Hoe het zich kan verdedigen tegen ransomware

We weten allemaal dat ransomware een van de meest destructieve malwarevarianten is die er zijn. Je hebt het over het klikken op de verkeerde link en het laten verdwijnen van de gegevens van je organisatie in een moeras van gecodeerd gebrabbel, of zelfs de serverbesturingssystemen (OS's) en andere kritieke bestanden verdwijnen gewoon op een dag. Je kunt het losgeld betalen, maar dat kan niet alleen duur zijn, maar biedt ook geen garantie dat de slechteriken je je gegevens terug zullen geven.

Als je wordt geraakt, zijn je keuzes somber: hoop dat je je systemen kunt herstellen door cloudgebaseerde back-ups te gebruiken of betaal het losgeld en hoop dat de decoderingssleutel werkt. Maar dat is alleen als je geraakt wordt. De betere keuze is om te voorkomen dat uw bestanden in de eerste plaats worden gecodeerd of, als sommige bestanden worden geraakt, om te voorkomen dat de aanval zich verspreidt. De sleutel is om het beveiligingsspel van uw bedrijf te verbeteren om te voorkomen dat u wordt aangevallen.

Hoe een Ransomware-aanval te vermijden

De eerste stap is wat Israel Barak, Chief Information Security Officer (CISO) van eindpuntdetectie- en responssoftware-ontwikkelaar Cybereason "IT en veiligheidshygiëne" noemt. Dit betekent het vermijden van kwetsbaarheden en het filteren van e-mail en webverkeer. Het betekent ook dat gebruikers training worden gegeven en dat patches voor uw besturingssysteem, applicaties en beveiligingsproducten volledig up-to-date zijn.

De tweede stap is het hebben van een strategie voor bedrijfscontinuïteit en herstel. Dit betekent eigenlijk een plan maken voor wanneer dingen slecht gaan in plaats van alleen maar te hopen dat ze dat niet doen. Barak zei dat dit omvat het hebben van back-ups en testen, weten hoe je de getroffen services herstelt, weten waar je computerbronnen voor herstel krijgt en weten dat je volledige herstelplan zal werken omdat je het daadwerkelijk hebt getest.

De derde stap is om anti-malwarebescherming te hebben. Barak zei dat dit omvat het hebben van bescherming tegen malware die uw netwerk binnenkomt en bescherming tegen het uitvoeren van malware terwijl u op uw systemen bent. Gelukkig is de meeste malware vrij gemakkelijk te herkennen, omdat malware-auteurs vaak succesvolle routines delen.

Waarom Ransomware anders is

Helaas is ransomware niet zoals andere malware. Barak zei dat, omdat ransomware slechts kort op een computer aanwezig is, het niet moeilijk is om detectie te voorkomen voordat de codering is voltooid en het ransomware-bericht is verzonden. Bovendien, in tegenstelling tot andere soorten malware, kan de malware die de bestandscodering daadwerkelijk uitvoert, slechts enkele ogenblikken voordat de codering begint op de computers van het slachtoffer aankomen.

Twee relatief recente soorten malware - Ryuk en SamSam - komen uw systemen binnen onder begeleiding van een menselijke operator. In het geval van Ryuk bevindt die exploitant zich waarschijnlijk in Noord-Korea en bij SamSam in Iran. In elk geval begint de aanval met het vinden van referenties die toegang tot het systeem toestaan. Eenmaal daar, onderzoekt de operator de inhoud van het systeem, beslist welke bestanden moeten worden gecodeerd, verhoogt privileges, zoekt en deactiveert anti-malware software en koppelingen naar back-ups om ook te worden gecodeerd, of in sommige gevallen deactiveert back-ups. Dan, na misschien maanden van voorbereiding, wordt de coderingsmalware geladen en gestart; het kan zijn taak binnen enkele minuten voltooien - veel te snel voor een menselijke operator om in te grijpen.

"In SamSam gebruikten ze geen conventionele phishing", aldus Carlos Solari, vice-president van ontwikkelaar Comodo Cybersecurity van cybersecurity-oplossingen en voormalig White House CIO. "Ze gebruikten websites en gestolen inloggegevens van mensen en gebruikten brute kracht om de wachtwoorden te krijgen."

Solari zei dat deze intrusies vaak niet worden gedetecteerd omdat er tot het einde geen malware bij betrokken is. Maar hij zei dat, op de juiste manier gedaan, er op dit moment manieren zijn om de aanval te stoppen. Gewoonlijk, zei hij, zullen de criminelen achter de directoryservices voor het netwerk aan gaan en deze aanvallen zodat ze de beheerdersrechten kunnen verkrijgen die nodig zijn voor hun enscenering voor de aanval. Op dit moment kan een inbraakdetectiesysteem (IDS) de wijzigingen detecteren en, als de netwerkoperators weten waarnaar ze moeten zoeken, kunnen ze het systeem vergrendelen en de indringers eruit schoppen.

"Als ze opletten, zullen ze beseffen dat er iemand aan de binnenkant is, " zei Solari. "Het is belangrijk om interne en externe dreigingsinformatie te vinden. U zoekt naar afwijkingen in het systeem."

