SamSam i WannaCry: część większego wyzwania dla bezpieczeństwa

Cieszący się złą sławą wirus WannaCry, który obiera sobie za cel te same wrażliwe systemy od prawie roku, 28 marca uderzył w duży zakład produkcyjny, a jedna z większych gmin w USA walczy z oprogramowaniem wymuszającym okup zwanym SamSam, co nazwane zostało przez burmistrza tego miasta jako “sytuacja wzięcia zakładnika”.

Na szczęście wydaje się, że tylko garstka serwerów producenta została zainfekowana i oprogramowanie to nie miało wpływu na żadną z jego linii produkcyjnych. Natomiast ostatni atak przy użyciu SamSama obrał sobie za cel tylko serwisy do opłacania rachunków online oraz ustalania harmonogramów sądowych. Mogło być znacznie gorzej.

Zazwyczaj, jak w przypadku WannaCry, użytkownik końcowy klika w link lub otwiera plik załączony do złośliwego emaila będącego częścią kampanii phishingowej (losowej) lub spearphishingowej (spersonalizowanej). Bądź też odwiedza zagrożoną stronę internetową (zazwyczaj zapuszczając się w miejsca gdzie nie powinno go być) i łapie wirusa wraz z tym, cokolwiek przeglądał lub pobierał. W obu przypadkach, złośliwy plik jest wgrywany na szczególnie narażone urządzenie końcowe podłączone do otwartej sieci, i ładunek ten rozprzestrzenia się z tego właśnie miejsca, lokalizując inne podatne systemy i kodując ich dane.

Bitwa wytoczona przeciwko SamSamowi jest nieco bardziej skomplikowana. Obiera on sobie bowiem pierwotnie za cel podatne serwery, które zostały wystawione  na działanie internetu, zarówno poprzez atakowanie RDP (Protokołu Zdalnego Połączenia z Pulpitem) lub poprzez obranie sobie za cel i wykorzystanie konkretnych, znanych luk w zabezpieczeniach. Jego ataki wydają się być zdecydowanie bardziej ukierunkowane i zaplanowane.

SamSam pojawił się po raz pierwszy pod koniec 2015 roku i podczas gdy na początku stanowił dość umiarkowane ryzyko, to w ciągu minionych kilku miesięcy jego programiści mieli pełne ręce roboty obierając sobie za cel dużą ilość organizacji, począwszy od opieki zdrowotnej i instytucji edukacyjnych, a skończywszy na lokalnych samorządach. Cztery duże gminy zostały zaatakowane od początku roku, a jedna z nich doznała ataku dwa razy w przeciągu tygodnia, co zmusiło prawie 2000 pracowników do pracy jedynie przy użyciu ołówka i papieru. Szacuje się, że na tą chwilę grupa odpowiedzialna za SamSam?a wymusiła prawie milion dolarów od swoich ofiar.

Powrót do źródeł

Pomimo że SamSam i WannaCry są dwoma różnymi wirusami wymuszających okup, wykorzystującymi różne wektory ataków, jedną rzecz mają wspólną. Obierają sobie za cel systemy posiadające znane słabe punkty, które powinny były być naprawione.

Część problemu stanowi fakt, że sieci są coraz bardziej złożone, zasoby informatyczne zostały rozprzestrzenione koncentrując się na rozszerzaniu możliwości sieci, takich jak zarządzanie chmurą i projektami aplikacyjnymi. To z kolei sprawiło, że zespoły informatyczne spuściły z oczu podstawowe praktyki dotyczące bezpieczeństwa, obejmujące podstawową higienę bezpieczeństwa. Według jednego z administratorów informatycznych miasta zaatakowanego aktualnie przez SamSam, to “naprawdę odnosi się do tego, że w takim samym stopniu jak skupiamy się na infrastrukturze fizycznej musimy skupić się na bezpieczeństwie naszej struktury cyfrowej – to nowy obszar dla nas.”

Co trzeba zrobić

Cyberprzestępcy używają strategii “atakowania na wszystkich frontach”, która to jest szczególnie efektywna. Nie tylko rozwijają nowe kierunki ataków, celem wykorzystania powierzchni ataku stworzonej przez transformację cyfrową, ale również wykorzystują wypróbowane i typowe metody obierania sobie za cel znanych słabych punktów, którymi informatycy po prostu nie mieli czasu  się zająć.

