No More Ransom
 

Tijela za provedbu zakona i tvrtke za IT sigurnost udružili su se kako bi onesposobili cyber kriminalne organizacije povezane sa ransomware zloćudnim računalnim programima.

Web stranica "No More Ransom" rezultat je inicijative Nacionalne jedinice za visokotehnološki kriminalitet policije u Nizozemskoj, Europolovog Europskog Centra za kibernetički kriminalitet, Kaspersky i McAfee, s ciljem podrške žrtvama ransomware prijevara pri vraćanju kriptiranih podataka bez plaćanja otkupnine kriminalcima.

Pošto je mnogo lakše izbjeći prijetnju nego boriti se s njom jednom kad je sustav zaražen, jedan od ciljeva projekta je i obrazovanje korisnika o načinu rada ransomware prijevara i koje protumjere možete poduzeti kako bi se učinkovito spriječila zaraza. Rezultati će biti tim bolji što više strana podrži ovaj projekt. Ova inicijativa je dostupna i drugim javnim i privatnim strankama.

https://www.nomoreransom.org/

Garmin bi prvi trebao ovo podržati. :D

Eh, da su barem ovi znali za to.

Ovo je jedna od najbitnijih stvari, sve ostalo je neću reći nebitno, ali nije toliko vrijedno pažnje. Svaki dan se pojavi na desetke i stotine vrsta novih štetočina koje redovno prolaze ispod radara i nijedan AV ih neće imati sve u bazi.

AninStol ekipa se teško educira nažalost haha.. treba njima objasnit da izvjesce_kvartalno.EXE nije za otvarat

Danas su "hackeri" ipak pametniji pa više ne koriste (toliko) ovakav tip navlakuše. :D

Danas koriste izvjesce_kvartalno.docx.exe al je File Explorer na AninomStolu po defaultu konfiguriran da ne prikazuje ekstenzije.

Ma dovoljno da pošalje i neki lažni link koji te odvede da skineš tko zna što jer piše da to banka traži, klikne na krivu reklamu, instalira inficiranu aplikaciju s MS Storea kao što je bilo s Google Photos, pokupi negdje bad USB, spoji se na krivi WiFi/captive portal itd. Ma ima toga ajme...

Da ne otvaram novu temu, a vezano je uz ransomware.

Kada se skine na komp, može li ostati recimo neaktivan i onda se u petak popodne aktivira i krene s kriptiranjem kada nema nikoga u uredu?

Jeste li čuli možda za takve primjere?

Računalo je bilo upaljeno, ali u uredu u vrijeme kada su datoteke kriptirane nije bilo nikoga, a korisnik tvrdi da nije preuzimao ništa sumnjivo (pitanje je bi li i prepoznao da je sumnjivo).

tnx

Da, postoje takvi primjeri. Napadači takve korake rade kako bi prevarili antivirusni program. Žrtva skine nešto sumnjivo, to se naseli tko zna gdje na disk i ništa ne radi dok AV "ne ode dalje". Nakon nekog vremena kreće u akciju, ovisno koji je trigger, može biti timer ili neki event zapis ili nešto treće, i onda radi cirkus.

Ako si u mogućnosti, svakako prvo složi SRP, a onda EDUCIRAJ KORISNIKE kako se koristiti računalom na siguran način. Social engineering je veliki problem kad je sigurnost u pitanju i broj prevara eksponencijalno raste.

I na kraju, pošalji taj malware autorima svog AV-a, a ako te zanima što radi, uploadaj na https://app.any.run/ i u virtualnom okruženju gledaj što sve radi po sustavu (u free verziji je sve što radi javno dostupno i imaš samo Win 7 x86).

Ne da može čučat neaktivan, nego napadači rade čuda.

Najćešće provale preko RDP-a (to se da vidjeti u Event Vieweru). Onda prate tvoje ponašanje, kad si aktivan, kad si neaktivan. Pokušavaju pristupiti ostalim računalima u mreži, sakupljaju podatke itd.

Koliko ti je još računala u uredu? Je li Remote desktop uključen?

Samo za info, tamo gdje je potrebna visoka sigurnost poslovanja, diskovi se vade iz zaraženih računala i spajaju na jedno računalo koje ima antivirusni program s najnovijim definicijama, kopiraju se datoteke (samo datoteke, ne programi !!!) uz antivirusnu provjeru. Diskovi se brišu i ide reinstalacija OS-a i programa. Ista procedura primjenjuje se i za USB stickove pa čak i sve optičke medije snimljene od određenog trenutka u odnosu na zarazu kojima se poskidaju datoteke i presnime na drugi medij a ovaj sumnjivi uništava.
Naravno da se na početku rada gasi mreža i prekontroliraju sva mrežno dostupna mjesta na koje se zaraza mogla proširiti.
Ono što sam ja kolegama tvrdio da je veliki zez u cijeloj priči da se ne smije ostaviti otvorena konekcija ili automatsko povezivanje na mrežno dostupna mjesta bez ukucavanja lozinke što je došlo do izražaja pri jednom napadu kriptolokera kada je srećom stradalo samo jedno računalo ali je ono uspjelo uništiti backup svih ostalih računala na backup mrežnom mjestu. Naravno da smo odmah morali provrtiti backup na svim računalima. Tu se otvorila rasprava da je bolje kreirati backup lokalno na računalima a onda da server sam pokupi backup sa svakog računala jer u tom smjeru računala niti ne trebaju imati pristup serveru već obrnuto.

