

כדי לזהות תוכניות פשע דיגיטליות שמנסות לפרוץ או כבר מפריעות לסביבת ה-IT שלך, ניתן להשתמש בסט כלים וטכניקות העוזרות לחשיפת קבצים זדוניים ולפעילויות חשודות. המומחים ב-IT מבחינים בסוגי טכניקות איתור הבאים:

  • Signature-based
  • Behavior-based
  • Deception

להלן אנו בוחנים כל טכניקת איתור רנסומוור בפרט.

איתור על בסיס חתימה

על בסיס חתימה מתודות משווה גיבוב דוגמה של סוגת רנסומוור לחתימות שנמצאו בעבר. זו טכניקה ראשונית נפוצה לפתרונות אנטיוירוס ופלטפורמות אבטחה. אלו בודקים את רסיסי המידע שמאוחסנים בקובץ ניתן להרצה לפני הפעלת הקובץ. הטכניקה כוללת איתור של רסיסי קוד דומים לרנסומוור מוקדם וחסימת הרצת הקוד המוזין.

השיטה משמשת לבניית הגנה בסיסית של ארגון. עם זאת, אף על פי שהן יכולות לזהות סוגות ידועים של רנסומוור בצורה יעילה, שיטות על בסיס חתימה עשויות לכשל עם תוכנות זדוניות חדשות. בנוסף, האקרים משקיעים מאמץ רב כדי לעדכן את תוכנות המלוח וכלי הניטרוליזציה שלהם, מה שהופך את הזיהוי של חתימות למאתגר יותר.

קיימים כמה ספקי תוכנות איתור תוכנות זדוניות המתחרים כיום בשוק. כל אחד מהם מספק סט מוצרים מומלצים של כלי איתור רנסומוור שעשויים להיות יעילים עד כמה שהם. אך, על פי הדו"ח של סופוס, מעל 50% מהתקפי רנסומוור בשנת 2021 היו מוצלחים, מה שאומר שאין מערכת איתור תוכנות זדוניות שיכולה לחשוף רנסומוור ב-100% בצורה מובטחת.

איתור על בסיס התנהגות

שיטות זיהוי רנסום מבוססות התנהגות משווה בין התנהגויות הידועות היסטורית לחדשות. מומחים וכלים אוטומטיים מקפידים על מעקב אחר פעילויות משתמשים ויישומים בתוך הסביבה כדי לתפוס שינויים לא רגילים במערכות קבצים, תעבורת לא רגילה, תהליכים לא ידועים וקריאות ל-API, בין אותות אחרים.

בדוק וזכור את האותות ההתנהגותיים הנפוצים של ניסיונות התקפת רנסום או זיהום מערכת מוצלחים:

  • דואר זבל ודיוג פישינג: דיוג פישינג הוא השיטה ההכי נפוצה שפושעים משתמשים בה כדי להעביר רנסום.
  • הפחתת ביצועים: במקרה שצמתי התשתיות שלך פועלים איטי יותר ממה שציפית, ודא שתגיב לפריצת רנסום פוטנציאלית.
  • פעילויות התחברות חשודות ומתמדות: כאשר ניסיונות ההתחברות הנכשלים מתרחשים באופן קבוע ובחשבונות שונים ממיקומים ומכשירים לא רגילים, יש סיכוי גבוה מאוד שמישהו מנסה לקבל גישה לא מורשית למערכות ה-IT של הארגון שלך.
  • סורקי רשת לא מורשים זוהתו: כאשר אין לך מושג מי הפעיל את התהליך של סריקת הרשת ולמה, עליך לחקור את הנושא מאחר וכי זו פעילות זדונית עשויה להיות.
  • מתקפות בדיקה פוטנציאליות: פושעים יכולים להתחיל מספר מתקפות קלות על כמה צמתים כדי לבדוק את עמידות וזמן התגובה של מערכת ההגנה של הארגון שלך לפני השגת התקפה בגודל מלא.
  • נטילת או הסרת תוכנות אבטחה: לא ניתן להתעלם משום הפרעות במערכת ההגנה, מאחר ואפילו תקלה זמנית מהווה פריצה פתוחה לדבקת רנסום.
  • הצפנת נתונים על חלק מהצמתים: הצפנת נתונים מוצלחת על כל צומת במערכת שלך מציינת פריצה בהגנת ה-IT שלך שהאקרים יכולים להשתמש בה בתקיפה קשה יותר.
  • זיהוי כלי פריצה ידועים: במקרה שאתה מזהה יישומים כאלה כמו Microsoft Process Explorer, MimiKatz, IOBit Uninstaller ו- PC Hunter בסביבת הארגון שלך, עליך להריץ בדיקת אבטחה מלאה של כל צומת.
  • פעילות בלתי רגילה סביב Active Directory: קיים מקרה ידוע של האקרים שמשתמשים בפרוטוקול רחוק לשולחן עבודה (RDP) כדי להגיע לשרתי AD המוגנים של מתקני נפט וגז ולהזריק את דבקת הרנסום Ryuk ישירות לתסריט התחברות של AD.
  • נסיונות שחיתות גיבוי: פלטפורמות אחסון גיבוי הן בין היעדים העדיפים לתקיפות סייבר. כל פעילות חשודה סביב אחסון הגיבוי בין בדיסקים פיזיים או בענן עשויה להיות איתור לתקיפת רנסום פוטנציאלית או פועלת.

