Naka-archive na Pahina: 2020 Mga Tip sa Seguridad ng Impormasyon

Ano ang ransomware?

Ang Ransomware ay isang uri ng nakakahamak na software, o malware, na humaharang sa access sa isang system, device, o file hanggang sa mabayaran ang isang ransom. Ito ay isang ilegal, moneymaking scheme na maaaring i-install sa pamamagitan ng mga mapanlinlang na link sa isang email message, instant message o website.

Gumagana ang Ransomware sa pamamagitan ng pag-encrypt ng mga file sa nahawaang system (crypto ransomware), pagbabanta na burahin ang mga file (wiper ransomware), o pagharang sa access ng system (locker ransomware) para sa biktima. Ang halaga ng ransom at impormasyon sa pakikipag-ugnayan para sa cyber threat actor (CTA) ay karaniwang kasama sa isang ransom note na lumalabas sa screen ng biktima pagkatapos ma-lock o ma-encrypt ang kanilang mga file.

Minsan ang CTA ay nagsasama lamang ng impormasyon sa pakikipag-ugnayan sa tala at malamang na subukang makipag-ayos sa halaga ng ransom kapag sila ay nakipag-ugnayan. Ang ransom demand ay karaniwang nasa anyo ng cryptocurrency, tulad ng Bitcoin, at maaaring mula sa kasing liit ng ilang daang dolyar hanggang sa at lampas sa isang milyong dolyar. Ito ay hindi pangkaraniwan upang makita ang multi-milyong dolyar na ransom na hinihingi sa kasalukuyang tanawin ng banta.

Ang Ransomware ay pangunahing inihahatid sa pamamagitan ng mga sumusunod na paraan:

• Mga nakakahamak na attachment/link na ipinadala sa isang email.
• Panghihimasok sa network sa pamamagitan ng mga port at serbisyong hindi na-secure, gaya ng Remote Desktop Protocol (RDP) (hal. Phobos ransomware variant).
• Nahulog ng iba pang mga impeksyon sa malware (hal paunang impeksyon sa TrickBot na humahantong sa isang pag-atake ng Ryuk ransomware).
• Wormable at iba pang anyo ng ransomware na nananamantala sa mga kahinaan sa network (hal. ang WannaCry ransomware variant).

Bakit mahalaga ang kamalayan sa ransomware?

Ang Ransomware ay isang lumalaki at mahal na problema. Sa 2019, ang Multi-State Information Sharing and Analysis Center (MS-ISAC) ay nakakita ng 153% na pagtaas sa bilang ng mga naiulat na state, local, tribal, and territorial (SLTT) government ransomware attacks mula sa nakaraang taon. Marami sa mga insidenteng ito ay nagresulta sa makabuluhang network downtime, mga naantalang serbisyo sa mga nasasakupan, at magastos na mga pagsisikap sa remediation.

Ang mga biktima ng ransomware ay hindi lamang nanganganib na mawalan ng access sa kanilang mga system at file. Sa maraming kaso, maaari rin silang makaranas ng pagkalugi sa pananalapi dahil sa mga legal na gastos, pagbili ng mga serbisyo sa pagsubaybay sa kredito para sa mga empleyado/customer, o sa huli ay magpasya na bayaran ang ransom. Ang mga epekto ng pag-atake ng ransomware ay partikular na nakakapinsala kapag nakakaapekto ito sa mga serbisyong pang-emergency at kritikal na imprastraktura, gaya ng 911 mga call center at ospital.

Bukod pa rito, tina-target ng mga CTA ang mga pinamamahalaang service provider (MSP), isang kumpanyang namamahala sa imprastraktura ng Information Technology (IT) ng customer, upang itulak ang ransomware sa maraming entity. Nangyayari ito kapag nakompromiso ng mga CTA ang isang MSP at ginamit ang kanilang kasalukuyang imprastraktura upang ipalaganap ang ransomware sa mga kliyente ng MSP. Sinasamantala nito ang pinagkakatiwalaang relasyon sa pagitan ng customer at ng kanilang MSP.

Sa nakalipas na ilang taon, naobserbahan ng MS-ISAC ang pagtaas ng mga paraan na nagbibigay-daan sa mga CTA na maiwasan ang pagtuklas at i-maximize ang epekto ng kanilang mga pag-atake. Kabilang sa isa sa mga paraan ang tinatawag na “living off the land” (LOTL): pag-deploy ng mga publicly-available penetration testing suite o tool (hal., Cobalt Strike, Metasploit, o Mimikatz), upang partikular na i-target ang mga controllers ng domain at Active Directory upang makakuha ng access sa malawak na network at mag-deploy ng walang file na ransomware upang maiwasan ang anumang antivirus na nakabatay sa signature.

Ano ang maaari mong gawin tungkol sa ransomware?

Ang pagtatanggol laban sa ransomware ay nangangailangan ng isang holistic, all-hands-on-deck na diskarte na pinagsasama-sama ang iyong buong organisasyon. Bagama't hindi lubos na maiiwasan ang mga impeksyon sa ransomware dahil sa pagiging epektibo ng mga email na phishing at drive-by na pag-download mula sa mga lehitimong site, ang mga organisasyon ay maaaring makabuluhang bawasan ang panganib ng ransomware sa pamamagitan ng pagpapatupad ng mga patakaran at pamamaraan ng cybersecurity at pagpapabuti ng kaalaman at kasanayan sa cybersecurity ng lahat ng empleyado.

Nasa ating lahat na tumulong na pigilan ang ransomware na matagumpay na mahawahan ang ating mga system. Upang pataasin ang posibilidad na maiwasan ang mga impeksyon ng ransomware, dapat na ipatupad ng mga organisasyon ang isang programa ng kaalaman at pagsasanay sa cybersecurity ng user na may kasamang gabay sa kung paano tumukoy at mag-ulat ng kahina-hinalang aktibidad (hal., phishing) o mga insidente. Ang program na ito ay dapat magsama ng mga pagsubok sa phishing sa buong organisasyon upang masukat ang kamalayan ng user at palakasin ang kahalagahan ng pagtukoy ng mga potensyal na nakakahamak na email. Kapag nakikita at naiiwasan ng mga empleyado ang mga malisyosong email, lahat ay gumaganap ng bahagi sa pagprotekta sa organisasyon.

Kung ang iyong organisasyon ay nahawahan ng ransomware, may ilang bagay na maaari mong gawin upang tumugon. Ang pinaka-epektibong diskarte upang mabawasan ang panganib ng pagkawala ng data na nagreresulta mula sa isang matagumpay na pag-atake ng ransomware ay ang pagkakaroon ng komprehensibong proseso ng pag-backup ng data sa lugar; gayunpaman, ang mga backup ay dapat na naka-imbak sa labas ng network at regular na nasubok upang matiyak ang integridad.

Pag-uulat ng Ransomware

Kung ang iyong organisasyon ay biktima ng impeksyon ng ransomware, sundin ang mga pamamaraan ng pagtugon sa insidente ng iyong organisasyon upang iulat ito. Bilang kahalili, ang Cybersecurity and Infrastructure Security Agency (CISA) ay nagbibigay ng isang secure na paraan para sa mga nasasakupan at kasosyo upang mag-ulat ng mga insidente, pagtatangka sa phishing, malware, at mga kahinaan. Upang magsumite ng ulat, bisitahin ang https://us-cert.cisa.gov/report.