Kako se prijetnje Ransomwarea razvijaju i kako ih uočiti

06.08.2020. / 10:44
Autor/ica
Share
rr
rr

Mnogi izvještaji objašnjavaju kako cyber napadači koji koriste ransomware napade prilagođavaju i mijenjaju tehnike napada. Interesantna je činjenica da se u razvijanju Ransomware napada koriste čak i napredne tehnike slične onim koje koriste državne agencije za sigurnost. Več smo spominjali da su ove vrste napada sve tiše i teško prepoznatljive, te da se vrlo brzo prilagođavaju trenutnim okolonostima, kao što je trenutna pandemija koronavirusa.

U utorak su istraživaći Sophosa objavili niz izvještaja koji detaljno opisuju evoluciju ransomwarea i kako napadači pronalaze nove načine za iznuđivanje više novca ali i drugih ličnih podataka od žrtava. Iako se raspon ransomwarea još uvijek proteže od malih napada do razine visokog nivoa, njihova se analiza uglavnom usredotočuje na napredne prijetnje poput WastedLocker i Maze ransomwarea.

Direktor inženjeringa Mark Loman i glavni istraživač prijetnji Anand Ajjan u izvještaju objašnjava kako se koristi Windows Cache Manager putem memorijskog preslikavanja, kako bi izbjegao nadgledanje pomoću alata zasnovanih na ponašanju korisnika/ca. To omogućava ransomwareu da transparentno šifrira predmemorirane dokumente u memoriji, bez izazivanja dodatnih disk input/output podataka. Alati koji se koriste za nadzor pisanja na disku na taj način neće primijetiti da zlonamjerni softver pristupa spremljenom dokumentu.

"Inteligencija, kreativnost i intimno poznavanje tih, vrlo sitnih tehničkih detalja za izradu zaobilaznice gotovo je nevidljiva u zlonamjernom softveru. To je stvar koju očekujemo da vidimo u napadima u špijunaži, a ne u kriminalnim napadima." -  kaže Chet Wisniewski, glavni naučnik za istraživanja u Sophosu.

Napadači se koriste svim dostupnim sredstvima kako bi postigli što nečujniji napad. Oni mogu zloupotrebiti PowerShell, druge Microsoftove alate, poput Metasploit ili Cobalt Strike.

Međutim ovakvi vidovi ponašanja nisu novi, ali ono što kao novost navodi Wisniewski je da je ovo možda jedini pokazatelj da ćete shvatiti da je neko ušao na vašu mrežu. Međutim otkrivajući da je neko ušao u vašu mrežu, sanirajući taj problem, rijetko ko može sa sigurnošću reći da je to početak i kraj napada. Najčešće nije, već je cijeli napad dio većeg incidenta. Što je duže napadač bio u vašoj mreži, imao je veću mogućnost da ode dalje. Ukoliko govorimo o računarima ili mobilnim uređajima novinara/ki, ovakvi napadi mogu imati velike posljedice, jer jednim ulaskom mogu doći do računara svih u redakciji.

„Iako je motivacija različita za svaku naprednu skupinu ransomwarea, tehnike su slične. WastedLocker je više fokusiran na tehničku eksploataciju; prijetnje poput Mazea oslanjaju se na dvostruko iznuđivanje. Optužuju žrtve da im vrate podatke i da ih spriječe u objavljivanju. Usredotočeni su na socijalniji aspekt kako mogu manipulisati svojim žrtvama“, dodaje Wisniewski.

Kako znati da li ste bili ugroženi

Iako je možda teško znati kada je napredni napadač na vašoj mreži, ipak je moguće. Peter Mackenzie, menadžer za eskalaciju zlonamjernog softvera u Sophosu, dijeli nekoliko ključnih pokazatelja koji bi mogli navesti kompanije, organizacije, pa i medijske redakcija, na sumnjive aktivnosti.

Jedan je mrežni skener, naročito na serveru. Napadači obično započinju rekonstrukciju pristupom na jednom uređaju i traženju informacija poput domene i naziva kompanije, administratorskih prava uređaja itd. Zatim skeniraju mrežu da bi vidjeli čemu još mogu pristupiti. Ako vaša IT podrška otkrije mrežni skener poput AngryIP ili Advanced Port Scanner, raspitajte se u kolektivu. Ako ga niko od novinara/ki ne koristi, može biti uljez.

Kolektivi bi takođe trebali paziti na alate dizajnirane za onesposobljavanje antivirusnog softvera koje napadači mogu koristiti da bi zaobišli otkrivanje. Mackenzie ukazuje na Process Hacker, IOBit Uninstaller, GMER i PC Hunter kao primjere legitimnih alata koji mogu ukazati na opake aktivnosti ako se iznenada pojave, te da se njihovo otkrivanje obabezno istraži.

"Ako niko u administrativnom timu ne može potvrditi korištenje MimiKatza, to je crvena zastava, jer je to jedan od najčešće korištenih alata za hakiranje zbog krađe identiteta. Napadači mogu upotrebljavati i Microsoft Process Explorer, legitimni alat koji može izbaciti LSASS [.] Exe iz memorije."- navodi Mackenzie.

Važno je naglasiti da čak ako i otkrijete i uklonijte zaražene datoteke, bilo bi dobro da vaš IT tim u narednom periodu svakodnevno nadgleda sistem i mrežu i u slučaju bilo kakve promjene reaguju. Napadači znaju biti uporni i vrlo brzo se prilagođavati. Napadači takođe mogu testirati sistem slanjem više testnih zlonamjernih virusa na više računara, kako bi provjerili reagovanje digitalne podrške, te s tim u vezi dodatno prilagodili i pojačali svoj napad.

Ocijenite kvalitet članka