Zsarolóvírusok elleni védelem az Azure-ban

A zsarolóprogramok és a zsarolóprogramok magas nyereségű, alacsony költségű üzlet, amely a megcélzott szervezetekre, a nemzeti/regionális biztonságra, a gazdasági biztonságra, valamint a közegészségügyre és a biztonságra van negatív hatással. Az egyszerű, egy pc-s zsarolóvírusok sokféle zsarolóprogramot tartalmaznak, amelyek a vállalati hálózatok és felhőplatformok minden típusára irányulnak.

Annak érdekében, hogy az Azure-on futó ügyfelek védve legyenek a zsarolóvírus-támadásokkal szemben, a Microsoft nagy mértékben fektetett a felhőplatformok biztonságába, és biztonsági vezérlőket biztosít az Azure-felhőbeli számítási feladatok védelméhez

Az Azure natív zsarolóprogram-védelmének kihasználásával és az ebben a cikkben javasolt ajánlott eljárások alkalmazásával olyan intézkedéseket hoz, amelyek biztosítják, hogy a szervezet optimális helyzetben legyen az Azure-objektumokra irányuló lehetséges zsarolóvírus-támadások megelőzése, védelme és észlelése érdekében.

Ez a cikk az Azure natív funkcióit és védelmét ismerteti a zsarolóprogram-támadásokhoz, valamint útmutatást nyújt ezek proaktív kihasználásához az Azure-felhőben lévő eszközök védelméhez.

Egyre nagyobb fenyegetés

A zsarolóvírus-támadások napjaink egyik legnagyobb biztonsági kihívásává váltak a vállalkozások számára. Sikeres esetben a zsarolóprogram-támadások letilthatják az üzleti alapvető informatikai infrastruktúrát, és olyan megsemmisítést okozhatnak, amely káros hatással lehet egy vállalkozás fizikai, gazdasági biztonságára vagy biztonságára. A zsarolóvírus-támadások minden típusú vállalkozásra irányulnak. Ehhez minden vállalkozásnak megelőző intézkedéseket kell hoznia a védelem biztosítása érdekében.

A támadások számának közelmúltbeli trendjei meglehetősen riasztóak. Bár 2020 nem volt jó év a vállalkozásokat érő zsarolóvírus-támadásokra, 2021 rossz úton indult. Május 7-én a Gyarmati csővezeték (Colonial) támadás leállította a szolgáltatásokat, mint például a gázolaj, a benzin és a sugárhajtású üzemanyag szállítása ideiglenesen leállt. A gyarmatiak lezárják a kritikus üzemanyag-hálózatot, amely a népes keleti államokat látja el.

A kibertámadásokat korábban olyan kifinomult intézkedéseknek tekintették, amelyek bizonyos iparágakat céloztak meg, ami miatt a fennmaradó iparágak azt hitték, hogy kívül esnek a kiberbűnözés hatókörén, és kontextus nélkül, hogy milyen kiberbiztonsági fenyegetésekre kell felkészülniük. A zsarolóvírusok jelentős változást jelentenek ebben a fenyegetési környezetben, és a kibertámadásokat nagyon valós és mindenható veszélynek teszik mindenki számára. A titkosított és elveszett fájlok és a váltságdíjat fenyegető jegyzetek mostantól a legtöbb vezető csapat számára a legfőképpen féltek.

A zsarolóprogramok gazdasági modellje kihasználja azt a téves tévhitet, hogy a zsarolóprogram-támadás kizárólag kártevő-incidens. Míg a valóságban a zsarolóprogramok olyan támadások, amelyek egy hálózatot támadó emberi támadókat érintenek.

Sok szervezet esetében a zsarolóprogram-incidens utáni újraépítés költsége messze meghaladja az eredeti váltságdíjat. A fenyegetési környezet és a zsarolóvírus működésének korlátozott megértése miatt a váltságdíj kifizetése jobb üzleti döntésnek tűnik a műveletekhez való visszatéréshez. A valódi kár azonban gyakran akkor fordul elő, amikor a kiberbűnöző a fájlokat felszabadításra vagy eladásra kiszivágja, miközben hátrahagyja a hálózatot a jövőbeni bűnözői tevékenység céljából – és ezek a kockázatok továbbra is fennállnak, függetlenül attól, hogy a váltságdíjat kifizetik-e.

Mi az a zsarolóprogram?

A zsarolóprogramok olyan kártevők, amelyek megfertőzik a számítógépet, és korlátozzák a felhasználó hozzáférését a fertőzött rendszerhez vagy adott fájlokhoz, hogy pénzért zsarolják őket. A célrendszer feltörése után általában zárolja a legtöbb interakciót, és egy képernyőn megjelenő riasztást jelenít meg, amely általában arról tájékoztatja, hogy a rendszer zárolva van, vagy az összes fájljuk titkosítva van. Ezután jelentős váltságdíjat követel a rendszer kiadása vagy a fájlok visszafejtése előtt.

