Si zhvillohet rreziqet nga Ransomware dhe si t'i dalloni

06.08.2020. / 12:12
Autor/ica
Share
rr
rr

Shumë raporte shpjegojnë se si sulmuesit kibernetikë të cilët përdorin ransomware i adaptojnë sulmet e tyre dhe i ndryshojnë teknikat e sulmeve. Është interesant fakti se në zhvillimin e këtyre sulmeve përdoren edhe teknikat e avancuara të ngjashme me ato të cilat i përdorin agjencitë shtetërore për siguri.  Tashmë kemi thënë se këto lloje sulmesh dallohen gjithnjë e më vështirë, dhe se shumë shpejt u përshtaten rrethanave aktuale, siç është pandemia aktuale e koronavirusit.

Të martën hulumtuesit e Sophos-it publikuan një varg hulumtimesh të cilat hollësisht përshkruajnë evolucionin e ransomware-it dhe se si sulmuesit gjejnë mënyra të reja për nxjerrjen e më shumë parave por edhe të të dhënave të tjera nga viktimat. Edhe pse vargu i ransomware-it ende shtrihet nga sulmet e vogla e deri te nivelet e larta, analiza e tyre rëndom përqendrohet në rreziqet e avancuara siç është WastedLocker dhe Maze ransomware.

Drejtori i inxhinierisë Mark Loman dhe hulumtuesi kryesor i rreziqeve Anand Ajjan në raport shpjegojnë se si shfrytëzohet Windows Cache Manager përmes fotografimit të memories, për të shmangur monitorimin përmes veglave të bazuara në shprehitë e përdoruesit. Kjo i mundëson ransomware-it që në mënyrë transparente të kodifikojë dokumentet në memorie, pa prekur të dhëna të tjera të disk input/output. Veglat të cilat përdoren për monitorimin e shkrimit në disk kësisoji nuk do të dallojnë se softueri malicioz i qaset dokumentit të ruajtur.

"Inteligjenca, kreativiteti dhe njohja intime e atyre detajeve shumë të vogla teknike për gjetjen e rrugës dytësore gati është e padukshme në softuerin malicioz. Kjo është diçka që presim të shohim në sulmet e spiunimit, e jo në sulmet kriminale" - thotë Chet Wisniewski, shkencëtari kryesor për hulumtime në Sophos.

Sulmuesit përdorin të gjitha mjetet në dispozicon për të realizuar sulm sa më të fshehtë. Ata mund të keqpërdorin PowerShell-in, veglat e tjera të Microsoft-it siç janë Metasploit apo Cobalt Strike.

Por, këto lloje sjelljesh nuk janë të reja, por ajo që Wisniewski përmend si risi është se ky mbase është treguesi i vetëm për të kuptuar se dikush ka hyrë në rrjetin tuaj. Por, duke zbuluar se dikush ka hyrë në rrjetin tuaj, duke sanuar atë problem, rrallëkush mund të thotë me siguri të plotë se ky është fillimi dhe fundi i sulmit. Zakonisht kjo nuk qëndron, dhe i gjithë sulmi është pjesë e një incidenti më të madh. Sa më gjatë që sulmuesi qëndron në rrjetin tuaj, aq më shumë mundësi ka që të shkojë më larg. Nëse flasim për kompjuterët apo për pajisjet mobile të gazetarëve, sulmet e këtilla mund të kenë pasoja të mëdha, sepse me një hyrje sulmuesit mund të vijnë deri te kompjuterët e të gjithëve në redaksi.

"Edhe pse motivi dallon varësisht nga grupet e avancuara të ransomware-it, teknikat janë të ngjashme. WastedLocker më shumë përqendrohet në eksploatimin teknik; rreziqet si Maze mbështeten në detyrimin e dyfishtë. I akuzojnë viktimat t'ua kthejnë të dhënat dhe t'i parandalojnë në publikimin e tyre. Ato përqendrohen në aspektin social se si mund të manipulojnë me viktimat e tyre", shton Wisniewski.

Si të dini nëse keni qenë të prekur

Edhe pse ndoshta është vështirë të dini kur ndonjë sulmues i avancuar është në rrjetin tuaj, kjo megjithatë është e mundur. Peter Mackenzie, menaxher për eskalimin e softuerit malicioz në Sophos, jep disa detaje kyçe të cilat mund t'i përmendin kompanitë, organizatat si dhe redaksitë sa u përket aktiviteteve të dyshimta.

Një nga ta është skeneri i rrjetit, sidomos në server. Sulmuesit zakonisht fillojnë rindërtimin duke iu qasur njërës pajisje dhe duke kërkuar informata siç është domeni dhe emri i kompanisë, të drejtat e administratorit në pajisje etj. Pastaj ata e skenojnë rrjetit për të parë nëse mund të kenë qasje të tjera. Nëse mbështetja juaj e IT-së zbulon skenerin e rrjetit siç është AngryIP apo Advanced Port Scanner, flisni me të tjerët. Nëse askush prej gazetarëve nuk e përdor, mund të ketë pasur ndërhyrës.

Stafi gjithashtu duhet t'u kushtojë kujdes veglave të dizajnuara për çaktivizimin e softuerit antivirus të cilat sulmuesit mund t'i përdorin për t'iu shmangur zbulimit të tyre. Mackenzie përmend Process Hacker, IOBit Uninstaller, GMER dhe PC Hunter si shembuj të veglave legjitime të cilat mund të flasin për aktivitetet e dyshimta nëse ato shfaqen papritmas, dhe se zbulimi i tyre duhet të hulumtohet gjithsesi.

"Nëse askush në ekipin administrativ nuk mund të konfirmojë përdorimin e MimiKatz-it, ky është flamur i kuq, sepse kjo është një prej veglave më të shpeshta për hakim për shkak të vjedhjes së identitetit. Sulmuesit mund të përdorin edhe Microsoft Process Explorer, vegël legjitime që mund të nxjerrë LSASS [.] Exe nga memoria", thotë Mackenzie.

Vlen të përmendet se edhe nëse zbuloni dhe i largoni datotekat e infektuara, do të ishte mirë që ekipi juaj i IT-së në periudhën vijuese të monitorojë çdo ditë sistemin dhe rrjetin për të dalluar ndonjë ndryshim eventual. Sulmuesit dinë të jenë këmbëngulës dhe të përshtaten shumë shpejt. Sulmuesit gjithashtu mund ta testojnë sistemin duke dërguar disa virusë testues maliciozë në disa kompjuterë, për të parë reagimin e mbështetjes digjitale, dhe në bazë të kësaj të përshtaten edhe më shumë dhe ta sofistikojnë sulmin e tyre.

Ocijenite kvalitet članka