Ochrana koncových zařízení proti ransomware

Tradiční dodavatelé z oblasti IT bezpečnosti vnímají boj proti ransomware jako obchodní příležitost, a proto nabízejí různorodý arzenál technologií, které jsou často komponovány jako komplexní ochrana koncových stanic, což odpovídá strategii defense-in-depth.

Níže uvedený výčet druhů ochrany popisuje vlastnosti dílčího ochranného prvku a ke každému přiřazuje váhu jeho významu. Vyšší skóre znamená, že antivirový software je lepší než ty s nižším skóre.

Druhy antivirové ochrany a jejich hodnocení:

Detekce rootkitu - hodnocení 1 - výborná, když funguje, ale nedostatečná v případě nových variant rootkitu

Heuristická detekce virů - hodnocení 3 - užitečná proti mutujícím virům a novému malware

Real-Time Monitoring - hodnocení 2 - účinná při aplikaci signatur a heuristické detekce v reálném čase; nepatrně zpomaluje počítač

Signatury (Signature-Based Detection) - hodnocení 3 - účinná proti známému malware

Tradiční nástroje ochrany koncových stanic (endpoint security) jako je antivirový sken a HIPS (host intrusion preventiv systems), které monitorují chování kódu na koncových stanicích, poskytují určitou úroveň obrany proti ransomware.

Nicméně taková ochrana nemůže dlouhodobě držet krok se zrychlujícím se objemem a sofistikovaností útoků ransomware.

Hlavní příčiny

Bariéry znemožňující vstup do ransomware podsvětí a účast na něm jsou nyní mnohem nižší. Ransomware sady nástrojů jsou široce dostupné, což umožňuje amatérským hackerům s relativně nízkými technickými dovednostmi vyrobit si unikátní variantu ransomware za velmi nízkou cenu.

Ransomware se snáze schová před skenery na bázi signatur. Polymorfní ransomware (např. neustále měnící se ransomware) vytváří unikátní binární kód pro každý počítač, který infikuje, což ztěžuje udržet krok databázím signatur antiviru. Lze se však obejít i bez polymorfního kódu, protože jsou v současnosti k dispozici nenákladné on-line morfovací služby, které umožňují zabalit každý ransomware do jakési pomyslné obálky, skrývající identifikovatelné malware signatury a prvky nebezpečného kódu před signaturami a heuristickými skenery.

Ransomware se neustále zdokonaluje v boji s obrannými nástroji jako je HIPS. Například některé druhy ransomware po určitou dobu hybernují poté, co úspěšně pronikly do stroje, čímž zmizí ze zorného pole bezpečnostních prvků koncového zařízení a později se samy aktivují.

S příchodem RaaS slouží někteří kyberzločinci jen jako distributoři, jejichž úkolem je infikovat uživatelské systémy malwarem a odvádět určité procento ze získaného výkupného zpět poskytovateli RaaS. Tento model, který napodobuje distribuční dvoustupňový model legálních poskytovatelů cloudových služeb, výrazně zvýšil rozsah a dosah nových ransomware útoků.

Kontrolní mechanismy ransomware útočníků a poskytovatelů RaaS jsou důmyslnější. Například poskytovatelé RaaS několikrát za den mění umístění svých command serverů a kontrolních serverů, což bezpečnostním specialistům a vyšetřovatelům ztěžuje možnosti identifikovat je a najít. Měnění umístění těchto serverů také oslabuje bezpečnostní protiopatření, které používají seznamy povolených a zakázaných URL.

Roste rozsah přenašečů ransomware útoku. V současné době infikují varianty ransomware koncové stanice prostřednictvím spamu, phishingu, vloženého odkazu v rámci e-mailových příloh, dále prostřednictvím napadených nebo nebezpečných webových serverů, které poskytují malware pomocí drive-by download, podvržené online reklamy, které uživatele navádějí na škodlivé weby.

Dále je využíváno zranitelnosti operačního systému a jeho aplikací a infikovaných flashdisků. Model RaaS je inovativní a zvýšil škálu infiltračních metod; což vytvořilo vrstvu kyberzločinců, jejichž příjmy se odvíjejí od počtu jimi napadených počítačů.

Stručně řečeno - boj s ransomware útoky v prostředí koncového zařízení vyžaduje mnohostrannou defense-in-depth strategii, která zahrnuje školení povědomí (např. připomínání uživatelům, aby neotevírali e-mailové přílohy od neznámých odesílatelů), filtrování webu a spamu, včasné aktualizace operačního systému a aplikací, seznam povolených aplikací a správu privilegovaných účtů (PUM).