Udostępnij za pośrednictwem

Ochrona przed oprogramowaniem wymuszającym okup na platformie Azure

  • Artykuł

Oprogramowanie wymuszające okup i wymuszenia to wysoki zysk, niskokosztowy biznes, który ma wyniszczający wpływ na docelowe organizacje, bezpieczeństwo krajowe/regionalne, bezpieczeństwo gospodarcze i zdrowie publiczne i bezpieczeństwo publiczne. To, co zaczęło się od prostego oprogramowania wymuszającego okup na jednym komputerze, obejmowało różne techniki wymuszenia skierowane do wszystkich typów sieci firmowych i platform w chmurze.

Aby zapewnić, że klienci działający na platformie Azure są chronieni przed atakami wymuszającym okup, firma Microsoft w dużym stopniu inwestuje w zabezpieczenia naszych platform w chmurze i zapewnia mechanizmy kontroli zabezpieczeń, które należy chronić obciążenia chmury platformy Azure

Korzystając z natywnych ochrony przed oprogramowaniem wymuszającym okup platformy Azure i wdrażając najlepsze rozwiązania zalecane w tym artykule, podejmujesz działania, które pozwalają organizacji zapobiegać, chronić i wykrywać potencjalne ataki wymuszające okup na zasoby platformy Azure.

W tym artykule opisano kluczowe natywne możliwości i zabezpieczenia platformy Azure na potrzeby ataków wymuszającego okup oraz wskazówki dotyczące proaktywnego używania tych funkcji w celu ochrony zasobów w chmurze platformy Azure.

Rosnące zagrożenie

Ataki wymuszającego okup są jednym z największych wyzwań w zabezpieczeniach stojących obecnie przed firmami. W przypadku powodzenia ataki wymuszające okup mogą wyłączyć podstawową infrastrukturę IT i spowodować zniszczenie, które mogą mieć wyniszczający wpływ na bezpieczeństwo fizyczne, ekonomiczne lub bezpieczeństwo firmy. Ataki wymuszającego okup są przeznaczone dla firm wszystkich typów. Wymaga to podjęcia przez wszystkie przedsiębiorstwa środków zapobiegawczych w celu zapewnienia ochrony.

Ostatnie trendy dotyczące liczby ataków są niepokojące. Chociaż rok 2020 nie był dobrym rokiem ataków na firmy, 2021 rozpoczął się na złej trajektorii. 7 maja atak kolonialnego rurociągu (kolonialnego) zamknął usługi, takie jak transport rurociągów oleju napędowego, benzyny i paliwa odrzutowego, zostały tymczasowo wstrzymane. Kolonialny zamknął krytyczną sieć paliw dostarczającą zaludniające państwa wschodnie.

Historycznie cyberataki były postrzegane jako wyrafinowany zestaw działań skierowanych w konkretne branże, które pozostawiły pozostałe branże wierząc, że były poza zakresem cyberprzestępczości, i bez kontekstu, na które zagrożenia cyberbezpieczeństwa powinny się przygotować. Ransomware stanowi ważną zmianę w tym krajobrazie zagrożeń i sprawiło, że cyberataki były prawdziwym i wszechobecnym niebezpieczeństwem dla wszystkich. Zaszyfrowane i utracone pliki i grożące notatkami okupu stały się teraz strachem przed większością zespołów wykonawczych.

Model ekonomiczny ransomware wykorzystuje błędne przekonanie, że atak wymuszający okup jest wyłącznie zdarzeniem złośliwego oprogramowania. Podczas gdy w rzeczywistości oprogramowanie wymuszające okup jest naruszeniem z udziałem przeciwników atakujących sieć.

Dla wielu organizacji koszt odbudowy od podstaw po incydencie ransomware znacznie przewyższa pierwotny okup zażądany. Z ograniczonym zrozumieniem krajobrazu zagrożeń i sposobu działania ransomware, płacenie okupu wydaje się lepszą decyzją biznesową o powrocie do operacji. Jednak prawdziwe szkody są często wykonywane, gdy cyberprzestępcy eksfiltrują pliki do uwolnienia lub sprzedaży, pozostawiając backdoors w sieci do przyszłej działalności przestępczej — a te zagrożenia utrzymują się, czy okup jest wypłacany.

Co to jest oprogramowanie wymuszającego okup

Oprogramowanie wymuszające okup to rodzaj złośliwego oprogramowania, który infekuje komputer i ogranicza dostęp użytkownika do zainfekowanego systemu lub określonych plików w celu wyłudzenia ich za pieniądze. Po naruszeniu zabezpieczeń systemu docelowego zwykle blokuje większość interakcji i wyświetla alert na ekranie, zazwyczaj stwierdzając, że system jest zablokowany lub że wszystkie ich pliki zostały zaszyfrowane. Następnie domaga się zapłaty znacznego okupu przed wydaniem systemu lub odszyfrowywaniem plików.