A zsarolóprogramok általában kihasználják a szervezet informatikai rendszereiben vagy infrastruktúráiban lévő gyengeségeket vagy biztonsági réseket a siker érdekében. A támadások annyira nyilvánvalóak, hogy nem igényel sok vizsgálatot annak ellenőrzéséhez, hogy a vállalkozást megtámadták-e, vagy hogy incidenst kell-e bejelenteni. A kivétel egy levélszemét e-mail, amely váltságdíjat követel az állítólagosan kompromittáló anyagokért cserébe. Ebben az esetben az ilyen típusú incidenseket levélszemétként kell kezelni, kivéve, ha az e-mail szigorúan meghatározott információkat tartalmaz.

Minden olyan vállalat vagy szervezet, amely olyan informatikai rendszert üzemeltet, amelyben adatok vannak, megtámadható. Bár az egyének zsarolóprogram-támadással is megcélzhatók, a legtöbb támadás a vállalkozásokra irányul. Míg a 2021. májusi gyarmati zsarolóprogram-támadás jelentős figyelmet szentelt a nyilvánosságnak, az észlelési és reagálási csapat (DART) zsarolóprogram-aktivitási adatai azt mutatják, hogy az energiaágazat az egyik legcélzottabb ágazat, a pénzügyi, egészségügyi és szórakoztató szektorokkal együtt. És annak ellenére, hogy továbbra is ígéretek nem támadják meg a kórházakat vagy az egészségügyi vállalatokat a világjárvány során, az egészségügy továbbra is az emberi üzemeltetésű zsarolóprogramok első számú célpontja.

Az eszközök megcélzásának menete

A felhőinfrastruktúra megtámadásakor a támadók gyakran több erőforrást támadnak meg, hogy megpróbálják elérni az ügyféladatokat vagy a vállalati titkos kulcsokat. A felhőbeli "kill chain" modell azt ismerteti, hogy a támadók hogyan próbálnak hozzáférni a nyilvános felhőben futó erőforrásokhoz egy négylépéses folyamaton keresztül: kitettség, hozzáférés, oldalirányú mozgás és műveletek.

1. Az expozíció az, ahol a támadók lehetőséget keresnek az infrastruktúra elérésére. A támadók például tudják, hogy az ügyféloldali alkalmazásoknak nyitva kell lenniük ahhoz, hogy a jogszerű felhasználók elérhessék őket. Ezek az alkalmazások ki vannak téve az internetnek, ezért fogékonyak a támadásokra.
2. A támadók megpróbálnak kihasználni egy kitettséget, hogy hozzáférjenek a nyilvános felhőinfrastruktúrához. Ezt a felhasználó hitelesítő adatainak feltörése, a feltört példányok vagy a helytelenül konfigurált erőforrások segítségével teheti meg.
3. Az oldalirányú mozgás során a támadók felfedezik, hogy milyen erőforrásokhoz férnek hozzá, és milyen hatókörrel rendelkeznek. A példányok sikeres támadásai hozzáférést biztosítanak a támadóknak az adatbázisokhoz és más bizalmas információkhoz. A támadó ezután további hitelesítő adatokat keres. A felhőbeli adatokhoz készült Microsoft Defender azt mutatja, hogy biztonsági eszköz nélkül, amely gyorsan értesíti Önt a támadásról, átlagosan 101 napig tart a szervezeteknek a biztonsági incidensek felderítése. Eközben a támadás után mindössze 24–48 óra múlva a támadó általában teljes körűen felügyeli a hálózatot.
4. A támadó által az oldalirányú mozgás után végrehajtott műveletek nagyban függenek azoktól az erőforrásoktól, amelyekhez az oldalirányú mozgás fázisában hozzáférhettek. A támadók olyan műveleteket hajthatnak végre, amelyek adatkiszivárgást, adatvesztést vagy más támadásokat indíthatnak. A vállalatok esetében az adatvesztés átlagos pénzügyi hatása most eléri az 1,23 millió dollárt.

Miért sikeresek a támadások?

