Περίπου το 60% των επιχειρούμενων από ανθρώπους επιθέσεων ransomware περιλαμβάνουν πλέον κακόβουλη απομακρυσμένη κρυπτογράφηση. Συνεχίστε το διάβασμα παρακάτω για να μάθετε περισσότερα για αυτόν τον διαδεδομένο φορέα επίθεσης ransomware και τις κορυφαίες δυνατότητες προστασίας της Sophos.
Τι είναι το remote ransomware;
Το remote ransomware, γνωστό και ως κακόβουλη απομακρυσμένη κρυπτογράφηση, είναι όταν ένα παραβιασμένο τερματικό (π.χ. μία συσκευή, ένας υπολογιστής) χρησιμοποιείται για την κρυπτογράφηση δεδομένων σε άλλες συσκευές που βρίσκονται στο ίδιο δίκτυο.
Στις καθοδηγούμενες από ανθρώπους επιθέσεις, οι αντίπαλοι συνήθως προσπαθούν να εγκαταστήσουν ransomware απευθείας στα μηχανήματα που θέλουν να κρυπτογραφήσουν. Αν για κάποιον λόγο διαπιστωθεί ότι εμποδίστηκε η πρώτη τους απόπειρα (για παράδειγμα, από τεχνολογίες ασφαλείας στις συσκευές που αποτελούν στόχους) σπανίως παρατούν την προσπάθεια αλλά αντιθέτως επιλέγουν να στραφούν σε μια εναλλακτική προσέγγιση για να προσπαθήσουν ξανά και ξανά.
Μόλις οι επιτιθέμενοι καταφέρουν να παραβιάσουν ένα μηχάνημα, μπορούν να αξιοποιήσουν την αρχιτεκτονική τομέα (domain) του οργανισμού για να κρυπτογραφήσουν δεδομένα σε διαχειριζόμενες μηχανές του συγκεκριμένου τομέα. Όλη η κακόβουλη δραστηριότητα -είσοδος, εκτέλεση φορτίου (payload) και κρυπτογράφηση- πραγματοποιείται στο ήδη παραβιασμένο μηχάνημα, παρακάμπτοντας έτσι τις σύγχρονες στοίβες ασφαλείας. Η μόνη ένδειξη παραβίασης είναι η μετάδοση εγγράφων από και προς άλλα μηχανήματα.
Το 80% των επιτυχημένων επιθέσεων απομακρυσμένης κρυπτογράφησης προέρχεται από μη διαχειριζόμενες συσκευές που βρίσκονται στο δίκτυο αν και ορισμένες ξεκινούν από ανεπαρκώς προστατευμένα μηχανήματα που υπολείπονται των αμυνών που χρειάζονται για να εμποδίσουν τους επιτιθέμενους να τα παραβιάσουν.
Γιατί οι επιθέσεις απομακρυσμένης κρυπτογράφησης είναι τόσο διαδεδομένες;
O βασικός παράγοντας που οδηγεί στην ευρύτερη χρήση αυτής της προσέγγισης είναι οι δυνατότητες κλιμάκωσης της: Αρκεί μόνο ένα μη διαχειριζόμενο ή ελλιπώς προστατευμένο τερματικό για να εκθέσει έναν ολόκληρο οργανισμό στην κακόβουλη απομακρυσμένη κρυπτογράφηση, ακόμη και αν όλες οι άλλες συσκευές εκτελούν κάποια επόμενης γενιάς λύση ασφάλειας τερματικών (endpoint).
Και τα πράγματα γίνονται ακόμα χειρότερα όταν γνωρίζουμε ότι οι αντίπαλοι δεν περιορίζονται στην παραλλαγή ransomware που έχουν να επιλέξουν για αυτές τις επιθέσεις. Ένα ευρύ φάσμα γνωστών οικογενειών ransomware υποστηρίζει την κακόβουλη απομακρυσμένη κρυπτογράφηση (ή την κρυπτογράφηση από απόσταση), συμπεριλαμβανομένων των Akira, BitPaymer, BlackCat, BlackMatter, Conti, Crytox, DarkSide, Dharma, LockBit, MedusaLocker, Phobos, Royal, Ryuk και WannaCry.