Centralizirani backup pomocu lokalnog agenta je uvijek najbolji. Pitanje je samo sto sa laptopima koji su naokolo. Tu ili always on VPN ili cloud sto je vec dosta skupo i rijetko tko ga ima. Opet, to je samo backup nije preventiva.

Preventiva je daleko jednostavnija. Web filtering unutra (uncategorized zabranjen) i vani uz pomoc umbrella slicnih servisa (opet uncategorized zabranjen) i sanse da ti nesto prodje su minimalne.

Na žalost pretpostavljam da 90% manjih poduzeća ima samo neki jeftini backup softver koji iskrca backup datoteku na neko mrežno mjesto. Neki čak nemaju niti server nego NAS na koji se u određenom periodu iskrca taj backup. Još je OK ako svaki korisnik ima svoju mapu u koju iskrca datoteku, nailazio sam centralizirane mape backupa gdje svi iskrcavaju datoteku, sigurnost ravna nuli. Nekima je server znanstvena fantastika jer misle da to košta nedostižnu sumu novca.

Ajmo reci da im onda samo jos fali odvojeni backup za nas na nesto sto je ili cloud ili datastore koji nije dostupan nikome. Ako su tako mali i to je ok.

Ništa to ne vrijedi ako AV ne detektira ransomware, a takvih slučajeva je jako puno, treba ti SRP na domeni, pogasiti SMB 1.0 i ostale nepotrebne servise, pisao sam već negdje.

Za ovakve stvari je dosta neki NAS sa ZFS-om i odvojenim backup accountom. Za spriječiti SPoF dodati još offline backup na drugoj lokaciji i to je to, ali sad već odlazimo izvan teme.

Još je bolja varijanta da i u startu svaki korisnik ima pristup samo svojoj mapi za backup.


Računaj da nema domene, lokalni antivirusni programi po računalima teško otkriju ransomware, bio kolega na prezentaciji gdje se čeprkalo po kodu ransomware fajla, ima upisana sva imena antivirusnih programa, Kaspersky, AVG, Avira, Norton, Bitdefender, NOD32, nastavi niz. Tako da lokalna zaštita malo znači ako korisnik klika ono što ne bi trebao klikati.

Da, i onda NAS ima smisla u pogledu sigurnosti.

Nažalost, klasična AV rješenja su beskorisna u borbi s modernim ransomwareom, a pogotovo kad se cijela stvar zapakira s fileless malwareom. Za to vrijeme dok se AV definicije ažuriraju ode baka s kolačima. NAS (Synology + QNAP) rješenja su kudikamo otpornije backup solucije, posebno kad se slože u offsite režimu uz replikaciju, a ako je riječ o nečemu što nativno nudi ZFS koji domy_os spominje, poput npr. TrueNAS Mini X uređaja - bog bogova. Roaming korisnički profili su također opcija koju većina preskoči, ali čak i bez toga, ne trebaju svi korisnici pristup glavnom mrežnom repozitoriju, pa pravo pristupa na nivou individualnog korisničkog profila itekak umanjuje potencijalno kriptiranje svega uzduž i poprijeko. Na zaražana lokalna računala se u pravilu samo vraća orginalni image, pa nema potrebe za reinstalacijama i sl. peripetijama. Kaj se tiče social engineering + spear phishing kombinacije, zabrana društvenih mreža unutar firme, tj. na nivou firewall infrastrukture i službene opreme - čuda radi s korisnicima kojima se ne može drukčije dokazati ili sve njihove edukacije padaju u vodu, ali jebiga - većina danas to doživljava kao osnovno sreCtvo za rad, neki bi rađe bez familije ostali, nego da im se uskrati Facebook, Twitter, Instagram, TikTok i sl. pa takve mjere malo teže prolaze.:)

Samo mala nadopuna, da bude jasniji moj stav oko NAS-a, ako se korisnici priključuju na NAS da iskrcaju backup datoteke, bitno je da se svaki korisnik sa svojim pristupnim podacima priključuje samo u svoju mapu u koju ima pristup jer u slučaju ransomware napada SVE datoteke u mapi na NAS-u budu kriptirane, dakle jedno računalo uništi sve datoteke kojima ima pristup preko mreže i to je banana pogotovo ako ako su u pitanju mape u koje više korisnika pohranjuje datoteke. Zajednička mapa backupa je bezvezna solucija s pogleda sigurnosti jer se u slučaju kriptiranja pobiju backupi svih mašina, najgora stvar je ako se i takve kriptirane datoteke s NAS-a opet prekopiraju na neki drugi uređaj za "dvostruku" sigurnost gdje se brišu stare backup datoteke.

Točno to, a svako od ovih NAS rješenja ima jako dobro složene mogućnosti za (individualni) višekorisnički pristup, tako da korsnici ne lutaju dalje od svojih stvari. Na kraju korisnici ni ne trebaju znati pozadinu priče. Tak je i najbolje.:)

Ekipa, hvala vam na odgovorima i ostalim postovima vezanim uz tematiku. Od velike su koristi.