V minulém týdnu publikovali výzkumníci společnosti na SophosLabs Uncut novou studii Ransomware zneužívá zranitelný ovladač na odstranění bezpečnostního softwaru, která ukazuje, jak kyberútočníci využívají legitimní zranitelnost třetí strany ke smazání bezpečnostních produktů, ještě než spustí ransomware nazvaný RobbinHood.
Mark Loman, ředitel inženýringu ve společnosti Sophos a jeden z hlavních autorů studie, k tomu uvedl následující:„Ransomware RobbinHood využívá zranitelný i škodlivý ovladač, jehož jediným cílem je vyřadit z činnosti ochranu. Škodlivý ovladač neobsahuje nic jiného než útočný kód. Takže i když máte plně aktualizovaný počítač s Windows, bez známých zranitelností, ransomware jednu takovou útočníkům poskytne, aby mohli zlikvidovat vaši obranu ještě před tím, než začne samotný útok ransomwaru. Naše analýza dvou ransomwarových útoků ukazuje, jak rychle a nebezpečně se tato hrozba dále vyvíjí. Poprvé se setkáváme s tím, že ransomware přináší svůj legitimně podepsaný, i když zranitelný, ovladač od třetí stany, který převezme kontrolu nad zařízením a využije jej k deaktivaci instalovaného bezpečnostního softwaru, přičemž obchází funkce speciálně určené k zabránění v takové manipulaci. Zlikvidování ochrany otevírá malwaru cestu k nerušené instalaci a spuštění ransomwaru."
Co mohou organizace udělat, aby takovému útoku zabránily?
Mark Loman doporučuje přístup, složený ze třech kroků: „Za prvé, protože dnešní ransomwarové útoky používají více technik a taktik, musí obránci nasadit řadu technologií, aby narušili co nejvíce stádií útoku, integrovat veřejný cloud do své bezpečnostní strategie a povolit důležité funkce, včetně ochrany proti neoprávněné manipulaci, v bezpečnostním softwaru svých koncových bodů. Pokud je to možné, doplňte i funkci threat intelligence a profesionální threat hunting. Za druhé, nasaďte silná bezpečnostní opatření, jako jsou vícefaktorová autentikace, složitá hesla, omezená přístupová oprávnění, pravidelná instalace záplat a zálohování dat, a také zablokujte zranitelné služby vzdáleného přístupu. A v neposlední řadě investujte a pokračujte v investicích do bezpečnostních školení pro zaměstnance."