איתור במניעת הטעיה

ניטור ואנליזה של טקטיקת ההתקפה

איומים מתפתחים גורמים לחברות לנצל כל אפשרות אבטחה זמינה כדי למנוע הפרות ואובדן נתונים, ולכן שילוב של שיטות גילוי כופר הוא פרקטיקה נפוצה. בנוסף, אסטרטגיה טובה לגילוי ולחימה באופן פרואקטיבי בהתקפות כופר היא להבין את הטקטיקות של התוקפים ולמנוע חדירה. להלן כמה המלצות לזיהוי ומניעת התקפות.

כיצד לזהות ולמנוע התקפה

אנו ממליצים לאמץ את הפרקטיקות הבאות כדי למנוע התקפות כופר. הוספנו גם טיפים להפחתת סיכוני אובדן נתונים במקרה שכופר חודר לסביבת הארגון.

  • העידוד עובדים:
    • ללמוד את הסימנים הנפוצים ביותר של תוכנות כופר ותוכנות זדוניות אחרות
    • להשתמש בסיסמאות חזקות לעדכן אותן באופן קבוע
    • לבדוק קישורים ונספחי קבצים לפני לחיצה עליהם
    • להבין כיצד פועלת דיוג לבדוק כתובות דוא"ל של הודעות נכנסות
  • עדכן את המערכת באופן קבוע

עליך לשמור את מערכת ההפעלה ויישומים קריטיים מעודכנים ומותקנים עם התיקונים האחרונים. התקן עדכונים ברגע שהם יוצאים. עדכוני מערכת ותיקוני אבטחה נועדו בדרך כלל לתקן את הבעיות של הגרסאות הקודמות ולכסות את הפרצות הידועות של המערכת שלך.

  • בדוק תוכנה מצד שלישי

לפני התקנת תוכנה מצד שלישי, בדוק תחילה שהספק אותנטי ואמין. לצורך כך, התקן תוכנת רישום לבנה (למשל, Bit9, Velox, McAfee, Lumension), שיכולה לזהות האם יישום חדש בטוח מספיק להתקנה ולהרצה במערכת שלך.

  • סרוק את התשתית שלך באופן קבוע

התקן והשתמש בתוכנת אנטי-תוכנות זדוניות שתתריע על איומים אפשריים, תזהה פרצות פוטנציאליות, ותאתר פעילויות של כופר בתשתית שלך. כלים מודרניים לאנטי-כופר מאפשרים לך לסרוק את כל המערכת לאיתור וירוסים קיימים ואיומים פעילים של תוכנות זדוניות. יתרה מכך, סריקות מחשב כאלה יכולות להתבצע על פי דרישה או על בסיס לוח זמנים שהגדרת, וכך למזער את הקלט הניהולי מצדך.

  • צור מלכודות (honeypots)

A honeypot is one of the most effective security measures that can be used to confuse cybercriminals and take their attention away from critical files. By setting up a honeypot, you create a fake file repository or a server that looks like a legitimate target to an outsider and appears especially enticing to ransomware attackers. This way, you can not only protect your files and rapidly detect a ransomware attack, but also learn how cybercriminals operate. Then, use that data and experience to improve the protection of your system against future cyberattacks.

  • הגבל גישה למערכות וליישומים קריטיים

החל את עקרון הרשאת הזכויות המינימליות כאשר אתה נותן הרשאות לעובדים למערכות. העקרון כולל נתינת גישה לעובד רק לאלה קבצים ומשאבי מערכת שנדרשים לביצוע עבודתם ביעילות. כל פעולה או גישה שאינן נחוצות לעובד לבצע את תפקידם צריכות להיות אסורות על ידי המנהל כדי למנוע זיהומים במקרי תקלה.