Επιπλέον, τα περισσότερα προϊόντα ασφάλειας τερματικών συσκευών είναι αναποτελεσματικά σε τέτοιου είδους σενάρια επειδή επικεντρώνονται στον εντοπισμό κακόβουλων αρχείων ransomware και διεργασιών στο προστατευόμενο τερματικό. Με τις επιθέσεις απομακρυσμένης κρυπτογράφησης όμως, οι όποιες διεργασίες εκτελούνται στο παραβιασμένο μηχάνημα με αποτέλεσμα η λύση προστασίας τερματικών να παραμένει τυφλή απέναντι στην κακόβουλη δραστηριότητα.
Ευτυχώς, η λύση Sophos Endpoint περιλαμβάνει ισχυρή προστασία από κακόβουλη απομακρυσμένη κρυπτογράφηση που υποστηρίζεται από την κορυφαία στον κλάδο προστασία CryptoGuard.
Sophos CryptoGuard: Κορυφαία, καθολική προστασία από το ransomware
Το Sophos Endpoint περιέχει πολλαπλά επίπεδα προστασίας που προστατεύουν τους οργανισμούς από το ransomware, συμπεριλαμβανομένου του CryptoGuard, της μοναδικής τεχνολογίας κατά του ransomware της Sophos που περιλαμβάνεται σε όλες τις συνδρομητικές βαθμίδες του Sophos Endpoint.
Σε αντίθεση με άλλες λύσεις ασφάλειας τερματικών που αναζητούν αποκλειστικά κακόβουλα αρχεία και διεργασίες, το CryptoGuard αναλύει τα αρχεία δεδομένων για ενδείξεις κακόβουλης κρυπτογράφησης, ανεξάρτητα από το πού εκτελούνται οι διεργασίες. Αυτή η προσέγγιση καθιστά την συγκεκριμένη τεχνολογία εξαιρετικά αποτελεσματική στην αναχαίτιση όλων των μορφών ransomware, συμπεριλαμβανομένης και της κακόβουλης απομακρυσμένης κρυπτογράφησης. Αν εντοπίσει κακόβουλη κρυπτογράφηση, το CryptoGuard θα εμποδίσει αυτομάτως τη δραστηριότητα και θα επαναφέρει τα αρχεία στην πρότερη, μη κρυπτογραφημένη κατάσταση τους.
Το CryptoGuard εξετάζει ενεργά το περιεχόμενο όλων των εγγράφων καθώς τα αρχεία διαβάζονται και γράφονται, χρησιμοποιώντας μαθηματική ανάλυση για να καθορίσει αν έχουν κρυπτογραφηθεί. Αυτή η καθολική προσέγγιση είναι μοναδική στον κλάδο και επιτρέπει στο Sophos Endpoint να «μπλοκάρει» επιθέσεις ransomware που άλλες λύσεις δεν καταφέρνουν να εντοπίσουν, συμπεριλαμβανομένων και των απομακρυσμένων επιθέσεων και άγνωστων παραλλαγών ransomware (που δεν έχουν παρατηρηθεί ξανά).
Ανιχνεύει κακόβουλη κρυπτογράφηση αναλύοντας το περιεχόμενο των αρχείων
Σε αντίθεση με άλλες λύσεις που εξετάζουν το ransomware από την οπτική γωνία ενός anti-malware εστιάζοντας στην ανίχνευση κακόβουλου κώδικα, το CryptoGuard αναζητά τη μαζική και ταχεία κρυπτογράφηση αρχείων αναλύοντας το περιεχόμενο με τη χρήση μαθηματικών αλγορίθμων.
Αποκλείει τόσο τις τοπικές όσο και τις επιθέσεις remote ransomware
Επειδή το CryptoGuard εστιάζει στο περιεχόμενο των αρχείων, μπορεί να ανιχνεύσει προσπάθειες κρυπτογράφησης ransomware ακόμη και όταν η κακόβουλη διαδικασία δεν εκτελείται στη συσκευή του θύματος.
Αναστέλλει αυτόματα την κακόβουλη κρυπτογράφηση
Το CryptoGuard δημιουργεί προσωρινά αντίγραφα ασφαλείας των τροποποιημένων αρχείων και ανακαλεί αυτόματα τις αλλαγές όταν εντοπίσει μαζική κρυπτογράφηση. Η Sophos χρησιμοποιεί μια εξειδικευμένη, δική της προσέγγιση, σε αντίθεση με άλλες λύσεις που χρησιμοποιούν το Windows Volume Shadow Copy που είναι γνωστό ότι οι αντίπαλοι μπορούν να παρακάμψουν. Δεν υπάρχουν όρια στο μέγεθος και στον τύπο του αρχείου που μπορεί να ανακτηθεί και επομένως ελαχιστοποιούνται οι επιπτώσεις στην παραγωγικότητα της επιχείρησης.
