Perché gli attacchi di riscatto sono andati a buon fine?

48

Ho appena letto che gli attacchi di "riscatto" sono in aumento - laddove l'utente malintenzionato utilizza una vulnerabilità per consentire loro di crittografare i file e richiedere denaro per la chiave.

Perché questo è diverso da un errore del disco, in cui la soluzione è "ottenere il backup"?

    
posta GreenAsJade 07.08.2015 - 01:29
fonte

11 risposte

41

Alcune persone menzionano i backup come una soluzione per il ransomware. Il ransomware funziona perché l'obiettivo non è preparato per il risultato. Mentre un disco rigido guasto e una crittografia ransomware possono essere "recuperati" ripristinando un backup su una nuova unità, il ransomware a volte è un malware che gira sulla macchina stessa. In ogni caso, il ripristino da un backup esterno non rimuoverà il problema che ha consentito agli hacker di accedere al sistema in primo luogo. Ciò richiede contromisure come:

  1. autorizzazioni di sicurezza elevate su un sistema per prevenire i trojan
  2. strategie di backup remoto per impedire che i backup connessi vengano crittografati
  3. rilevamento di infiltrazioni in caso di qualcosa di simile a un worm
  4. password consolidate per impedire l'intrusione

Sfortunatamente la maggior parte degli utenti di computer non ha queste contromisure in atto.

Per eseguire il ripristino da un'unità guasta, è sufficiente eseguire i backup su un disco esterno. In caso di guasto dell'unità, sostituire il disco e ripristinare i volumi. Semplice.

Per recuperare da un ransomware occorrono tempo, tempi di fermo e indagini per determinare se la macchina è stata compromessa a causa di:

  1. un account utente in esecuzione con autorizzazioni troppo elevate per il esigenze dell'utente (utente desktop come amministratore)
  2. un'infezione su un'altra macchina o dispositivo che consentiva un utente per ruotare verso il sistema che consente l'infezione (controller di dominio infetto)
  3. una mancanza di consapevolezza in merito a qualcosa come un tentativo di phishing in un'e-mail in cui l'utente ha fatto clic su qualcosa che non desiderava a (insieme a # 1)
  4. password molto semplici (se l'attacco era in loco)
  5. permessi di accesso remoto in una macchina con software di accesso remoto come LogMeIn o Windows Remote Desktop
  6. una rete non firewall
  7. altri sistemi compromessi come dispositivi IoT

Se il costo di un'indagine è costoso, potrebbe essere più economico pagare il riscatto.

Nota: il sistema / rete deve ancora essere protetto prima e dopo un'indagine, altrimenti lo stesso attacco può ripetersi.

In alcuni casi, abilitando la crittografia su un volume con BitLocker in cui il volume non era già crittografato, l'utente malintenzionato può impedire l'accesso all'intero volume bloccando l'utente dal proprio sistema. In questo caso è una funzionalità di Windows. Non ci sarebbero prove di qualsiasi cosa "installata" sul sistema, ma piuttosto ci sarebbe evidenza di un'intrusione se il sistema fosse configurato in modo tale che l'account dell'utente potesse essere compromesso in remoto o di persona con l'inserimento di un dispositivo infetto.

On Disk Failure

Quando un disco si guasta, è sufficiente sostituire il dispositivo perché si è verificato un errore fisico. Se molti dischi non funzionano, c'è un problema con il controller. Puoi solo dire se un disco ha fallito provandolo in una macchina diversa se un nuovo disco mostra gli stessi sintomi, o se testi un nuovo disco nella macchina guasta e funziona, allora sai che il controller è a posto. In situazioni come un RAID in cui più dischi lavorano insieme, un disco guasto può rimuovere altri dischi, quindi c'è la possibilità di errori sistemici su più dispositivi. Pensa ai settori danneggiati e alla corruzione dei file su una singola unità che viene replicata su più copie su un RAID. L'errore del disco è in genere limitato a una sola macchina, ad eccezione delle reti in cui i terminali (thin client) si connettono tutti a un sistema centrale. La sostituzione di un disco guasto solitamente risolve il problema. Statisticamente non è probabile che si verifichi lo stesso problema a meno che il disco sostitutivo sia stato acquistato contemporaneamente e facesse parte della stessa esecuzione del fornitore, nel qual caso potrebbe trattarsi di un difetto del produttore di una linea componente.

Non è sempre solo una macchina con Ransomware però

Alcuni ransomware possono effettivamente crittografare più di una macchina su una rete. Ho un client il cui server è stato infettato e ha permesso al virus di diffondersi su più macchine sulla rete e quindi il server e le workstation sono stati tutti bloccati. Nei casi in cui il server potrebbe non essere infetto, ma agisce da host, questo può causare infezioni ricorrenti alle workstation che si connettono ai file infetti. Indipendentemente da ciò, il problema deve essere risolto sistematicamente per fermare l'infezione.

