Ransomware napadi su sve češći, a organizacije nisu sigurne kako se suočiti s takvom vrstom ugroze. Velik broj tvrtki bez razmišljanja plaća otkupninu napadačima, neovisno o svoti novca koju traže, ne bi li dobili svoje podatke natrag. Jedan od aktualnih ransomware napada je i napad na tvrtku Kaseya Limited koja razvija alate za upravljanje mrežom. Napad je izvršila skupina REvil aka Sodinokibi, u petak 02.07.2021. poslijepodne, a prema dosadašnjim informacijama ugroženo je preko 1000 poslovanja.
Američka agencija za kibernetičku sigurnost i sigurnost infrastrukture (engl. Cybersecurity and Infrastructure Security Agency, CISA) je objavila dokument za procjenu spremnosti na ransomware napade (engl. Ransomware Readiness Assessment, RRA), novi modul u sklopu alata za procjenu kibernetičke sigurnosti (engl. Cyber Security Evaluation Tool, CSET).
RRA je alat za samoprocjenu sigurnosnih revizija za organizacije koje žele razumjeti koliko su dobro opremljene za obranu i oporavak od ransomware napada usmjerenih na njihove informacijske ili operativne tehnologije te imovine industrijskih kontrolnih sustava. Ovaj modul je prilagođen kako bi procijenio različite razine spremnosti na ransomware prijetnje, a koristan je svim organizacijama bez obzira na njihovu zrelost u kibernetičkoj sigurnosti.
CISA spominje kako će RRA biti koristan u obrani od ove prijetnje jer efikasno:
- pomaže organizacijama da sistematično, disciplinirano i ponovljivo procjene stanje kibernetičke sigurnosti, s naglaskom na ransomware napade, prema priznatim standardima i preporukama najbolje prakse
- vodi vlasnike imovine i operatore kroz sustavni postupak za procjenu njihovih sigurnosnih praksi operativne, informacijske i mrežne tehnologije
- pruža nadzornu ploču analize s grafikonima i tablicama koji prikazuju rezultate procjene u sažetom, ali i detaljnom obliku
Za korištenje alata, prvo je potrebno instalirati CSET i pokrenuti aplikaciju te se prijaviti u nju. Zatim je potrebno započeti novu procjenu i odabrati model zrelosti (eng. Maturity Model) unutar konfiguracije procjene (eng. Assessment Configuration). Nakon toga odabirete procjenu spremnosti na ransomware napade (eng. Ransomware Readiness Assessment) u ekranu modela zrelosti (eng. Maturity Model). Sada ste spremni za dovršavanje RRA procjene. Za dodatne upute potrebno je ponoviti tutorial ili pročitati RRA vodič unutar Help izbornika.
CISA je prethodno objavila i alat Aviary, za pregled aktivnosti nakon kompromitacije u okruženjima Microsoft Azure Active Directory (AD), Office 365 (O365) i Microsoft 365 (M365). Aviary analizira izlazne podatke koji se generiraju pomoću Sparrow-a, PowerShell alata za otkrivanje potencijalno ugroženih aplikacija i korisničkih računa u Azure i Microsoft 365 okruženjima. Također, izdali su i CHIRP (eng. CISA Hunt and Incident Response Program), forenzički alat za prikupljanje podataka koji se temelji na Python programskom jeziku, a služi za otkrivanje znakova aktivnosti napadača na Windows sustavima koji iskorištavaju SolarWinds ranjivosti u napadu.
Nacionalni CERT savjetuje da u slučaju zaraze ransomwareom ne plaćate otkupninu, iz razloga što se iz otkupnine financiraju zlonamjerne skupine, kojima se na taj način daje dodatni poticaj za nove napade. Također, plaćanje otkupnine ne garantira dobivanje ključa za dešifriranje podataka, a samim time ne garantira dobivanje podataka koje ste izgubili. Ista žrtva može pretrpiti i ponovne napade slične vrste, budući da je već prethodno plaćala otkupninu.
Dodatno o ransomware napadima možete pročitati na:
https://www.cert.hr/19795-2/ransomware/