Oprogramowanie wymuszającego okup zwykle wykorzystuje słabe strony lub luki w zabezpieczeniach w systemach IT lub infrastrukturach organizacji, aby odnieść sukces. Ataki są tak oczywiste, że nie trwa wiele badań, aby potwierdzić, że twoja firma została zaatakowana lub że zdarzenie powinno zostać zadeklarowane. Wyjątkiem byłby spam e-mail, który domaga się okupu w zamian za rzekomo kompromitujące materiały. W takim przypadku tego typu zdarzenia powinny być traktowane jako spam, chyba że wiadomość e-mail zawiera wysoce szczegółowe informacje.

Każda firma lub organizacja, która obsługuje system IT z danymi, może zostać zaatakowana. Chociaż osoby mogą być celem ataku wymuszającego okup, większość ataków jest ukierunkowana na firmy. Podczas gdy kolonialny atak ransomware z maja 2021 r. zwrócił znaczną uwagę opinii publicznej, nasze dane dotyczące zaangażowania w oprogramowanie wymuszające wykrywanie i reagowanie (DART) pokazują, że sektor energetyczny reprezentuje jeden z najbardziej ukierunkowanych sektorów, wraz z sektorami finansowymi, opieki zdrowotnej i rozrywki. I pomimo ciągłych obietnic, aby nie atakować szpitali lub firm opieki zdrowotnej podczas pandemii, opieka zdrowotna pozostaje numerem jeden cel ludzkiego oprogramowania wymuszającego okup.

Wykres kołowy ilustrujący branże objęte oprogramowaniem wymuszającym okup

Sposób, w jaki zasoby są docelowe

Podczas ataku na infrastrukturę chmury przeciwnicy często atakują wiele zasobów, aby spróbować uzyskać dostęp do danych klientów lub wpisów tajnych firmy. Model "kill chain" w chmurze wyjaśnia, w jaki sposób osoby atakujące próbują uzyskać dostęp do dowolnych zasobów działających w chmurze publicznej za pomocą czteroetapowego procesu: ekspozycji, dostępu, przenoszenia bocznego i akcji.

  1. Ekspozycja polega na tym, że osoby atakujące szukają możliwości uzyskania dostępu do infrastruktury. Na przykład osoby atakujące wiedzą, że aplikacje dostępne dla klientów muszą być otwarte, aby dostęp do nich mogli uzyskać wiarygodni użytkownicy. Te aplikacje są narażone na Internet i dlatego podatne na ataki.
  2. Osoby atakujące próbują wykorzystać narażenie na uzyskanie dostępu do infrastruktury chmury publicznej. Można to zrobić za pomocą poświadczeń użytkownika, naruszonych wystąpień lub nieprawidłowo skonfigurowanych zasobów.
  3. Podczas etapu przenoszenia bocznego osoby atakujące odkrywają, do jakich zasobów mają dostęp i jaki jest zakres tego dostępu. Pomyślne ataki na wystąpienia zapewniają osobom atakującym dostęp do baz danych i innych poufnych informacji. Następnie osoba atakująca wyszukuje inne poświadczenia. Nasze dane Microsoft Defender dla Chmury pokazują, że bez narzędzia zabezpieczeń do szybkiego powiadamiania o ataku organizacja może wykryć naruszenie średnio 101 dni. Tymczasem w ciągu zaledwie 24-48 godzin po naruszeniu atakujący zwykle ma pełną kontrolę nad siecią.
  4. Działania podejmowane przez osobę atakującą po przesiewowym są w dużej mierze zależne od zasobów, do których byli w stanie uzyskać dostęp w fazie przenoszenia bocznego. Osoby atakujące mogą podejmować działania, które powodują eksfiltrację danych, utratę danych lub uruchamianie innych ataków. W przypadku przedsiębiorstw średni wpływ finansowy utraty danych wynosi obecnie 1,23 mln USD.

