Izsiljevalski virus (»ransomware«) je zlonamerna koda, ki blokira ali šifrira vsebino naprave in zahteva odkupnino za obnovitev dostopa do podatkov. Beseda naprave se tu ne nanaša samo na mobilne telefone in računalnike, ampak tudi na strežnike in internetne stvari (IoT). Zato ob uspešni okužbi z izsiljevalskim virusom (in neobstoječe ali nefunkcionalne varnostne kopije) podjetje izgubi dostop do (na primer) računov, strank in lastne intelektualne lastnine. Okužba lahko tudi zaustavi delo v podjetju ali povzroči zaustavitev proizvodnje. Glede na specializiranost podjetja ali organizacije lahko trpijo tudi njegove stranke, kar lahko končno pripelje do prehoda na konkurenta.
V pogovoru z ESET-om so podjetja in organizacije identificirali izsiljevalski virus kot svoj največji varnostni problem. Po besedah Michala Jankecha, glavnega vodje izdelkov ESET, razlog za to ni nujno v veliki razširjenosti te vrste zlonamerne programske opreme. »Podjetja so imenovala »ransomware« kot svojo skrb številka ena zaradi zelo oglaševanih napadov, kot sta WannaCry in NotPetya, ki so povzročili za več milijard dolarjev škode in pojavljanje njihovih blagovnih znamk v člankih v svetovnih medijih. Tako je celo oseba, ki nikoli ni doživela nobene okužbe z izsiljevalsko programsko opremo, to dojemala kot resno grožnjo,« je pojasnil Jankech, ki je tudi dodal, da so podjetja med razgovori s strankami potrdila, da vidijo možnost nadaljnje pomoči ESET v povezavi s to grožnjo varnosti.E-pošta ostaja najpogostejši vektor za okužbo z »ransomware«ESET je skladno s potrebami in pomisleki kupcev integriral Ransomware Shield (poseben vedenjski modul, ki oceni vedenje zlonamerne kode, da bi ugotovil, ali gre res za »ransomware«) v svoje varnostne rešitve. ESET svojim strankam že dolgo zagotavlja zelo dobro odkrivanje zlonamerne programske opreme, ki temelji na vedenju, in tudi sistem za preprečevanje vdorov na osnovi gostitelja (HIPS), ki uporabnikom omogoča, da določijo prilagojena pravila za zaščito pred izsiljevalsko programsko opremo. Če pa nekaj zdrsne mimo 11 drugih varnostnih slojev, se bo zaščita Ransomware Shield samodejno aktivirala.
Medtem ko se okužba z izsiljevalsko programsko opremo pogosto začne s klikom na sumljivo povezavo ali navidezen račun, je ESET ugotovil, da e-pošta ostaja najpogostejši način distribucije v dvostopenjskem postopku, pri čemer se najprej prenese nalagalec, za njim pa izsiljevalski virus kot sekundarna okužba.
Za boj proti tem scenarijem je tu ESET Dynamic Threat Defense (EDTD). EDTD zagotavlja še eno raven varnosti za izdelke ESET, kot so Mail Security in izdelki Endpoint. Uporablja tehnologijo peskovnika v oblaku in več modelov strojnega učenja za odkrivanje novih, še nikoli prej videnih nevarnosti. Kot rezultat so priloge, ki so bile označene kot zlonamerne, odstranjene z e-pošte, prejemnik pa dobi informacije o odkritju.
Potreba po ozaveščanju zaposlenih o varnosti
Razprava o vzrokih uspešnih okužb z »ransomware«, pa naj gre za spretnost napadalcev ali malomarne varnostne navade zaposlenih, nima jasnega zmagovalca.
Medtem ko so nekatere vrste izsiljevalske programske opreme izjemno izpopolnjene, druge niso. Tveganje za okužbo z izsiljevalsko programsko opremo je le eden izmed več razlogov, zakaj bi se morala podjetja osrediniti na usposabljanje svojih zaposlenih, kaj ne bi kliknili in kaj storiti, če so že naredili nekaj napačnega glede varnosti. Ne smemo pozabiti na vlogo IT-osebja, odgovornega za splošno stanje sistema. »Kaj je povzročilo širjenje WannaCryja? Izkoriščanje znane ranljivosti v operacijskem sistemu Microsoft Windows.« Pravzaprav je edino ukrepanje, ki bi ga morala podjetja sprejeti v smislu preprečevanja, »cepljenje« proti okužbi, tj. namestitev razpoložljivih varnostnih popravkov. Vendar so podjetja, ki tega niso storila, utrpela posledice.
Torej ni majhna stvar, da na podjetja in potrošnike, ki so zaščiteni z večplastnim sistemom ESET, Wanna Cry ni vplival, saj je ESET 25. aprila, dva tedna, preden je prišlo do največjega napada z izsiljevalsko programsko opremo v zgodovini, dodal odkrivanje omrežnega izkoriščanja (EternalBlue),« ugotavlja Jankech.
Neustrezno namenjena naložba v varnost
Podjetja bi morala preučiti, ali je višje vodstvo izvedlo pravilne ukrepe, ki pozitivno prispevajo k splošni varnosti. »Vidimo trend, da nekatera podjetja porabijo več sto tisoč ali celo milijonov USD za različne napredne rešitve, ne pa nekaj tisoč več za dobro usposobljeno osebje, ki prevzame odgovornost za uvajanje in upravljanje varnostnih ukrepov v omrežju. Enako velja za zgornji primer – spremljanje in uporaba kritičnih programskih popravkov, za kar je potrebno dobro usposobljeno osebje. Namesto tega se podjetja pogosto odločijo sprejeti tveganje za nekatere pomanjkljivosti, saj ne pričakujejo, da se jim bo zgodil napad z izsiljevalsko programsko opremo,« komentira Jankech in opozarja na posledice teh vrst racionalizacij.
Pri tako visokih tveganjih zaradi neustreznega izvajanja bi bilo treba dati prednost uvajanju večplastnega varnostnega paketa, kot je ESET Endpoint Protection.
V nobenem primeru se pomen korakov, kot je upravljanje popravkov ali drugi pristopi, ne zmanjšuje. Vendar pa bi moral biti celoten obseg prvi cilj vsakršne celovite strategije kibernetske varnosti. Začne se z zanesljivo večplastno zaščito končne točke, ki ji sledijo trajno vzdrževanje in najboljše varnostne prakse.
Za dodatne informacije o tem, kako zaščititi svoje podjetje pred izsiljevalsko programsko opremo in podobnimi napadi, si oglejte tudi uporabne povezave:
- RANSOMWARE: pogled podjetja
- Najboljše prakse za zaščito pred zlonamerno programsko opremo Filecoder(ransomware)
- ESET proti Crypto-ransomware
- www.eset.com/si/ransomware/