Αποκλείει αυτόματα απομακρυσμένες συσκευές
Σε μια επίθεση remote ransomware, το CryptoGuard «μπλοκάρει» αυτόματα τη διεύθυνση IP της απομακρυσμένης συσκευής που επιχειρεί να κρυπτογραφήσει αρχεία στο μηχάνημα του θύματος.
Προστατεύει την κύρια εγγραφή εκκίνησης (MBR)
Το CryptoGuard προστατεύει επίσης τη συσκευή από ransomware που κρυπτογραφεί το master boot record (εμποδίζοντας την εκκίνηση) και από επιθέσεις που «σβήνουν» τον σκληρό δίσκο.
Το CryptoGuard είναι μία από τις μοναδικές δυνατότητες του Sophos Endpoint και περιλαμβάνεται σε όλες τις συνδρομητικές βαθμίδες Sophos Intercept X Advanced, Sophos XDR και Sophos MDR. Η δυνατότητα είναι ενεργοποιημένη αυτόματα από προεπιλογή, διασφαλίζοντας ότι οι οργανισμοί απολαμβάνουν αμέσως πλήρη προστασία από επιθέσεις ransomware τόσο τοπικές όσο και απομακρυσμένες – δεν απαιτείται καμία λεπτομερής ρύθμιση ή διαμόρφωση.
Ανακαλύψτε μη προστατευμένες συσκευές
Μία μόνο απροστάτευτη τερματική συσκευή μπορεί να αφήσει τον οργανισμό σας εκτεθειμένο και ευάλωτο σε μια απομακρυσμένη επίθεση κρυπτογράφησης. Η εγκατάσταση του Sophos Endpoint παρέχει ισχυρή καθολική προστασία από την κακόβουλη κρυπτογράφηση. Πως μπορείτε όμως να εντοπίσετε, αν έχετε, τις μη προστατευμένες συσκευές στο δίκτυό σας εξαρχής;
Εδώ είναι το σημείο που το Sophos Network Detection and Response (NDR) μπορεί να βοηθήσει. Το Sophos NDR παρακολουθεί την κίνηση δεδομένων στο δίκτυο για ύποπτες ροές και έτσι μπορεί να εντοπίζει μη προστατευμένες συσκευές και αθέμιτα στοιχεία στο περιβάλλον σας.
Για την ισχυρότερη προστασία από τις επιθέσεις απομακρυσμένης κρυπτογράφησης – ransomware, εγκαταστήστε το Sophos Endpoint σε όλα τα μηχανήματα του περιβάλλοντος σας και εγκαταστήστε επίσης και το Sophos NDR για να ανακαλύψετε απροστάτευτες συσκευές στο δίκτυο σας.
Αυξήστε την προστασία σας ενάντια στις επιθέσεις απομακρυσμένης κρυπτογράφησης σήμερα
Η κακόβουλη απομακρυσμένη κρυπτογράφηση είναι μια δημοφιλής τεχνική ransomware, την οποία οι περισσότερες κορυφαίες λύσεις ασφάλειας τερματικών συσκευών δυσκολεύονται να σταματήσουν. Αν δεν χρησιμοποιείτε το Sophos Endpoint, υπάρχει μεγάλη πιθανότητα να είστε εκτεθειμένοι.
Για να μάθετε περισσότερα σχετικά με το Sophos Endpoint και πως μπορεί να βοηθήσει τον οργανισμό σας να αμυνθεί καλύτερα ενάντια στις σημερινές προηγμένες επιθέσεις, συμπεριλαμβανομένου και του remote ransomware, μιλήστε με έναν σύμβουλο της Sophos ή κάποιον τοπικό συνεργάτη της Sophos σήμερα. Μπορείτε επίσης να το δοκιμάσετε στο περιβάλλον σας αξιοποιώντας τη δυνατότητα δωρεάν δοκιμής 30 ημερών χωρίς καμία δέσμευση.
Πηγή: Sophos