  • הגנת נתונים ובדיקת גיבויים

צור גיבויי נתונים ועדכן אותם באופן קבוע. השתמש בכלל 3-2-1 כדי לשפר את ההגנה ולוודא את השחזור המוצלח של הנתונים המוצפנים מסוג ransomware. הכלל מציין שעליך להיות לך 3 עותקים של הנתונים שלך ושעליך לאחסן אותם על 2 מדיות שונות, עם 1 מהם מאוחסן מחוץ לאתר. לאחר שהנתונים מגובים, בצע בדיקות כדי לוודא שהגיבויים שלך פועלים וניתנים לשחזור. לכן, אתה יכול למנוע כשלים שאחרת עשויים לקרות במהלך שחזור המערכת.

איך NAKIVO יכולה לעזור להגן על הנתונים שלך מפני ransomware

היום, התקפת ransomware שמונעת גישה לנתוני הארגון אינה רק עוד סיכוי אלא עניין של זמן. והדרך היעילה ביותר למנוע אירועי אובדן נתונים ולהימנע מפסקי ייצור לאחר הפרעות שנגרמו על ידי התקפות ransomware מוצלחות היא להיות לך גיבויים תקפים מוכנים לשחזור.

93% מהחברות שאינן מיישמות גיבויים ותוכניות לשחזור אחר פגיעה כגון אובדן נתונים גלובלי יוצאות מעסק בתוך שנה לאחר האסון. מצד שני, 96% מהחברות שיש להן אסטרטגיית גיבוי ושחזור אמינה הצליחו לשחזר בהצלחה מתקפות רנסומואר.

NAKIVO Backup & Replication היא פתרון להגנת הנתונים שבאפשרותך להשתמש בו כדי ליישם אסטרטגיה אמינה להגנה מפני רנסומואר ולהגביר את עמידות הארגון לתקיפות:

  1. צור גיבויים אמינים ואפליקטיביים של הנתונים שלך.
  2. אחסן גיבויים באתר, שלח למרחק או לענן כדי לעקוב אחרי כלל 3-2-1 ולמנוע נקודת כשל.
  3. אפשר אי-נעליות לגיבויים שמאוחסנים במאגרי Linux מקומיים ו/או בענן כדי להבטיח שהנתונים של הגיבוי שלך יישארו ללא שינוי וזמינים גם אם רנסומואר מכה בתשתיות הגיבוי.
  4. אפשר הצפנה של הנתונים של הגיבוי במהלך השילוח ולמנוחה. הפתרון משתמש בתקן ההצפנה AES-256 כדי למנוע גישה של צדדים שלישיים לנתוני הגיבוי שלך.
  5. השתמש בשליטת גישה על בסיס תפקיד (RBAC) כדי להגדיר זכויות גישה לעובדים ולשפר את הביטחון של הגיבויים. כאשר תקיפת רנסומואר מכה ומצפין את הנתונים המקוריים, השתמש בגיבויים לשחזור. באפשרותך לשחזר מכונות וירטואליות שלמות ומכונות פיזיות כמכונות וירטואליות מיידית. השתמש בשחזור גרנולרי מיידי כדי לשחזר קבצים ואובייקטים של יישומים אישית או מקוריים למיקומים קצרים יותר.
  6. כאשר מתקפת כופר מכה ומצפינה את הנתונים המקוריים, השתמש בגיבויים לשחזור. ניתן לשחזר מכונות וירטואליות מלאות ומכונות פיזיות כמכונות וירטואליות באופן מיידי. השתמש ב-שחזור מיידי גרעיני כדי לשחזר קבצים בודדים ואובייקטים של יישומים למיקומים מקוריים או מותאמים אישית כדי לקצר את זמן ההשבתה אף יותר.
  7. השתמש ברפליקציה, העברה אוטומטית והתזמורת לשחזור מאסון להשגת זמינות מהירה של מערכות ויישומים.

פתרון NAKIVO מאפשר לך לשלוט ולבצע אוטומציה של תהליכי גיבוי ושחזור מממשק יחיד. הפעל גיבויים בתדירות של כל דקה כדי למזער אובדן נתונים. עם גיבויים בלתי ניתנים לשינוי רלוונטיים שברשותך, תוכל להימנע מתשלום כופר להאקרים גם לאחר שמתקפת הכופר עקפה את מערכות האבטחה שלך והצפינה בהצלחה את הנתונים המקוריים.

Source:
https://www.nakivo.com/blog/methods-tools-ransomware-detection/