REvil-lunnasohjelman kaataminen: Mitä tapahtui ja miksi se koskettaa yhtiösi vieläkin

REvil-lunnasohjelman kaataminen: Mitä tapahtui ja miksi se koskettaa yhtiösi vieläkin

Kun viranomaiset kaatoivat REvilin alkuvuodesta 2022, se tuntui cybermaailman isoimmalta voitolta. Totuus on toinen: REvilin julmat temput elävät yhä muiden rikollisten käsissä. Katsotaan, mitä tapahtui, miten ne iskivät ja miten suojaat firman seuraavalta uhkalta.

Muistatko REvilin? Tässä syy, miksi se pelottaa edelleen

Kyberuutisista lukeneena olet ehkä nähnyt otsikon: REvil-hakkeriryhmä kaadettiin tammikuussa 2022. Pidätyksiä tehtiin Venäjällä ja Yhdysvalloissa. Toiminnot pysäytettiin. Kaikki huokaisivat helpotuksesta, eikö?

Ei ihan.

Pidätykset olivat voitto meille hyville. Mutta kirjoitan tästä "ratkenneesta" tapauksesta, koska REvilin temput elävät yhä. Muut ryhmittymät kopioivat niitä. Kun ymmärrät REvilin tavat, osaat puolustautua seuraavaa vastaan.

Mikä REvil oikein oli?

REvil (tunnetaan myös Sodinokibinä) ei ollut mikään pikkuvirkki. Asiantuntijat nimesivät sen "lunnasohjelman kruununprinssiksi". Nämä eivät olleet amatöörit. He olivat fiksut, järjestäytyneet ja tuhoisia.

He toimivat kuin firma – rikollinen firma. Eri tiimit hoitivat hommansa. Neuvoteltiin lunnaista. Rahaa tuli miljoonia. Huipussaan ne iskivät pienyrittäjiin, suuryrityksiin, sairaaloihin ja virastoihin.

Pelottavinta oli monipuolisuus. Ei yhtä iskumenetelmää. Hyökkäys tuli monelta suunnalta. Juuri tämä tekee puolustamisesta haastavaa.

Näin REvil hiipi sisään

Lunnasohjelmissa pelottavinta: useimmat iskut alkavat tylsistä jutuista. Ei elokuvamaista hakkerointia. Vain arkipäiväisiä reikiä, joista kaikki puhuvat loputtomiin.

REvilin pääkeinot:

Sähköpostiliitteet – Saapuu Word-tiedosto. Näyttää aidoilta, vaikka olisi lasku tai työhakemus. Avaat, sallit makrot. Sisään tunkeutuja.

Huonot linkit sähköposteissa – Liitteen sijaan linkki. Klikkaat, sivu lataa pahaa hiljaa taustalla.

Käyttöhakkeroituja sivustoja – Normisivut murrettu. Käyt sivua, tartut pahaan huomaamatta.

Väärinpäin käännetyt etätyökalut – IT:n omat ohjelmat kaapattu. Luotettava reitti verkkoon.

Älä unohda: nämä eivät vaadi ihmeitä. Ne pelaavat ihmisen luottamukseen.

Miksi pelkkä esto ei riitä

Suora fakta: et voi estää jokaista iskua pelkällä ennaltaehkäisyllä.

Ennaltaehkäisy on tärkeää. Tee näitä:

  • Tiukat sähköpostisäännöt
  • Ohjelmat, jotka tarkistavat liitteet ja linkit
  • DKIM-tarkistukset sähköposteille
  • Koulutusta phishingistä työntekijöille

Hyvältä kuulostaa. Mutta rikolliset ovat kekseliäitä. Ne oppivat virheistään. Uusi reikä löytyy, ennen kuin ehdit korjata.

Et voita puolustamalla yksin. Tarvitset uuden pelisuunnitelman.

Todellinen pelastus: havainnointi ja reagointi

Siirry kysymyksestä "kuinka estää" kysymykseen "kuinka pysäyttää isku kesken kaiken".

Iskuja tulee. Se on fakta.

Paras tapa on hallittu havainnointi ja reagointi (MDR). Pienet ja keskisuuret firmat eivät vielä tajua sen voimaa.

Näin se toimii:

Keino 1: Verkon valvonta

Palomuurit etsivät kompromissin merkkejä (IoC) – epäilyttäviä signaaleja. REvilillä oli yli 64 sellaista.

Palomuuri blokkaa heti yhteyden. Tunkeutuja menettää ohjauksensa. Ovi lukkoon ennen sisäänpääsyä.

Keino 2: Päälaitteiden vartiointi

Jokainen kone saa EDR-agentin (Endpoint Detection and Response). Se ei etsi vain viruksia. Se katsoo outoja toimintoja.

Tiedostoja salataan oudosti. Tili aktiivisena keskellä yötä. Tiedosto karkuun pilveen.

EDR eristää koneen heti. Tutkinta rauhassa, vahinko rajattu.

Keino 3: Yhdistetty toiminta

Yksin hyvät, yhdessä paremmat. SOAR-alustat (Security Orchestration, Automation and Response) yhdistävät työkalut.

Ne ammentavat uhkatietoa (kuten MITRE ATT&CK). Automatisoi reagoinnin sekunneissa. Analyytikko ehtii myöhemmin.

Keino 4: Harjoittelu ratkaisee

Useimmat firmat laiskottelee tätä: iskusuunnitelmien teko ja testaus.

Suunnitelma kertoo: "Jos osasto X infektoituu, tee A, B, C." Simuloi breikkejä. Korjaa reiät.

Oikeassa iskussa et hätää. Suoritat valmiin jutun.

Miksi REvil elää, vaikka ryhmä kaatui

Poliisi teki hyvää työtä. Mutta pelko: temput eivät kuolleet mukanaan.

Muut ryhmät kopioivat. Ottivat mallin: isot kohteet, hurjat lunnaat, tietovuodot. Jotkut palkkasivat paenneet.

REvil on oppitunti elävästä uhasta, joka muuttaa nimeä.

Toimi heti näin

Jos epäilet haavoittuvuutta, olet todennäköisesti oikeassa. Useimmat ovat.

Aloita:

  1. Tarkista sähköpostiturva. Skannataanko liitteet? Vanhat roskat inboxissa?

  2. Käytä kaksivaiheista tunnistusta kaikkialla. Salasana ei riitä.

  3. Pilko verkko. Voi hyökkääjä liikkua vapaasti osastolta toiselle?

  4. Hanki MDR tai EDR. Kustannus on mitätön verrattuna lunnaisiin.

  5. Laadi iskusuunnitelma. Ketä soitetaan? Ensimmäinen teko? Kirjoita ylös. Harjoittele.

Lopuksi

REvil on historiaa. Sen luoma uhkakuva ei. Rikolliset hioo samoja keinoja: sähköpostit, huijaukset, verkkojen väärinkäyttö, kiristys.

Selviytyjäfirmat erottuvat valmistautumisella, työkaluilla ja nopeataktiikalla. Hyväksy iskut, pysäytä ne ripeästi.

Jos luotat vain estoosi, laajenna nyt. Havainnointi on pakollista.

Pysy valppaana.

Tagit: ['ransomware', 'revil', 'mdr', 'endpoint-security', 'threat-detection', 'cybersecurity-case-study', 'incident-response', 'network-security']