Hoe u zichzelf kunt beschermen

Voor kleinere bedrijven suggereert Solari dat bedrijven een Managed Detection and Response (MDR) Security Operations Center (SOC) als een service vinden. Hij voegde eraan toe dat grotere bedrijven misschien een Managed Security Services Provider (MSSP) willen vinden. Beide oplossingen maken het mogelijk om beveiligingsgebeurtenissen in de gaten te houden, inclusief de enscenering vóór een grote ransomware-aanval.

Naast het bewaken van uw netwerk, is het ook belangrijk om uw netwerk zo te maken dat het zo onherbergzaam is voor criminelen. Volgens Adam Kujawa, directeur van Malwarebyte Labs, is een cruciale stap het segmenteren van uw netwerk zodat een indringer zich niet eenvoudig over uw netwerk kan verplaatsen en toegang heeft tot alles. "Je moet niet al je gegevens op dezelfde plek bewaren", zei Kujawa. "Je hebt een dieper beveiligingsniveau nodig."

Maar als blijkt dat je de invasieve stadia vóór de ransomware-aanval niet hebt gedetecteerd, dan is er een andere laag of reactie, namelijk gedragsdetectie van de malware wanneer deze bestanden begint te coderen.

"Wat we hebben toegevoegd is gedragsmechanisme dat afhankelijk is van gedrag dat typisch is voor ransomware", legt Barak uit. Hij zei dat dergelijke software let op wat ransomware doet, zoals het coderen van bestanden of het wissen van back-ups, en vervolgens wordt actie ondernomen om het proces te doden voordat het enige schade kan aanrichten. "Het is effectiever tegen nooit eerder geziene soorten ransomware."

Vroege waarschuwingen en beschermingen

Om een ​​vorm van vroegtijdige waarschuwing te geven, zei Barak dat Cybereason nog een stap zet. "Wat we hebben gedaan, is een uitzonderingsmechanisme gebruiken, " zei hij. "Wanneer Cybereason-software op een eindpunt werkt, creëert het een reeks basisbestanden die in mappen op de harde schijf worden geplaatst, waardoor ransomware deze eerst zou proberen te coderen." Hij zei dat wijzigingen in die bestanden onmiddellijk worden gedetecteerd, Vervolgens beëindigt de software van Cybereason of vergelijkbare software van Malwarebytes het proces en wordt de malware in veel gevallen gecontaineriseerd zodat deze geen verdere schade kan aanrichten.

Er zijn dus verschillende verdedigingslagen die een ransomware-aanval kunnen voorkomen en, als je ze allemaal functioneel en op hun plaats hebt, zou een succesvolle aanval een reeks fouten moeten volgen om te gebeuren. En u kunt die aanvallen overal in de keten stoppen.

Moet je het losgeld betalen?

Maar stel dat u besluit dat u het losgeld wilt betalen en de operaties onmiddellijk wilt herstellen? "Voor sommige organisaties is het een haalbare optie, " zei Barak.

U zou de kosten van de bedrijfsonderbreking moeten evalueren om te bepalen of de kosten om weer in gebruik te nemen beter zijn dan de kosten van herstel, alles bij elkaar genomen. Barak zei dat, voor zakelijke ransomware-aanvallen, "u in de meeste gevallen de bestanden wel terugkrijgt."

Maar Barak zei dat, als het losgeld een mogelijkheid is, je andere overwegingen hebt. "Hoe bereiden we ons van tevoren voor op het mechanisme om te onderhandelen over de kosten van het terugkrijgen van de diensten? Hoe betalen we ze? Hoe vormen we het mechanisme om dat soort betalingen te bemiddelen?"

Volgens Barak omvat bijna elke ransomware-aanval een manier om met de aanvaller te communiceren, en de meeste bedrijven proberen een deal te sluiten waarbij ransomware-aanvallers meestal open staan. U kunt bijvoorbeeld besluiten dat u slechts een deel van de machines nodig hebt die zijn gecodeerd en alleen onderhandelt over de teruggave van die machines.

• De beste Ransomware-bescherming voor 2019 De beste Ransomware-bescherming voor 2019
• SamSam Ransomware Hackers Rake in $ 5, 9 miljoen SamSam Ransomware Hackers Rake in $ 5, 9 miljoen
• 2 Iraniërs achter SamSam Ransomware-aanvallen, VS beweert 2 Iraniërs achter SamSam Ransomware-aanvallen, VS beweert

"Het plan moet van tevoren worden ingevoerd. Hoe reageer je, wie zal communiceren, hoe betaal je het losgeld?" Zei Barak.

Hoewel betalen een haalbare optie is, blijft het voor de meeste organisaties een laatste optie, geen directe reactie. Er zijn veel variabelen die u niet kunt regelen in dat scenario, en als u eenmaal heeft betaald, kunt u nooit garanderen dat u in de toekomst niet meer wordt aangevallen voor meer geld. Een beter plan is om een ​​solide verdediging te gebruiken die moeilijk genoeg is om de meeste malwareaanvallen af ​​te weren en de weinige die slagen te verslaan. Maar wat u ook besluit, onthoud dat vrijwel elke oplossing vereist dat u een religieuze back-up maakt. Doe het nu, doe het vaak, en test ook vaak, om ervoor te zorgen dat dingen soepel werken in een snuifje.