Extreme: ESET protiv ransomvera
Ransomver je verovatno najozbiljnija sajberpretnja s kojom ćete se susresti, bez obzira na veličinu i ulogu vaše kompanije. Zašto je to izvesno? Zato što sajberkriminal, inspirisan milijardama dolara potencijalne zarade i zaštićen novčanim transakcijama kojima se ne ulazi u trag, najviše razvija upravo ovu vrstu napada.
Ransomver je danas podjednako kadar da onesposobi neku manju kompaniju, globalnog proizvođača usluga ili sirovina, pa čak i vitalne servise neke države, ukoliko je to potrebno. Pitanje je samo da li ćete biti nasumice odabrana ili ciljana meta. Zbog toga i ne čudi najčešće pitanje naših korisnika – da li me ESET štiti od ransomvera?
Šta je ransomver?
Ransomver je maliciozni napad koji zaključava korisničke podatke i za njih traži otkup u kriptovaluti. Otključavanje je praktično nemoguće, a plaćanje otkupa ne garantuje vraćanje podataka u prvobitno stanje. U slučajevima ciljanih napada na veće organizacije, visine otkupa su astronomske, a sem iznude, preti se i javnim objavljivanjem osetljivih informacija.
Zašto se ransomver teže detektuje?
Ransomver je u osnovi proces enkripcije koji se u operativnom sistemu vrši svakodnevno i na raznim nivoima, od upravljanja fajl sistemom do korišćenja bezbednih protokola za komunikaciju. U moru sličnih operacija, odvajanje malicioznog od regularnih procesa nije lak zadatak. Ukoliko je u pitanju poznati uzorak za koji virusna definicija postoji, ESET na testovima ima stoprocentni učinak.
Šta ćemo s novim „sojevima”?
Za analizu novog „soja” ransomvera potrebno je određeno vreme. Srećom, ono se u digitalnom svetu meri u satima, od uočavanja prvog uzorka do globalne imunizacije egzaktnom „vakcinom”. U međuvremenu, ESET svoje korisnike obezbeđuje višeslojnom zaštitom kroz module za blokiranje poznatih vektora širenja i specifičnog ponašanja ransomvera.
Na prvom mestu treba navesti ESET Live Grid kao suštinski važan cloud servis za nadgledanje malicioznih aktivnosti na globalnoj mreži. Ukoliko se u Južnoj Americi pojavi novi soj ransomvera, u roku od nekoliko minuta cela planeta biće obaveštena o detaljima nove pretnje, uz instrukcije za blokiranje sumnjivih procesa, dok se tačne definicije ne objave.
Ustaljeno je verovanje da su za infekcije najčešće krivi neobučeni korisnici koji neoprezno otvaraju elektronsku poštu. Ovaj vektor širenja jeste prisutan, ali u slučaju ransomvera nije pretežan. Napadači najviše vole neažurne servere i aplikacije, javno dostupne i otvorene za upite sa automatizovanim skriptama za proveru ranjivosti i, ukoliko je put prohodan, dalju infekciju ransomverom. Za borbu sa ovim vektorom napada ESET koristi Network Attack Protection koji štiti od ranjivosti najčešće korišćenih mrežnih protokola (RDP, RPC, SMB…), dok se Exploit blocker bavi ranjivostima operativnog sistema i aplikacija.
DNA potpisi, u odnosu na tradicionalne virusne definicije, detektovaće ransomver po ponašanju u operativnom sistemu, što je dosta teže sakriti. Ransomware Shield će uporediti izvršavanje sumnjivih aplikacija s poznatim ransomver šablonima, dok će Advance Memory Scanner detektovati vešto prikrivene instrukcije iz operativne memorije, što je ponašanje specifično za fileless ransomver napade.
Svi za jednog, jedan za sve
Kada se posmatra šira slika, ESET za odbranu od ransomvera koristi sve dostupne module zaštite jer tako napredna, kompleksna i opasna pretnja, sa svojim specifičnostima, najrazličitijim vektorima širenja i jasnom perspektivom, to apsolutno zahteva. Zavisno od licence koju odaberete, u ponudi su i servisi za cloud sandbox analizu i XDR alat za detekciju i odgovor na pretnje.
Korisna adresa: Extreme.rs
Autor: Denis Daničić, tehnička podrška, Extreme d.o.o.