CTB-Locker i CryptoLocker (utrata plików firmy)

Trzeba przyznać, że aktywność złośliwego oprogramowania, które zagraża ważnym dokumentom w każdej firmie – znacznie wzrosła w ostatnich dniach. Oprogramowanie rozprzestrzenia się głównie za pomocą poczty elektronicznej, ale można je „wpuścić” do systemu również poprzez działania nieodpowiedzialnych użytkowników.

Jak działa taki malware?

Działanie tego konkretnie oprogramowania opiera się na prostym schemacie, a celem jego aktywności jest odcięcie użytkowników od swoich dokumentów poprzez zaszyfrowanie plików. Odzyskanie dokumentów może nastąpić dopiero po uiszczeniu stosownej opłaty na konto autora oprogramowania. Kwoty, które autorzy sobie życzą – się zmieniają, a ich wysokość może się wahać od kilkudziesięciu do nawet kilkuset tysięcy dolarów amerykańskich (w zależności od zasobności skompromitowanej organizacji).

Algorytm działania wygląda następująco:

1. Użytkownik otrzymuje pocztą elektroniczną załącznik ze złośliwym oprogramowaniem, ale w celu zmylenia go, załącznik wygląda całkiem niewinnie, np. jak dokument wytworzony w pakiecie biurowym Office lub PDF (Word, Office itp.)
2. Użytkownik otwierając załącznik (myśląc, że to bezpieczny dokument) rozpoczyna infekcję, propagacje oprogramowania, mutacje i destrukcyjne jego działanie.
3. Złośliwe oprogramowanie, pobiera swoje aktualizacje modyfikując się, utrudniając tym samym jego wykrycie oraz pobiera klucz  RSA z sieci internet.
4. Następuje etap szyfrowania plików, które są istotne dla użytkownika. Każdy z plików szyfrowany jest oddzielnym kluczem AES-256 bit co utrudnia dalszy proces związany z odzyskiwaniem plików.
5. Złośliwe oprogramowanie nie ogranicza się do zaszyfrowania plików lokalnych, ale przeszukuje zasoby sieciowe w celu rozszerzenia skali uszkodzeń. Można sobie wyobrazić utratę dostępu do lokalnych baz danych, arkuszy rachunkowych, rejestrów itp.
6. Oryginalne pliki (dokumenty) zostają usunięte z zasobów lokalnych użytkownika oraz zasobów sieciowych.

Prewencyjnie, dział bezpieczeństwa lub dział IT w każdej firmie, powinien zadbać o:

1. Edukację użytkowników, gdyż brak świadomości dotyczącej zagrożeń i skutków wywołanych działalnością złośliwego oprogramowania stanowi 95% przypadków infekcji. To działanie (zabezpieczenie) wymaga zaangażowania kierownictwa firmy, departamentu, działu, komórki. Bez tego zaangażowania cel nie zostanie osiągnięty, a przynajmniej jest obarczony wysokim ryzykiem niepowodzenia.
2. Filtrowanie plików z podwójnymi rozszerzeniami. Jeżeli organizacja ma odpowiedni system antywirusowy skanujący pocztę elektroniczną na styku z internetem, można to zrobić za pomocą prostych wyrażeń regularnych.
3. Konfigurację uprawnień na zasobach sieciowych. Można sobie wyobrazić sytuację (potwierdzoną doświadczeniem naszych klientów), w której malware szyfruje nie tylko pliki użytkowników na stacjach roboczych, ale również pliki na wspólnych zasobach sieciowych, do których użytkownik ma dostęp (do zapisu lub modyfikacji).
4. Zaostrzenie zasad korzystania z przenośnych pamięci USB. Wiąże się to najczęściej z zaostrzeniem polityki bezpieczeństwa.
5. Zaostrzenie polityki przeglądania witryn WWW lub ogólnej polityki dostępowej do internetu.
6. Wykorzystanie mechanizmów reputacji zasobów internetowych oraz plików. Takie funkcje posiadają narzędzia działające w trybie online, które odpytują się chmury producenta oprogramowania AV w celu potwierdzenia reputacji zasobu. Z naszych obserwacji wynika, że nawet 80% incydentów można uniknąć wykorzystując ten mechanizm.
7. Zablokowanie poczty przychodzącej do firmy na adresy <nazwa>@<domena_firmy> gdy <nazwa> zawiera tyle znaków, co przyjęty login użytkownika w organizacji. Zabezpieczenie wymaga stosowania przez użytkowników wyłącznie aliasów do budowania adresów e-mail. Zabezpieczenie przeciwdziała generatorom adresów poczty elektronicznej, gdyż login użytkownika zwykle jest krótszy niż alias imienny i generatorom łatwiej go wygenerować oraz skutecznie przepuścić przez firmowy system pocztowy.
8. Stosowanie dedykowanych narzędzi (np. Trend Micro Tools for GOZ and CryptoLocker Malware) do usuwania złośliwego oprogramowania, innych, niż posiadane oprogramowania antywirusowe.

Niezależnie od powyższego, zalecana jest czujność zarówno komórek bezpieczeństwa, jak i administratorów IT. Tylko aktywna i świadoma współpraca pomiędzy tymi rolami w organizacji może skutecznie zapobiec infekcji oraz jej skutkom.

Zachęcamy do skorzystania z kompetencji naszego zespołu reagowania na incydenty komputerowe. Pomożemy w analizie złośliwego oprogramowania oraz w analizie środowiska informatycznego pod kątem jego optymalizacji, która w późniejszym okresie pozwoli zminimalizować ryzyko propagacji malware’u.

Doświadczeni specjaliści wspomagają Państwa w planowaniu zakupów systemu ochrony antywirusowej, która będzie chroniła Państwa systemy oraz dane na kilku poziomach, co najmniej:

• Na styku sieci LAN lub WAN z siecią Internet. Zabezpieczenia zlokalizowane w tym miejscu pozwalają odrzucić 90% złośliwego oprogramowania przesyłanego pocztą elektroniczną oraz pozwalają zablokować dostęp do podejrzanych witryn internetowych na podstawie reputacji takiej strony. Ochrona taka działa niezależnie od posiadanego oprogramowania na stacji roboczej użytkownika.
• W sieci LAN lub WAN poprzez zastosowanie wewnętrznych mechanizmów ochrony. Ochrona taka działa niezależnie od posiadanego oprogramowania na stacji roboczej użytkownika.
• Na stacjach użytkowników.

Zachęcamy do współpracy. Możemy pomóc w konsultacjach nad opracowaniem Specyfikacji Istotnych Warunków Zamówienia (SIWZ), oferty oraz innych dokumentów określających potrzeby i oczekiwania klienta wobec zagrożeń.