Domanda:
Perché gli attacchi di riscatto hanno successo?
GreenAsJade
2015-08-07 04:29:18 UTC
view on stackexchange narkive permalink

Ho appena letto che gli attacchi di "riscatto" sono in aumento: l'aggressore utilizza una vulnerabilità per consentire loro di crittografare i file e richiedere denaro per la chiave.

Perché questo è diverso da un disco fallimento, dove la soluzione è "ottenere il backup"?

Perché hanno successo? Perché onorano la loro fine del patto quando paghi i soldi. In realtà recuperi i tuoi dati a differenza di un disco rigido danneggiato che può o non può essere recuperato da un'operazione forense. Nel 2012, un singolo server di comando e controllo ha generato $ 394.400 al mese in riscatto. Fonte: https://www.us-cert.gov/ncas/alerts/TA14-295A
Un'incredibile ripartizione dell'attacco cryptowall del 2014, vista nella traccia di rete, ecc. - https://blogs.mcafee.com/mcafee-labs/cryptowall-ransomware-built-with-rc4-bricks
Undici risposte:
Mark
2015-08-07 05:03:00 UTC
view on stackexchange narkive permalink

La maggior parte delle persone non dispone di backup. La maggior parte delle persone che dispone di backup non li ha testati per assicurarsi che funzionino.

La vera differenza tra guasto del disco e ransomware è che pagare il riscatto è più economico che pagare una società di recupero dati, ed è più probabilità di recuperare i tuoi dati.

Anche il ransomware più recente crittografa il file mantenendolo accessibile e disabilita l'accesso solo quando la maggior parte dei file è crittografata. Quindi il backup può anche essere crittografato, a meno che non si eseguano backup incrementali regolarmente! Ma la maggior parte degli utenti domestici non esegue alcun backup.
Non riesco a immaginare come si potrebbero raccogliere dati per giudicare quale opzione ha la più alta probabilità di successo.
Come dice il proverbio, non si dispone di un backup a meno che non si sia verificato di poterlo ripristinare.
Molte soluzioni di backup predefinite sono anche fondamentalmente difettose e vulnerabili al ransomware: non esiste una politica di sola aggiunta applicata dall'hardware, quindi il ransomware può ottenere l'accesso rw completo al backup e crittografarlo.
AbsoluteƵERØ
2015-08-07 11:22:14 UTC
view on stackexchange narkive permalink

Alcune persone citano i backup come soluzione per il ransomware. Il ransomware funziona perché l'obiettivo non è preparato per il risultato. Sebbene sia possibile "recuperare" un disco rigido guasto e una crittografia ransomware ripristinando un backup su una nuova unità, il ransomware a volte è un malware che funziona sulla macchina stessa. In ogni caso, il ripristino da un backup esterno non rimuoverà il problema che ha consentito agli aggressori di accedere al sistema in primo luogo. Ciò richiede contromisure quali:

  1. autorizzazioni di sicurezza elevate su un sistema per prevenire trojan
  2. strategie di backup remoto per impedire che i backup connessi vengano crittografati
  3. infiltrazioni rilevamento in caso di qualcosa come un worm
  4. password rinforzate per prevenire intrusioni

Purtroppo la maggior parte degli utenti di computer non dispone di queste contromisure.

Per ripristinare da un'unità guasta, è sufficiente eseguire i backup su un disco esterno. In caso di guasto dell'unità, sostituire il disco e ripristinare i volumi. Semplice.

Il ripristino da un ransomware richiede tempo, tempi di inattività e indagini per determinare se la macchina è stata compromessa a causa di:

  1. un account utente in esecuzione con autorizzazioni anch'esse alto per le esigenze dell'utente (utente desktop come amministratore)
  2. un'infezione su un'altra macchina o dispositivo che ha consentito a un utente di passare al sistema consentendo l'infezione (controller di dominio infetto)
  3. una mancanza di consapevolezza riguardo a qualcosa come un tentativo di phishing in una e-mail in cui l'utente ha cliccato su qualcosa che non intendeva (insieme al n. 1)
  4. password molto semplici (se l'attacco era sul posto)
  5. Autorizzazioni di accesso remoto in una macchina con software di accesso remoto come LogMeIn o Windows Remote Desktop
  6. una rete senza firewall
  7. altri sistemi compromessi come dispositivi IoT

Se il costo di un'indagine è elevato, potrebbe essere più conveniente pagare il riscatto.

Nota: il sistema / la rete deve ancora essere protetto prima e dopo un'indagine, altrimenti lo stesso attacco potrebbe ripetersi.

In in alcuni casi, abilitando la crittografia su un volume con BitLocker in cui il volume non era già crittografato, l'autore dell'attacco può impedire l'accesso all'intero volume bloccando l'utente fuori dal proprio sistema. In questo caso è una funzionalità di Windows. Non ci sarebbe alcuna prova di qualcosa di "installato" sul sistema, ma piuttosto ci sarebbe la prova di un'intrusione se il sistema fosse configurato in modo tale che l'utente l'account potrebbe essere compromesso da remoto o di persona con l'inserimento di un dispositivo infetto.

In caso di errore del disco

Quando un disco si guasta, è sufficiente sostituire il dispositivo perché si trattava di un guasto fisico. Se più dischi non funzionano, c'è un problema con il controller. Puoi solo capire se un disco si è guastato testandolo su una macchina diversa se un nuovo disco mostra gli stessi sintomi, o se provi un nuovo disco nella macchina guasta e funziona, allora sai che il controller è a posto. In situazioni come un RAID in cui più dischi lavorano insieme, un disco guasto può estrarre altri dischi, quindi esiste la possibilità di un errore sistemico su più dispositivi. Pensa ai settori danneggiati e al danneggiamento dei file su una singola unità che vengono specchiati su più copie su un RAID. Il guasto del disco è in genere limitato a una sola macchina, ad eccezione delle reti in cui i terminali (thin client) si connettono tutti a un sistema centrale. La sostituzione di un disco guasto di solito risolve il problema. Statisticamente non è probabile che si verifichi lo stesso problema a meno che il disco sostitutivo non sia stato acquistato contemporaneamente e facesse parte della stessa esecuzione del fornitore, nel qual caso potrebbe essere un difetto del produttore di una linea di componenti.

Tuttavia, non è sempre solo una macchina con Ransomware

Alcuni ransomware possono effettivamente crittografare più di una macchina su una rete. Ho un client il cui server è stato infettato e ha permesso al virus di diffondersi su più macchine sulla rete e quindi il server e le workstation sono stati tutti bloccati. Nei casi in cui il server potrebbe non essere infetto, ma funge da host, ciò può causare infezioni ricorrenti alle workstation che si connettono ai file infetti. Indipendentemente da ciò, il problema deve essere risolto sistemicamente per fermare l'infezione.

Se un disco rigido in una workstation muore, non replica l'errore su una rete. Confrontare ransomware e guasti del disco rigido è come confrontare il cancro a un arto rotto; sono entrambi debilitanti.

Anche se paghi il riscatto, dovresti comunque indagare su come è avvenuta la violazione.
Direi che anche, almeno di recente, gli attacchi di riscatto sono molto più comuni dei guasti del disco rigido. L'anno scorso ho avuto un collega caduto preda del primo e zero casi del secondo.
@Christian esattamente. Sei ancora a rischio.
Il ransomware è molto facile da aggirare, se segui i tuoi aggiornamenti microsoft (andando su un utente Windows standard) il tuo sistema mantiene i punti di ripristino, il ransomware è un'applicazione quindi il ripristino di un punto precedente mantiene i tuoi file ma rimuove tutte le applicazioni. l'avvio in modalità provvisoria ti consentirà di aggirare questo problema (beh, questo è quello che ho dovuto fare per un vicino quando è andato su siti Web cattivi D :)
@silverpenguin Ransomware funziona crittografando i file sul disco con una chiave che solo il creatore del software conosce. Quindi, anche se il metodo che hai citato * ha * rimosso il software ransomware (e la mia ipotesi è che non lo farà, poiché sospetto che il ripristino del sistema funzioni solo su software ben educato), non recupererebbe ancora i tuoi file.
@Ajedi32 Non tutti i ransomware funzionano allo stesso modo, alcuni si limitano a bloccare il computer e minacciano di eliminare i file (questo è uno che HO incontrato) ... Vorrei entrare in possesso di un ransomware, solo per poter vedere come gestiscono il chiavi ... Immagino che usino PPK se non sembra che tu sia in grado di rintracciare la chiave sul disco rigido da qualche parte
@silverpenguin Sì, sembra un ransomware davvero schifoso. Non ho mai incontrato alcun ransomware in circolazione, ma tutti gli esempi di cui ho sentito parlare fino ad ora utilizzano la crittografia asimmetrica per crittografare i file in modo che solo l'aggressore possa recuperare i dati. Il tipo di ransomware che stai descrivendo non sembra affatto una minaccia seria. "Davvero? Stai * andando * a cancellare i miei file? Ti va di spiegare come lo gestirai esattamente dopo aver scollegato il mio disco rigido?"
user72066
2015-08-07 05:11:58 UTC
view on stackexchange narkive permalink
  • Esiste il potenziale di eseguire il backup dei dati crittografati con il ransomware
  • La maggior parte delle persone non esegue il backup nel cloud in primo luogo
  • Se esegui regolarmente eseguire il backup del disco rigido non è necessario preoccuparsi di eseguire automaticamente il backup del disco rigido guasto
  • Con la crittografia non ci sarebbe modo di recuperare i miei dati senza pagare il riscatto (che non lo è garantito per funzionare).
  • Se l'unità muore, c'è ancora la possibilità che una parte di essa possa essere recuperata.

Nel complesso, il guasto del disco rigido potrebbe non essere dannoso con precauzioni e servizi di ripristino, mentre il ransomware è progettato per essere intenzionalmente molto più dannoso.

HopefullyHelpful
2015-08-07 05:17:32 UTC
view on stackexchange narkive permalink

Affinché i backup siano utili, devi eseguirli regolarmente. Se lavori sul tuo computer e il tuo ultimo backup è stato eseguito una settimana fa, quei file creati in una settimana potrebbero già valere 50-100 $ / € qualunque cosa richieda l'attaccante. E se sono coinvolte foto non supportate, la maggior parte è ancora più disposta a pagare. Questo rende questo tipo di attacco piuttosto redditizio.

La maggior parte delle persone non ha idea dei computer. Sono semplicemente utenti semplici, con poca conoscenza di cosa evitare o cosa potrebbe andare storto. Dopotutto, nella maggior parte dei casi, quando hai un virus o un rootkit, conoscerai qualcuno che può aiutarti, salvare i tuoi file, formattare il tuo computer e reinstallare Windows per te. Ciò significa che per quegli utenti l'attacco arriva dal nulla e sono semplicemente impreparati.

E anche le persone sono pigre. Anche se sapessero che i backup sono utili, la maggior parte sarebbe troppo pigra per collegare periodicamente il proprio computer a un'unità esterna. E la maggior parte non saprebbe davvero come farlo, oltre a tirare manualmente tutti i file desiderati sull'unità. In tal caso potrebbero facilmente perdere alcuni o copiare così tanti file che il processo diventa noioso nel tempo.

Inoltre, se i tuoi backup sono collegati alla tua rete / computer, potrebbero anche essere vulnerabili, perché lo sei aspettandosi un guasto del disco, ma ritieni che la tua rete / computer sia generalmente al sicuro dalla maggior parte degli exploit o agli utenti è stato detto cosa evitare.

+1 * "La maggior parte delle persone non ha idea dei computer." *.La cosa più difficile della sicurezza.
Eric G
2015-08-07 05:28:08 UTC
view on stackexchange narkive permalink

Con il ransomware, c'è un forte elemento psicologico: una sensazione di violazione.

Se il tuo disco rigido muore e non hai backup, beh, è ​​qualcosa che è appena accaduto, come un terremoto.

Il ransomware è come se qualcuno fosse entrato in casa tua, qualcuno ti avesse fatto davvero qualcosa. Inoltre, un disco rigido muore e non hai backup, il gioco è fatto. Se si tratta di ransomeware, ora l'utente deve decidere: devo pagare? Se pago, mi daranno effettivamente i miei dati?

Se un disco rigido muore, qual è la probabilità che un altro disco si guasti? Se qualcuno era abbastanza stupido da scaricare il ransomware, potrebbe non sapere cosa ha fatto e avrà paura che accada di nuovo. In molti casi, l'utente probabilmente ha scaricato qualcosa, ma molti penseranno di essere stati "hackerati" e di essere stati bersagli.

Con successo intendi, perché le persone pagano invece di usare i backup? Alcune possibilità:

  • Non hanno backup
  • Hanno backup, ma erano anche bloccati o mirati (ad esempio, hanno backup, ma il loro concetto di backup era metterli in un'altra cartella sul disco rigido principale)

  • Hanno qualcosa come Carbonite o Mozy come backup, hanno la loro password in un file .txt e non lo faranno mai essere in grado di recuperare la password poiché è bloccato fuori dal computer

  • Qualcun altro ha impostato i backup e non sa come farlo e non vuole ammettere di aver scaricato qualcosa e di essere stato attaccato al loro amico IT

  • Potrebbe succedere di nuovo, "forse se pago mi lasceranno in pace"
  • Ripristino dai backup sembra difficile o sono preoccupati che l'ultimo backup non abbia il file più importante, forse il loro tempo vale più del costo del riscatto

Un disco rigido guasto è un guasto, il ransomware è un attacco. Entrambi provocano la perdita della disponibilità dei dati se non viene intrapresa alcuna azione, tuttavia, il ransomware implica anche che potrebbero essere possibili altri attacchi o violazioni: perché l'attaccante non dovrebbe sbloccare i tuoi dati e quindi bloccarli nuovamente o anche aggiungerti a un botnet? Il ransomware potrebbe non essere uno e ha fatto un calvario.

Mi piace la tua analogia: potresti far distruggere il contenuto della tua casa a causa di un terremoto o per irruzione di un vandalo.
n1000
2015-08-07 06:30:58 UTC
view on stackexchange narkive permalink

Se vengono eseguiti backup e tali backup non sono accessibili dal ransomware, dovrebbe essere sufficiente solo ottenere il backup (dopo ovviamente aver rimosso completamente il software ransomware dal computer infetto).

Se il supporto di backup è sempre connesso (es. condivisione di rete montata, disco rigido USB, ecc.), è possibile che il ransomware crittografi anche i backup.

Questo! Il ransomware in genere crittografa tutte le unità connesse. Quindi, a meno che tu non esegua il backup su una memoria di sola scrittura come il DVD (non sempre pratico nel mondo odierno di dati di dimensioni terabyte), molto probabilmente anche il tuo backup sarà crittografato. Anche soluzioni di backup non montate come rsync su ssh ti proteggeranno.
Peter
2015-08-08 01:02:21 UTC
view on stackexchange narkive permalink

"Perché è diverso da un guasto del disco"

Un punto non è stato ancora sollevato: non è affatto diverso. Le persone che pagano per il ransomware di tipo crittografico pagherebbero anche $ 500 per il ripristino istantaneo del disco rigido dopo un guasto del disco. *

I backup sono molto rari sui PC domestici delle persone medie. Acquistare un NAS e conoscere le reti e come eseguire backup automatici non è né economico né semplice per un utente medio di computer. Acquistare un HDD esterno e collegarlo di tanto in tanto è economico e semplice, ma troppo macchinoso, quindi l'ultimo backup avrà un paio di mesi. E non aiuta che se usi Windows, il modo integrato per eseguire i backup cambia ogni 3 anni. I backup hanno anche il problema di trovarsi su condivisioni di rete accessibili pubblicamente, il che significa che il ransomware potrebbe decidere di crittografarli.

Inoltre, non dimentichiamoci di installare Windows da zero, senza avere un disco. Immagino che meno del 25% degli utenti si senta a proprio agio nel farlo - anche se c'è un backup, dovrebbero andare in un'officina per riparare il PC, reinstallare Windows e installare il backup. Anche l'officina costa denaro e significa che il PC non sarà disponibile per una settimana.

* Un caso speciale sono le persone che si vergognano di aver contratto un virus mentre fanno Non so cosa, che vogliono che il problema scompaia senza che nessun altro se ne accorga. Pagheranno il riscatto per evitare l'umiliazione.

Posso andare in un negozio e acquistare un computer nuovo e pulito per meno di quanto ho pagato un anno fa. Se decido di copiare file su un CD o qualsiasi altra cosa solo occasionalmente, questo è il mio problema. I computer sono quasi buttati via in questi giorni. La soluzione è conservare le cose che non vuoi perdere (foto, la tua dissertazione) in più luoghi e pubblicamente disponibili, e tutto il resto è solo rumore che non ti interessa. Presto, nessuno utilizzerà comunque i PC per il lavoro reale, solo per la connettività come il tuo telefono. (Solo il numero di telefono sarebbe un problema se cambiasse, e nessuno può "riscattare" il tuo numero di telefono.) Nessun problema.
@nocomprende Questa non è una discussione su come pensi che le persone dovrebbero fare i loro backup. Questa è una risposta alla domanda "Perché gli attacchi di riscatto hanno successo?"
Il furto o il riscatto hanno successo a causa dell'errore del costo irrecuperabile: le persone hanno * investito * tempo in qualcosa (come le loro foto) e non desiderano "perderlo". Se * rivalutano * i loro beni e il modo in cui trascorrono il loro tempo, il crimine (tranne che per il corpo o la mente) non avrebbe successo. Aveva una discussione con un amico su come il sistema di allarme sulla sua auto continuasse a funzionare male. Ho proposto la mia risposta a questo: possedere un'auto davvero vecchia e malandata che nessuno vuole rubare (eccetto il problema della carenza di convertitori catalitici Camry vecchio). I più giovani cresceranno senza nulla di valore sui loro dispositivi.
Vorrei anche sottolineare che WindowsNT aveva un'utilità ntbackup che durava da molto tempo. Quindi Microsoft ha deciso di rimuoverlo tranne che per le versioni Pro. Ciò ha fatto costare $ 100 poiché Pro non aveva nient'altro di utile per un utente "normale". Quindi gli utenti di base non ottengono alcun software di backup; avresti pensato che il ransomeware fosse un Microsoft Gold Partner per convincere i loro clienti in questo modo. Un altro popolare sistema operativo domestico vende un'appliance di backup che è facile da usare. Il sistema operativo opensource non fa mistero di come eseguire il backup. Quindi questo è in gran parte un problema di Windows creato da Microsoft.
Anche gli attacchi di riscatto @nocomprende non funzionano sulla maggior parte delle persone, ma possono avere molto successo anche se una piccola parte degli obiettivi pagherà. Ad esempio, abbiamo avuto un incidente locale rivolto a contabili di piccole imprese (che ha colpito anche molte persone non collegate). Molti di loro non avevano backup sufficienti e i costi di manodopera per la riparazione dei dati (e le possibili multe per non aver rispettato le scadenze per la dichiarazione dei redditi) erano oggettivamente superiori al riscatto richiesto. E i servizi cloud non sono una soluzione magica: un buon ransomware prende anche di mira esplicitamente i dati su onedrive / icloud / dropbox / ecc.
Aiken
2015-08-07 18:05:39 UTC
view on stackexchange narkive permalink

Tutte le altre risposte sollevano punti eccellenti sulla disponibilità dei backup e sulla fattibilità del ransomware come metodo di attacco. Tuttavia, non credo che nessuno abbia confrontato in modo particolare il caso specifico di ransomware e guasto del disco dal punto di vista dell ' aggressore .

Se attaccassi il sistema informatico di qualcuno e avessi il la scelta di questi due risultati con una probabilità di successo più o meno uguale, quindi sembra abbastanza ovvio scegliere quello che potenzialmente mi fornisce un profitto monetario in caso di successo.

Forse tutti i "guasti" del disco rigido sono in realtà il risultato di un'enorme cospirazione invisibile per ottenere denaro per fare la "riparazione". Lo stesso con gli elettrodomestici che si rompono, l'impianto idraulico, le riparazioni dell'auto, le malattie, i problemi di relazione. AAAAHHHHHHRRRRGGGGGHHHHH !!!
@nocomprende Non è esattamente una cospirazione. Più una necessità basata su come funziona il capitalismo. Se produci articoli che non si rompono mai avrai un'elevata fedeltà dei clienti. Se i clienti fedeli non hanno mai bisogno di sostituire i loro articoli, la loro fedeltà vale esattamente $ 0. Se gli articoli che produci si rompono raramente, guadagni più denaro che se non si rompessero mai.
@Peter: Healthcare è il settore in più rapida crescita dell'economia (USA) e uno dei più grandi. (Sai che il mio commento originale era uno * scherzo *, giusto? "AAAA ..." non ti ha dato una soffiata? Il concetto era che se ** quasi tutto ** che fanno tutti è fondamentalmente un modo per guadagnare soldi da altre persone, quindi, poi ... - Stack Overflow--)
Dennis Jaheruddin
2015-08-07 19:46:00 UTC
view on stackexchange narkive permalink

Gli attacchi di riscatto possono fare di più che bloccare i file.

Una volta sono stato vittima di un attacco che non mi ha permesso di avviare il computer senza vedere una schermata che affermava qualcosa nel tono di:

La polizia ha rilevato che questo computer sta facendo ogni genere di cose cattive e deve essere pagata una multa per risolvere le accuse.

Se questo accade su un computer che è condiviso con coloro che non conoscono il ransomware, questo potrebbe essere molto più dannoso di una normale cancellazione del sistema. E quindi è più probabile che un attacco produca qualcosa.

Quale sistema operativo?
Tuttavia, in termini di ripristino, questo non è più difficile di una cancellazione completa del disco rigido. - Basta pulire l'unità e ripristinare il BIOS e il malware scompare. Quindi eseguire un'installazione pulita, recuperare i file dal backup, eseguire una scansione del malware per eliminare il malware dai file e continuare.
@simbo1905 Windows, non sono sicuro di quale versione fosse
@Taemyr Questo è tutto bello e buono se hai poche ore e un PC / disco di avvio di riserva a portata di mano. Ma in quel caso potresti semplicemente scaricare il software giusto per rimuovere questo software. Tuttavia, se altre persone hanno bisogno di usare il computer prima di allora (o se non sai come sbarazzarti di questi fastidi) potrebbe essere imbarazzante (più di una cancellazione).
@DennisJaheruddin È necessaria circa un'ora e un PC di riserva o un disco di avvio. E questo è diverso da un guasto completo del disco sotto quale aspetto?
@Taemyr Forse non avrà importanza per te, ma in una situazione in cui potrebbe esserci un collega / parente dietro di me in qualsiasi momento preferirei guardare uno schermo nero piuttosto che uno che afferma che mi è stata data una multa per aver giocato illegalmente e guardando la pornografia infantile. - Tecnicamente potrebbe non essere molto diverso, ma non è questo il punto. Il ransomware non vuole fare il maggior danno possibile, ma vuole solo massimizzare le possibilità che tu paghi.
@DennisJaheruddin Certo che sarebbe imbarazzante. Ma ha un impatto minimo sui passaggi per il ripristino dal malware. Se il tuo collega è felice di guardarti alle spalle, allora il danno è già stato fatto, pagare il riscatto non lo annullerà.
Cerchiamo di [continuare questa discussione in chat] (http://chat.stackexchange.com/rooms/26790/discussion-between-dennis-jaheruddin-and-taemyr).
dr_
2015-10-02 12:51:27 UTC
view on stackexchange narkive permalink

Oltre alle altre risposte, vorrei sottolineare che alcuni ransomware non si pubblicizzano come tali.

Invece, si maschera come un componente che avvisa l'utente che ha rilevato alcuni file danneggiati sulla macchina. Quindi "procede alla ricerca di una soluzione online", come fa il sistema operativo legittimo, e porta l'utente a una pagina web dove può acquistare "un software per riparare il suo computer". Naturalmente, i file "corrotti" sono stati crittografati in primo luogo dal ransomware e il software che l'utente acquista a caro prezzo decrittografa i file.

La bellezza di questo approccio più sicuro e di basso profilo è che spesso l'utente non si rende nemmeno conto di essere stato truffato. Ciò contribuisce ad aumentare il numero di tentativi di ransomware riusciti.

(Purtroppo non riesco più a trovare i riferimenti per questo tipo di malware; aggiungerò esempi se dovessi trovarli.)

user45139
2015-10-02 12:55:40 UTC
view on stackexchange narkive permalink

Gli attacchi ransomware hanno successo perché gli utenti non sempre salvano copie dei loro dati sensibili tranne che sui loro computer e molte persone accettano di pagare per recuperare i propri dati compromessi.

Finché ci sono utenti che pagano, gli attacchi ransomware non si fermeranno, ma solo si evolveranno e miglioreranno.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 3.0 con cui è distribuito.
Loading...