Najlepszym sposobem obrony jest wykształcenie metodycznego procesu służącego redukcji ilości możliwych ścieżek ataku, na które twoja organizacja jest narażona. Wszystko zaczyna się od podstawowych rzeczy:

Aktywna inwentaryzacja wszystkich urządzeń: musisz wiedzieć jakie urządzenia znajdują się w twojej sieci. Oczywistym jest, że jest to ciężkie do zrobienia jeśli twoje urządzenia związane z bezpieczeństwem i punkty dostępu nie komunikują się ze sobą.

Śledzenie zagrożeń: Musisz również subskrybować pożywki zagrożeń w czasie rzeczywistym, które sprawiają że twoje systemy bezpieczeństwa są częścią ostatniego kalejdoskopu zagrożeń.

Monitorowanie wskaźników naruszenia integralności systemu  (IOC): W momencie kiedy możesz powiązać wykaz z zagrożeniem, możesz szybko zorientować się, które z twoich urządzeń jest najbardziej zagrożone i ustalić priorytet jeśli chodzi o wzmocnienie, załatanie, odizolowanie, bądź też wymienienie go.

Zautomatyzowane łatanie: Nikt nie lubi systemów naprawczych. Ale stanowią one podstawowy kanał dla ataków i oprogramowania złośliwego ? jak ostatnie naruszenie WannaCry jasno wskazuje. Z tego też powodu, powinieneś rozwijać proces automatyzacji działań naprawczych w możliwie największym stopniu.

Segmentacja sieci: Rzeczywistość jest taka, że wcześniej czy później doświadczysz naruszenia. Kiedy to się stanie, będziesz chciał ograniczyć wpływ tego zdarzenia w możliwie największym stopniu. Najlepszą ochroną jest segmentacja sieci. Bez odpowiedniej segmentacji, robaki związane z okupem jak WannaCry mogą się łatwo rozprzestrzeniać na magazyny kopii zapasowych, powodując że inne części twojego planu reagowania na incydenty (IR) będą znacznie trudniejsze do wprowadzenia. Strategie segmentacji, włączając mikro-segmentację wirtualnych środowisk i makro-segmentację pomiędzy sieciami fizycznymi a wirtualnymi, pozwolą ci na aktywne oraz/lub dynamiczne odizolowanie ataku i co za tym idzie ograniczając jego zdolność do rozprzestrzeniania się.

Zastosowanie kontrolerów bezpieczeństwa: Wprowadź rozwiązania oparte na podpisie i zachowaniu celem wykrycia i udaremnienia ataków, zarówno na krawędzi jak i w momencie kiedy przenikną do sieci.

Zrób kopię zapasową systemów krytycznych: Kiedy mamy do czynienia z oprogramowaniem wymuszającym okup, najważniejszą rzeczą jaką możesz zrobić jest upewnienie się że posiadasz kopię krytycznych danych i zasobów przechowywanych poza siecią, co umożliwi wznowienie operacji w możliwie najkrótszym czasie.

Wzmocnij punkty końcowe i punkty dostępu: Upewnij się, że wszystkie urządzenia wchodzące w skład twojej sieci spełniają podstawowe wymagania bezpieczeństwa i że są aktywnie skanowane celem wykrycia zainfekowanych urządzeń i ruchu.

Wprowadź automatyzację: Po zamknięciu obszarów nad którymi masz kontrolę, powinieneś wprowadzić automatyzację do największej możliwej liczby podstawowych procesów bezpieczeństwa. To pozwala zwolnić twoje zasoby informatyczne ze skupiania się na analizie zagrożeń nadrzędnych i reagowania, które mogą ochronić cię przed bardziej zaawansowanymi zagrożeniami, które również obierają sobie twoją organizację za cel.

Wprowadź strukturę bezpieczeństwa: celem zapewnienia nieprzerwanego przedłużenia tych praktyk dotyczących bezpieczeństwa do każdego nowego ekosystemu sieci jaki wprowadzasz online musisz zastosować rozwiązania dotyczące bezpieczeństwa, które są zintegrowane i umożliwiają centralizację aranżacji i analizy. Zamiast stosować coraz bardziej złożoną i fragmentaryczną strategię bezpieczeństwa zastosuj pojedynczą strukturę bezpieczeństwa mającą na celu objęcie i dostosowanie się do twojej dynamicznie zmieniającej się sieci, co przywróci szeroką widoczność i precyzyjną kontrolę twoim działaniom związanym z bezpieczeństwem.

Źródło: https://www.fortinet.com/blog/threat-research/samsam-and-wannacry–part-of-a-larger-security-challenge.html