Izsiljevalski virus kot vstopnica za kibernetski napad
Izsiljevalski virusi so že nekaj let pereč problem v svetu kibernetske varnosti. Običajno se napad z izsiljevalskim programjem začne s socialnim inženiringom, zato ga je razmeroma težko zaznati in preprečiti. Cilj socialnega inženiringa je pridobiti dostop do notranjega omrežja. Ko so napadalci v omrežju, lahko čakajo tudi več mesecev, preden se odločijo aktivirati izsiljevalsko programje in zakriptirati dokumente. V vmesnem času se neopazno sprehajajo po omrežju in pridobivajo nove informacije in podatke. Če v tem času napadalcev niste zaznali, je vaš informacijski sistem resno ogrožen, tveganje za izgubo sredstev pa veliko.
Ko napadalci sprožijo škodljivo kodo, se začne proces enkripcije, podatki se zaklenejo in sistemi se začnejo ugašati. Takrat je najboljši ukrep izkop električnega napajanja. Ko prekinemo povezavo z izsiljevalskim programjem, se lahko začne proces povrnitve podatkov. Glede na škodo, ki je bila storjena, imamo dve možnosti: povrnitev iz varnostnih kopij ali plačilo odkupnine. Tretja možnost je le še izguba vseh zakriptiranih podatkov.
Kako lahko preverite, ali ste odporni na izsiljevalske viruse? Edini način je test, s katerim izsiljevalski virus v omrežje pripeljete v nadzorovanih razmerah.
Cilj testa je blokirati izsiljevalski virus
S testom Ransomware Readiness preverimo, ali je v vašem omrežju s taktikami in tehnikami (ang. TTP), ki jih uporabljajo znane hekerske skupine, možno zakriptirati datoteke.
Spodnja matrika laboratorija Kaspersky prikazuje tehnike, ki jih uporabljajo napadalci, in vključuje proces od začetne okužbe do končne enkripcije in odtujitve datotek.
Test na izsiljevalski virus izvedemo v naslednjih korakih:
- načrtovanje in vzpostavljanje testnega okolja,
- modeliranje grožnje glede na specifične okoliščine organizacije,
- notranji vdorni test: bočno premikanje, eskalacija privilegijev, odtujitev podatkov,
- simulacija napada z izsiljevalsko programsko opremo,
- ocena odpornosti na izsiljevalski virus,
- sprotno dokumentiranje in priprava končnega poročila.
Metodologija testa in rezultati
Simulacija odpornosti na izsiljevalski virus s testom Ransomware Readiness se lahko izvajal po metodologiji črne (black-box) ali sive (gray-box) škatle in pri slednjem s privilegiranimi ali običajnimi uporabniki. Na vsaki stopnji testa uporabljamo namenska orodja, ki omogočajo učinkovito in natančno testiranje.
Pričakovani rezultati testa vključujejo:
- razkrivanje možnih ranljivosti znotraj obstoječih varnostnih ukrepov in zaščit ter priporočila za njihovo odpravo,
- oceno učinkovitosti in zanesljivosti sistema varnostnega kopiranja in protokolov povrnitve podatkov (ang. data recovery) ter po potrebi priporočila za izboljšave,
- informacijo o stopnji pripravljenosti na zaznavanje in odzivanje na izsiljevalski virus ter priporočila za bolj učinkovit postopek odzivanja na incidente (ang. incident response),
- ocena pripravljenosti na potencialne napade z izsiljevalskim programjem ter priporočila za izboljšave na področju varnostnih politik in zaščitnih ukrepov, vezanih na tovrstne grožnje.
Rezultat testa je strnjeno poročilo za vodstvo z analizo tveganja in podrobno tehnično poročilo z natančno razlago vseh korakov in testov, ki smo jih opravili v okviru projekta.