Se un disco rigido in una workstation muore, non replica l'errore su una rete. Confrontare ransomware e guasti del disco rigido è come paragonare il cancro a un arto rotto; sono entrambi debilitanti.

    
risposta data 07.08.2015 - 08:22
fonte
71

La maggior parte delle persone non ha backup. La maggior parte delle persone che dispongono di backup non le ha testate per assicurarsi che funzionino.

La vera differenza tra l'errore del disco e il ransomware è che pagare il riscatto è più economico che pagare una società di recupero dati, ed è più probabile che i tuoi dati tornino indietro.

    
risposta data 07.08.2015 - 02:03
fonte
9
  • Esiste il potenziale di eseguire il backup dei dati crittografati con il ransomware
  • La maggior parte delle persone non esegue il backup nel cloud in primo luogo
  • Se esegui regolarmente il backup del disco rigido, non devi preoccuparti di eseguire automaticamente il backup del disco rigido morto
  • Con la crittografia non ci sarebbe alcun modo per recuperare i miei dati senza pagare il riscatto (che non è garantito per funzionare).
  • Se l'unità muore, c'è ancora il potenziale che alcuni di essi possano essere recuperati.

Nel complesso, il fallimento del disco rigido può non essere dannoso con precauzioni e servizi di recupero, mentre il ransomware è progettato per essere intenzionalmente molto più dannoso.

    
risposta data 07.08.2015 - 02:11
fonte
9

Per fare in modo che i backup siano utili, devi eseguirli regolarmente. Se lavori sul tuo computer e l'ultimo backup è avvenuto una settimana fa, quei file creati in una settimana potrebbero già valere 50-100 $ / €, a prescindere dall'attaccante. E se sono coinvolte le foto non appoggiate, la maggior parte sono ancora più disposte a pagare. Questo rende questo tipo di attacco abbastanza redditizio.

La maggior parte delle persone non ha idea dei computer. Sono semplici utenti semplici, con poca conoscenza di cosa evitare o cosa potrebbe andare storto. Dopotutto, nella maggior parte dei casi quando si ha un virus o un rootkit, si conoscerà qualcuno che può aiutarti, salvare i file, formattare il computer e reinstallare Windows per te. Ciò significa che per quegli utenti l'attacco viene fuori dal nulla e sono solo impreparati.

E le persone sono anche pigre. Anche se sapessero che i backup sono utili, la maggior parte sarebbe troppo pigra per collegare periodicamente il proprio computer a un'unità esterna. E la maggior parte non saprebbe davvero come farlo, oltre a estrarre manualmente tutti i file che preferiscono sull'unità. In tal caso potrebbero facilmente perdere alcuni o copiare così tanti file che il processo diventa noioso nel tempo.

Inoltre, se i tuoi backup sono collegati alla tua rete / computer, potrebbero semplicemente essere vulnerabili, perché ti aspetti un errore del disco, ma pensi che la tua rete / computer sia generalmente al sicuro dalla maggior parte degli exploit o agli utenti evitare.

    
risposta data 07.08.2015 - 02:17
fonte
6

Se vengono eseguiti backup e tali backup non sono accessibili dal ransomware, è sufficiente ottenere il backup (dopo aver rimosso completamente il software ransomware dal computer infetto).

Se il supporto di backup è sempre connesso (ad esempio, condivisione di rete montata, disco rigido USB, ecc.), è possibile che il ransomware crittografi anche i backup.

    
risposta data 07.08.2015 - 03:30
fonte
6

"Why is this any different to a disk failure"

Un punto non è stato ancora presentato: non è affatto diverso. Le persone che pagano per il tipo di crittografia ransomware pagherebbero anche $ 500 per far ripristinare istantaneamente il loro disco rigido dopo un errore del disco. *

I backup sono molto rari sui PC domestici delle persone normali. Acquistare un NAS e conoscere le reti e come eseguire i backup automatici non è né economico né semplice per un utente medio di computer. Acquistare un HDD esterno e collegarlo occasionalmente è economico e semplice, ma troppo ingombrante, quindi l'ultimo backup avrà un paio di mesi. E non aiuta che se usi Windows, il modo integrato di fare i backup cambia ogni 3 anni. I backup hanno anche il problema che sono su condivisioni di rete accessibili pubblicamente, il che significa che il ransomware potrebbe decidere di crittografarli anche.

Inoltre, non dimentichiamo di installare Windows da zero, senza avere un disco. Immagino che meno del 25% degli utenti si senta a suo agio nel farlo - anche se c'è un backup, dovrebbero andare in un'officina per riparare il PC, reinstallare Windows e installare il backup. L'officina costa anche denaro e significa che il PC non sarà disponibile per una settimana.

* Un caso speciale sono persone che si vergognano di aver preso un virus mentre facevo non so cosa, chi vuole che il problema vada via senza che nessuno se ne accorga. Pagheranno il riscatto per evitare l'umiliazione.

    
risposta data 07.08.2015 - 22:02
fonte
6

Con il ransomware, c'è un strong elemento psicologico - una sensazione di violazione.