A zsarolóprogram-támadásoknak több oka is van. A sebezhető vállalkozások gyakran zsarolóprogram-támadások áldozatává válnak. A támadás néhány kritikus sikertényezője a következő:

• A támadási felület megnőtt, ahogy egyre több vállalkozás kínál több szolgáltatást a digitális üzleteken keresztül
• A zsarolóvírusok (RaaS) jelentős egyszerűséggel szerezhetők be a polcon kívüli kártevőkhez.
• A kriptovaluták zsarolási fizetésekhez való használatának lehetősége új lehetőségeket nyitott meg a biztonsági rés kiaknázása érdekében
• A számítógépek és használatuk kiterjesztése különböző munkahelyeken (helyi tankerületekben, rendőrosztályokon, rendőrautókban stb.), amelyek mindegyike potenciálisan a kártevők hozzáférési pontja, ami potenciális támadási felületet eredményez
• A régi, elavult és elavult infrastruktúrarendszerek és szoftverek elterjedtsége
• Gyenge javításkezelési sémák
• Elavult vagy nagyon régi operációs rendszerek, amelyek közel vannak a támogatás megszűnéséhez, vagy túlléptek a támogatás megszűnésének dátumán
• Az informatikai lábnyom modernizálásához szükséges erőforrások hiánya
• Tudáshiány
• A képzett személyzet hiánya és a kulcsfontosságú személyzet túlhajlása
• Gyenge biztonsági architektúra

A támadók különböző technikákat használnak, például a Távoli asztali protokoll (RDP) találgatásos támadását a biztonsági rések kihasználásához.

Fizetnie kell?

Különböző vélemények vannak arról, hogy mi a legjobb megoldás, ha szembe kell néznie ezzel a vexing kereslettel. A Szövetségi Nyomozó Iroda (FBI) azt tanácsolja az áldozatoknak, hogy ne váltságdíjat fizessenek, hanem legyenek éberek, és tegyenek proaktív intézkedéseket adataik védelmére egy támadás előtt. Azt állítják, hogy a fizetés nem garantálja, hogy a zárolt rendszerek és a titkosított adatok újra felszabadulnak. Az FBI szerint egy másik ok, amiért nem kell fizetni, az az, hogy a kiberbűnözőknek járó kifizetések arra ösztönözik őket, hogy továbbra is támadják a szervezeteket.

Mindazonáltal egyes áldozatok úgy döntenek, hogy fizetik a váltságdíjat, annak ellenére, hogy a rendszer és az adatok hozzáférése nem garantált a váltságdíj kifizetése után. A fizetéssel az ilyen szervezetek vállalják a kiszámított kockázatot, hogy abban a reményben fizetnek, hogy visszakapják a rendszerüket és az adataikat, és gyorsan folytatják a normál működést. A számítás része a fedezeti költségek csökkentése, például a termelékenység csökkenése, az idő múlásával csökkent bevétel, a bizalmas adatok kitettsége és a potenciális hírnévkárosodás.

A váltságdíjat úgy előzheti meg a legjobban, ha nem esik áldozatul megelőző intézkedések végrehajtásával, és olyan eszköztelítettséggel, amely megvédi a szervezetet minden olyan lépéstől, amelyet a támadó teljes egészében vagy növekményesen tesz a rendszer feltöréséhez. Emellett az érintett eszközök helyreállításának lehetősége biztosítja az üzleti műveletek időben történő helyreállítását. Az Azure Cloud hatékony eszközökkel rendelkezik, amelyekkel végigvezetheti Önt.

Milyen költségek járnak egy vállalkozásnak?

A zsarolóprogram-támadások bármilyen szervezetre gyakorolt hatását nehéz pontosan számszerűsíteni. A hatókörtől és típustól függően azonban a hatás többdimenziós, és széles körben kifejezve:

• Adathozzáférés elvesztése
• Üzleti műveletek megszakítása
• Pénzügyi veszteség
• Szellemi tulajdon eltulajdonítása
• Feltörték az ügyfelek bizalmát és a rossz hírnevét

A Colonial Pipeline körülbelül 4,4 millió dollár váltságdíjat fizetett, hogy kiadja az adataikat. Ez nem tartalmazza az állásidő, az elveszett produktív, az elveszett értékesítések és a szolgáltatások visszaállításának költségeit. Tágabb értelemben, jelentős hatása van a "knock-on hatás" hatással nagy számú vállalkozások és szervezetek mindenféle, beleértve a városok és a városok a saját helyi területeken. A pénzügyi hatás is megdöbbentő. A Microsoft szerint a zsarolóprogramok helyreállításával kapcsolatos globális költség 2021-ben várhatóan meghaladja a 20 milliárd dollárt.

Következő lépések

Lásd a tanulmányt: Azure Defenses for ransomware attack whitepaper.

A sorozat további cikkei:

• Felkészülés zsarolóprogram-támadásra
• Zsarolóprogram-támadások észlelése és megválaszolás
• Az Azure-szolgáltatások és -erőforrások, amelyek segítenek a védelemben, az észlelésben és a válaszadásban