Schemat blokowy przedstawiający sposób atakowania infrastruktury chmury: narażenie, dostęp, przenoszenie boczne i akcje

Dlaczego ataki kończą się powodzeniem

Istnieje kilka powodów, dla których ataki ransomware kończą się powodzeniem. Firmy, które są narażone, często padają ofiarą ataków wymuszających okup. Poniżej przedstawiono niektóre kluczowe czynniki sukcesu ataku:

  • Powierzchnia ataku jest zwiększana, ponieważ coraz więcej firm oferuje więcej usług za pośrednictwem placówek cyfrowych
  • Istnieje znaczna łatwość uzyskiwania złośliwego oprogramowania poza półki, ransomware jako usługa (RaaS)
  • Opcja używania kryptowalut do płatności szantażem otwiera nowe drogi do wykorzystania
  • Rozszerzanie komputerów i ich użycia w różnych miejscach pracy (lokalne okręgi szkolne, departamenty policji, samochody oddziałów policji itp.), z których każdy jest potencjalnym punktem dostępu do złośliwego oprogramowania, co powoduje potencjalną powierzchnię ataków
  • Częstość występowania starych, przestarzałych i przestarzałych systemów infrastruktury oraz oprogramowania
  • Słabe schematy zarządzania poprawkami
  • Nieaktualne lub stare systemy operacyjne, które znajdują się blisko lub przekroczyły daty zakończenia wsparcia
  • Brak zasobów w celu modernizacji zużycia zasobów IT
  • Luka w wiedzy
  • Brak wykwalifikowanego personelu i kluczowego personelu nadmiernego współzależności
  • Słaba architektura zabezpieczeń

Osoby atakujące używają różnych technik, takich jak atak siłowy protokołu Remote Desktop Protocol (RDP), aby wykorzystać luki w zabezpieczeniach.

Diagram pływaka ilustrujący różne techniki używane przez osoby atakujące

Czy powinieneś zapłacić?

Istnieją różne opinie na temat tego, co najlepszym rozwiązaniem jest konfrontacja z tym mętnym zapotrzebowaniem. Federalne Biuro Śledcze (FBI) radzi ofiarom nie zapłacić okupu, ale zamiast tego być czujnym i podjąć proaktywne środki w celu zabezpieczenia swoich danych przed atakiem. Twierdzą oni, że płacenie nie gwarantuje ponownego wydania zablokowanych systemów i zaszyfrowanych danych. FBI twierdzi, że innym powodem, aby nie płacić, jest to, że płatności dla cyberprzestępców zachęcają ich do dalszego ataku na organizacje

Niemniej jednak niektóre ofiary wybierają zapłacić żądanie okupu, mimo że system i dostęp do danych nie jest gwarantowany po zapłaceniu okupu. Płacąc, takie organizacje podejmują obliczone ryzyko, aby płacić w nadziei na powrót systemu i danych i szybkie wznowienie normalnych operacji. Część obliczenia polega na zmniejszeniu kosztów zabezpieczeń, takich jak utrata produktywności, zmniejszenie przychodów w czasie, narażenie poufnych danych i potencjalne szkody reputacji.

Najlepszym sposobem zapobiegania płaceniu okupu nie jest upadek ofiary poprzez wdrożenie środków zapobiegawczych i nasycenie narzędzi w celu ochrony organizacji przed każdym krokiem, który osoba atakująca podejmuje całkowicie lub przyrostowo, aby włamać się do systemu. Ponadto możliwość odzyskania zasobów, których dotyczy problem, zapewnia przywrócenie operacji biznesowych w odpowiednim czasie. Usługa Azure Cloud udostępnia niezawodny zestaw narzędzi do kierowania w drogę.

Jaki jest typowy koszt dla firmy?

Wpływ ataku wymuszającego okup na każdą organizację jest trudny do dokładnego określenia. Jednak w zależności od zakresu i typu wpływ jest wielowymiarowy i jest szeroko wyrażony w:

  • Utrata dostępu do danych
  • Zakłócenia operacji biznesowych
  • Strata finansowa
  • Kradzież własności intelektualnej
  • Naruszone zaufanie klientów i nadszarpnięta reputacja

Colonial Pipeline zapłacił około 4,4 miliona dolarów w okupie, aby ich dane zostały opublikowane. Nie obejmuje to kosztów przestojów, utraconych produktywności, utraconych sprzedaży i kosztów przywracania usług. W szerszym ujęciu znaczący wpływ ma "efekt domina" wywierania wpływu na dużą liczbę przedsiębiorstw i organizacji wszelkiego rodzaju, w tym miast i miast w swoich lokalnych obszarach. Wpływ finansowy jest również zdumiewający. Według firmy Microsoft, globalny koszt związany z odzyskiwaniem oprogramowania wymuszającego okup ma przekroczyć 20 miliardów dolarów w 2021 roku.

Wykres słupkowy przedstawiający wpływ na firmę

Następne kroki

Zobacz oficjalny dokument: Azure Defenses for ransomware attack (Ochrona przed atakami wymuszającym okup).

Inne artykuły z tej serii: