ryuk-ransomwareRyuk ransomware je prizadel podjetje EMCOR, specializirano za inženirske in industrijske gradbene storitve. V maju je podjetje razkrilo incident z izsiljevalsko programsko opremo, ki je prizadela nekatere dele IT sistema.

 

Podrobnosti o samem Ryuk ransomware napadu še niso javno objavljene, vendar je sporočilo o okužbi skoraj tri tedne po napadu še vedno prisotno na spletni strani podjetja.

 

Iz podjetja EMCOR so sporočili, da niso bili prizadeti vsi njihovi IT/OT sistemi, ampak le nekateri, ki so jih takoj zaustavili, da bi preprečili nadaljno širjenje »ransomware« okužbe.  Družba je dejala, da obnavlja podatke in storitve, vendar ni navedla, ali je plačala odškodninski zahtevek ali jih obnavlja iz varnostnih kopij.

 

Glavni varnostni direktor družbe Cybereason, je komentiral:

»Podjetja, ki so med najbogatejših 500, zaradi kibernetskih napadov začnejo prilagajati dobičke, saj ni ničesar, kar bi člane uprave in vlagatelje pritegnilo oz. odtegnilo bolj, kot je napad na same prihodke družbe. EMCOR je podjetje na lestvici Fortune 500 z več kot 30.000 zaposlenimi, 10 milijardami dohodkov in najboljšo varnostno ekipo, ki ima orodja za boj proti vsakodnevnim izzivom, ki jih predstavljajo akterji kibernetskih groženj.«

 

Razkritje podjetja EMCOR je osupljiv opomnik, da tudi največje in najbolj varne organizacije potrebujejo ekipe za odzivanje na incidente, ki se spopadajo s trajnim tveganjem za lastne podatke ter podatke o strankah in partnerjih, ki pa prepogosto končajo v rokah hekerjev, kateri jih uspešno preprodajajo.

 

Čeprav številne podrobnosti, povezane s to grožnjo, niso bile razkrite, je varnostna ekipa podjetja EMCOR verjetno rešila podjetje pred večjo škodo in finančno izgubo.

 

Ryuk ransomware ogroža vse

Na splošno je izsiljevalska programska oprema Ryuk resnična grožnja vsem organizacijam, kot je odkrila ekipa podjetja Cybereason Nocturnus s svojimi raziskavami Tripple Threat.

 

Organizacije potrebujejo načrte varnostnega usposabljanja in ozaveščanja ter varnostne ekipe, ki se odzivajo na incidente in grožnje.

 

Preventivni ukrepi za zaščito:

  • Izobraževanje zaposlenih o tem, kako pravilno ravnati s sumljivimi e-sporočili, da preprečite začetni prenos ali izvajanje zlonamerne programske opreme.
  • Uporabljajte zaščito pred bočnim premikanjem.
  • Potrebna je skrbna uporaba in nadzor privilegiranih uporabniških računov.
  • Gesla nikoli ne hranite v navadnem besedilu ter uvedite dobre avtentikacijske prakse, kot je dvofaktorska avtentikacija.
  • Onemogočite nepotrebne mape v skupni rabi ter spremenite imena uporabljenih privzetih map, ki so v skupnih rabi v vaši organizaciji.
  • Proaktivno pristopite k varnosti z iskanjem sumljivega vedenja, preden se incident začne.

 

Martin Jartelius, glavni varnostni inženir Outpost24, je dodal: »Spletna okužba, medtem ko se je razširjala, ni prizadela celotne digitalne infrastrukture, kar pomeni, da en sam niz poverilnic ali dostop, napadalcem ni omogočil širšega dosega. To še enkrat kaže, da se poglobljena obramba dejansko izplača, ko gredo stvari narobe.«

 

Preverite tudi infografiko: Ransomware napadi v 2020

 

Paul Edon, starejši direktor tehničnih služb (EMEA) v podjetju Tripwire, je zaključil, da se »izsiljevalska programska oprema ali katera koli zlonamerna programska oprema ne more magično prikazati v sistemih. Potrebuje neke vrste mehanizem za izvedbo, običajno nezajrpano ranljivost, napačno konfiguracijo ali uspešno lažno predstavljanje. Gradnja trdnih temeljev je najboljše mesto za učinkovito obrambo.«

 

Varne konfiguracije

To pomeni vzpostavitev in upravljanje varnih konfiguracij in beleženje dogodkov v vašem okolju. Če želite, da je ta nadzor učinkovit, morate biti sposobni določiti, kaj je varna konfiguracija za ta sredstva, in preveriti, ali je sredstvo konfigurirano tako, da ustreza temu standardu.

 

Če tega ne storite, pustite odprta vrata zlonamerni programski opremi. V okviru prednostnega varovanja najverjetnejših vstopnih točk, bi morale organizacije vlagati tudi v programe usposabljanja za lažno predstavljanje, saj človeški dejavnik ostaja najprimernejši cilj kibernetskih kriminalcev, da se lahko pojavijo v vašem okolju.

 

Navsezadnje korist od vzpostavitve trdnega temeljnega nadzora in dobro izpopolnjenega načrta odzivanja na incidente in ustrezne varnostne politike daleč odtehtajo tveganje za majhne motnje v poslovanju, ki jih lahko zahteva izvedba.

 

Kako do varnosti v industrijskih omrežjih?

Za varnost v industrijskih omrežjih priporočam nadzor samega industrijskega omrežja z uporabo umetne inteligence (AI/ML), ki zazna še tako neobičajno anomalijo v vašem OT omrežju, podjetja Nozomi Networks, vodilnega na tem področju, ter ne terja nikakršne pomanjkljivosti v delovanju vašega sistema.

 

Poleg tega je podobno v IT svetu, kjer lahko umetna inteligenca in strojno učenje pripomoreta k izboljšanju varnosti in hitremu zaznavanju nenavadnega obnašanja v vašem omrežju in samih storitvah podjetja.

 

Nujna je vpeljava SIEM sistema, kjer se izvajajo korelacije vseh dogodkov in ste hitro obveščeni o nenavadnem obnašanju v vašem IT sistemu.

 

Zagotovite nadzorovano delo zunanjih izvajalcev preko rešitve PAM (Privileged Access Management), kjer se izognete deljenju gesla zunanjim izvajalcem, saj le ti operirajo z lastnimi gesli in ne vedo za gesla vaših naprav. Za dostop preko rešitve PAM od zunaj je potrebno zagotoviti varen dostop preko SSL rešitve, kjer se dodatno preverja varnost in povezljivost zunanjih uporabnikov.

 

Kar je najbolj pomembno ob vseh rešitvah na trgu, je nujno osveščanje vaših zaposlenih o varnem delu in varnem ravnanju s spletno pošto in ostalimi IT storitvami v vašem podjetju.

 

Pomagamo vam pri vzpostavitvi celovite varnosti OT okolja, ki bo odporno na prefinjene varnostne grožnje. Oglasite se nam in dogovorimo se za sestanek.

 

Prispevek je pripravil Janez Peršin.