Kako zaštititi rezervne kopije od softvera za iznudu otkupa

Softver za iznudu otkupa postaje sve pametniji, napada rezervne kopije kako bi onemogućio oporavak. Sprečite, u nekoliko jednostavnih koraka, da se to dogodi. Uprkos nedavnom opadanju broja napada, softver za iznudu otkupa i dalje predstavlja značajnu pretnju za preduzeća, kako su pokazali napadi na nekoliko većih novina ovog meseca. Oni takođe postaju sve veštiji. Konkretno, pisci softvera za iznudu otkupa su svesni da rezervne kopije predstavljaju efikasnu odbrana, pa menjaju svoj zlonamerni softver tako da pronalazi i eliminiše rezervne kopije.

Softver za iznudu otkupa je u opadanju, ali nije nestao

McAfee izveštava o opadanju kako zlonamernog softvera tako i uzorkovanja u protekloj godini. Prema poslednjem izveštaju, u trećem kvartalu 2018. godine broj uzoraka softvera za iznudu otkupa bio je manji od polovine vrhunca na kraju 2017. godine, kada je dostigao oko 2,3 miliona. Prema podacima kompanije Kaspersky Labs, tokom protekle godine je 765.000 korisnika napadnuto zlonamernim softverom koji šifruje fajlove, u poređenju sa više od pet miliona koje su napali rudari kriptovaluta.

Bitdefender-ov direktor istraživanja pretnji Bogdan Botezatu kaže da je glavni razlog za pad napada softverom za iznudu otkupa to što se bezbednosne kompanije uspešnije bore protiv njega. „Uvek će postojati nove verzije softvera za iznudu otkupa, neke složenije od drugih i neke koje je teže uhvatiti, ali ne očekujemo da će softver za iznudu otkupa poprimiti mnogo veće razmere“, kaže on. „Bar ne veće nego prošle godine.“

„Softver za iznudu otkupa je nekoliko godina predstavljao najveću pretnju, ali je značajno opao“, kaže Adam Kujawa, šef za otkrivanje zlonamernog softvera u Malwarebytes-u. Međutim, postojeći softver za iznudu otkupa se razvija, kaže on. Na primer, pisci zlonamernog softvera iskoriste najnovije podvige, kao što su alati koji su procureli iz NSA.

„Vidimo kako se pojavljuju u mnogim porodicama zlonamernih programa“, kaže on. „Ako koristite tu vrstu alata, kada zarazite jedan sistem možete, koristeći ove alate, da se pomerate bočno. Stvarate mnogo veći cilj – to je trend koji jasno vidimo da se širi.“

Softver za iznudu otkupa cilja rezervne kopije

Softver za iznudu otkupa će sada izbrisati sve rezervne kopije koje sretne na svom putu, kaže Kujawa. Na primer, uobičajena taktika softvera za iznudu otkupa je da briše automatske kopije fajlova koje pravi Windows. „To znači da ako odete na vraćanje sistema, ne možete da se vratite“, rekao je on. „Takođe smo viđali da oni dopiru i do deljenih mrežnih diskova.“

Dva nedavna primera softvera za iznudu otkupa koji su ciljali rezervne kopije su SamSam i Ryuk. U novembru, američko ministarstvo pravde podiglo je optužnicu protiv dva Iranca zbog upotrebe zlonamernog softvera SamSam za iznudu više od 30 miliona dolara od preko 200 žrtava, uključujući bolnice. Napadači su izazvali maksimalnu štetu, pokrenuvši napade izvan redovnog radnog vremena i „šifrirajući rezervne kopije računara žrtava“, navodi se u optužnici. U novije vreme, Ryuk je pogodio nekoliko važnih ciljeva, uključujući Los Angeles Times i provajder hostinga u oblaku Data Resolution. Prema istraživačima bezbednosti u Check Point-u, Ryuk sadrži skript koji briše skrivene diskove i fajlove rezervnih kopija. „Iako ova konkretna varijanta zlonamernog softvera ne cilja posebno rezervne kopije, ona ugrožava jednostavnija rešenja za pravljenje rezervnih kopija – ona u kojima se podaci nalaze u deljenim fajlovima“, kaže Brian Downey, viši direktor za upravljanje proizvodima u kompaniji Continuum, bostonskoj tehnološkoj kompaniji koja nudi usluge bezbednosnog kopiranja i oporavka.

Najčešći način da se ovo uradi je Microsoftova Windows funkcija pod nazivom Previous Versions, kaže Mounir Hahad, šef istraživanja pretnji u Juniper Networks-u. Ona omogućava korisnicima da vrate ranije verzije fajlova. „Većina varijanti softvera za iznudu otkupa briše skrivene snimke“, kaže on, dodajući da će većina napada softverom za iznudu otkupa napasti i rezervne kopije na mapiranim mrežnim drajverima.

Napadi na rezervne kopije softverom za iznudu otkupa su usputni, a ne ciljani

To, međutim, ne znači da su sada sve rezervne kopije u opasnosti. Kada softver za iznudu otkupa napadne rezervne kopije, to je obično usput, a ne namerno, kaže David Lavinder, glavni tehnolog u Booz Allen Hamilton-u. U zavisnosti od softvera za iznudu otkupa, on obično radi tako što puzi po sistemu i traži određene tipove fajlova. „Ako naiđe na ekstenziju rezervnog fajla, sigurno će ga šifrovati“, kaže on.