Se il tuo disco rigido muore e non hai backup, beh, è qualcosa che è appena successo, come un terremoto.

Il ransomware è come se qualcuno avesse fatto irruzione in casa tua, qualcuno ti ha fatto qualcosa. Inoltre, un disco rigido muore e non hai backup, il gioco è fatto. Se è un ransomware, ora l'utente deve decidere: devo pagare? Se pago, mi daranno effettivamente i miei dati?

Se un disco rigido muore, qual è la probabilità che venga a mancare un'altra unità? Se qualcuno fosse abbastanza stupido per scaricare il ransomware, potrebbe non sapere cosa hanno fatto e avrà paura che accada di nuovo. In molti casi, l'utente probabilmente ha scaricato qualcosa, ma molti utenti penseranno che siano stati "hackerati" e che fossero bersagli.

Per successo intendi, perché le persone pagano invece di usare i backup? Alcune possibilità:

  • Non hanno backup
  • Dispongono di backup, ma sono anche bloccati o mirati (ad es. hanno backup, ma il loro concetto di backup è stato inserito in un'altra cartella sul disco rigido principale)
  • Hanno qualcosa come Carbonite o Mozy come i loro backup, hanno la loro password in un file .txt e non saranno mai in grado di recuperare la password poiché sono bloccati dal loro computer

  • Qualcun altro ha impostato i backup e non sa come farlo, e non vuole ammettere che abbia scaricato qualcosa e sia stato attaccato al suo amico IT

  • Potrebbe succedere di nuovo, "forse se pago mi lasceranno in pace"
  • Il recupero dai backup sembra difficile o sono preoccupati che l'ultimo backup non abbia il file più importante, forse il loro tempo vale più del costo di riscatto

Un disco fisso guasto è un errore, il ransomware è un attacco. Entrambi si traducono in una perdita di disponibilità dei dati se non viene intrapresa alcuna azione, tuttavia il ransomware implica anche altri attacchi o violazioni potrebbero essere possibili - perché l'hacker non dovrebbe sbloccare i dati e quindi ricollegarli ancora e ancora o anche aggiungervi a un botnet? Il ransomware potrebbe non essere un calvario fatto.

    
risposta data 07.08.2015 - 02:28
fonte
2

Le altre risposte sollevano tutti punti eccellenti sulla disponibilità dei backup e sulla fattibilità del ransomware come metodo di attacco. Tuttavia, non ritengo che nessuno abbia paragonato in particolare il caso specifico di ransomware contro l'errore del disco dalla prospettiva dell'attore .

Se dovessi attaccare il sistema informatico di qualcuno e avrei avuto la possibilità di scegliere quei due risultati con probabilità di successo approssimativamente uguali, mi sembra molto ovvio scegliere quello che potenzialmente mi fornisce un profitto monetario in caso di successo.

    
risposta data 07.08.2015 - 15:05
fonte
1

Gli attacchi di Ransom possono fare di più che bloccare i file.

Una volta ero vittima di un attacco che non mi permetteva di avviare il computer senza vedere uno schermo che diceva qualcosa nel tono di:

The police has detected this computer doing all kind of bad stuff and a fine needs to be paid to resolve the charges.

Se ciò accade su un computer che è condiviso con coloro che non conoscono il ransomware, ciò potrebbe essere molto più dannoso di un normale sistema di cancellazione. E quindi un attacco potrebbe essere più propenso a produrre qualcosa.

    
risposta data 07.08.2015 - 16:45
fonte
0

Oltre alle altre risposte, vorrei sottolineare che alcuni ransomware non si pubblicizzano come tali.

Invece, si traveste da componente che avvisa l'utente che ha rilevato alcuni file danneggiati sulla macchina. Quindi "procede a trovare una soluzione online", come fa il sistema operativo legittimo, e porta l'utente a una pagina Web dove può acquistare "un software per riparare il suo computer". Naturalmente, i file "corrotti" sono stati crittografati dal ransomware in primo luogo e il software che l'utente acquista a caro prezzo decrittografa i file.

La bellezza di questo approccio più sicuro e di basso profilo è che spesso l'utente non si rende nemmeno conto di essere stato truffato. Ciò contribuisce ad aumentare i numeri per i tentativi riusciti di ransomware.

(Purtroppo non riesco a trovare più riferimenti per questo tipo di malware, aggiungerò degli esempi nel caso li trovassi.)

    
risposta data 02.10.2015 - 09:51
fonte
0

Gli attacchi Ransomware hanno successo perché gli utenti non salvano sempre copie dei loro dati sensibili diversi dai loro computer e molte persone accettano di pagare per recuperare i loro dati compromessi.

Finché ci sono utenti che pagano, gli attacchi ransomware non si fermeranno, ma si evolveranno e miglioreranno.

    
risposta data 02.10.2015 - 09:55
fonte

Leggi altre domande sui tag