Softver za iznudu otkupa takođe pokušava da se širi, da zarazi što više drugih sistema, kaže on. Očekuje se da će ubuduće biti više aktivnosti na ovakvoj sposobnosti puzanja kao crv, kao kod WannaCry-a. „Ne očekujemo nikakvo namerno ciljanje rezervnih kopija, ali očekujemo da ćemo videti više fokusiranih napora u lateralnom kretanju“, kaže on.
Svoje rezervne kopije i sisteme možete zaštititi od ovih novih taktika iznude otkupa tako što ćete preduzeti nekoliko osnovnih mera predostrožnosti.

Dodajte rezervnim kopijama Windowsa dodatne kopije i alatke drugih dobavljača

Da bi se zaštitilo od softvera za iznudu otkupaa koji briše ili šifruje lokalne rezervne kopije fajlova, Kujawa predlaže korišćenje dodatnih rezervnih kopija ili pomoćnih programa drugih dobavljača ili drugih alata koji nisu deo podrazumevane konfiguracije operativnog sistema Windows. „Ako to ne uradite na isti način, zlonamerni softver neće znati gde da briše rezervne kopije“, kaže on. „Ako se vaši zaposleni zaraze nečim, mogu ga obrisati i [vratiti iz te rezervne kopije].“

Izolujte rezervne kopije

Što je više prepreka između zaraženog sistema i njegovih rezervnih kopija, to će softveru za iznudu otkupa biti teže da dođe do njega. Jedna od uobičajenih grešaka je kada korisnici za svoje rezervne kopije koriste isti način autentifikacije kao na drugim mestima, kaže Landon Lewis, izvršni direktor firme Pondurance u Indianapolisu, koja se bavi uslugama kibernetske bezbednosti. „Ako je vaš korisnički nalog ugrožen, prva stvar koju napadač želi da uradi je da poveća svoje privilegije“, rekao je on. „Ako sistem za rezervne kopije koristi istu proveru autentičnosti, oni mogu prosto da preuzmu sve.“

Zaseban sistem autentifikacije, sa različitim šiframa, uveliko otežava ovaj korak.

Držite više kopija na više lokacija

Lewis preporučuje da kompanije drže tri različita primerka svojih važnih fajlova, koristeći najmanje dva različita načina kopiranja, a najmanje jedna od kopija mora biti na drugoj lokaciji. Rezervne kopije na oblaku predstavljaju jednostavno iskoristivu opciju rezervne kopije van lokacije, kaže on. „Skladištenje na nivou bloka je na internetu veoma jeftino. Teško je dokazivati zašto ga neko ne bi koristio kao dodatni način rezervnog kopiranja. A ako koristite drugačiji sistem provere autentičnosti, to je još bolje.“

Mnogi dobavljači rezervnog kopiranja takođe nude opciju za vraćanje na prethodnu verziju, ili više verzija istog fajla. Ako softver za iznudu otkupa napadne i šifrira fajlove, onda uslužni program za rezervno kopiranje automatski pravi rezervne kopije šifriranih verzija i prepisuje one dobre, pa softver za iznudu otkupa ne mora čak ni da se trudi da dođe do rezervnih kopija. Kao rezultat, vraćanje na raniju verziju postaje standardna funkcija, a kompanije bi trebalo da provere pre nego što se dogovore o strategiji pravljenja rezervnih kopija. „Ja bih to sigurno dodao u svoje kriterijume“, kaže Lewis.

Test, test, test

Mnoge kompanije saznaju da njihove rezervne kopije nisu urađene, ili da su previše glomazne da bi se vratile, tek nakon što postanu žrtve napada. „Ako niste obavili neku vrstu vežbe oporavka i ona nije dokumentovana, pa niko nije upoznat sa tim, još uvek se dešava da mnogi klijenti razmišljaju o plaćanju, a u nekim slučajevima to zapravo i urade, jer je plaćanje napadaču zapravo operativno jeftinije, “ kaže on.

Bob Antia, izvršni direktor u Kaseya, tehnološkoj kompaniji koja kao deo svoje ponude nudi rešenja rezervnog kopiranja, takođe preporučuje proveru da li dobavljači rezervnih kopija mogu da otkriju napad softvera za iznudu otkupa, posebno novih, skrivenijih varijanti. Neki softveri za iznudu otkupa sada namerno kreću polako, ili leže uspavani pre šifrovanja, kaže on. „Ove dve tehnike znače da je teško znati na koji trenutak iz svojih rezervnih kopija se treba vratiti „, kaže on. „Očekujem da će softver za iznudu otkupa nastaviti da pronalazi lukavije načine da se sakrije kako bi oporavak bio teži.“

„Nismo nedavno videli mnogo velikih globalnih napada kao što su WannaCry i Petya“, kaže Antia. Ali kada se desi, to može biti izuzetno štetno, kaže on. „Videli smo da su pojedine organizacije doživele gubitke u milionima dolara kao rezultat nedavnih napada.“

Izvor: CSO

5206-xa-kako-zastititi-rezervne-kopije-od-softvera-za-iznudu-otkupa-xa