Sophos Endpoint: Водечка заштита од далечински ransomware напади!
Повеќето водечките решенија за крајните точки се борат да го запрат злонамерното далечинско шифрирање, но не и Sophos.
Пишува Paul Murray
Околу 60% од нападите на откупни софтвер управувани од луѓе вклучуваат злонамерно далечинско шифрирање. Дознајте повеќе за овој распространет вектор за напад на откупен софтвер и за водечките заштитни способности на безбедносните решенија на Sophos.
Што е далечински откуп?
Далечински откупен софтвер, познат и како злонамерно далечинско шифрирање, е користење на компромитирана крајна точка за шифрирање на податоци на други уреди на истата мрежа.
Во нападите предводени од човечки фактор, противниците обично се обидуваат да распоредат откупен софтвер директно на машините што сакаат да ги шифрираат. Ако нивниот првичен обид е блокиран (на пример, со безбедносни технологии за заштита на целните уреди), тие ретко се откажуваат, наместо тоа избираат да се свртат кон алтернативен пристап и да се обидуваат повторно и повторно.
Откако напаѓачите ќе успеат да компромитираат машина, тие можат да ја искористат архитектурата на доменот на организацијата за да ги шифрираат податоците на управуваните машини поврзани со доменот. Целата злонамерна активност – навлегување, извршување на носивост и шифрирање – се случуваат на веќе компромитираната машина, затоа заобиколувајќи ги современите безбедносни слоеви. Единствениот показател за компромитирање е преносот на документи до и од други машини.
Осумдесет проценти од компромисите за далечинско шифрирање потекнуваат од неуправувани уреди на мрежата, иако некои започнуваат и од заштитени машини кои ја немаат соодветната одбрана за да ги спречат напаѓачите да влезат на уредот.
Зошто далечинскиот софтвер за откуп е толку распространет?
Клучна причина за широката распространетост на овој пристап е неговата приспособливост: една единствена неуправувана или недоволно заштитена крајна точка може да го изложи целиот ИТ систем на организацијата на злонамерно далечинско шифрирање, дури и ако сите други уреди користат безбедносно решение за крајната точка од следната генерација.
За да бидат работите уште полоши, противниците не се ограничени во изборот на варијанта на откупнина за овие напади. Широк опсег на познати откупни софтвери поддржуваат далечинско злонамерно шифрирање, вклучувајќи ги Akira, BitPaymer, BlackCat, BlackMatter, Conti, Crytox, DarkSide, Dharma, LockBit, MedusaLocker, Phobos, Royal, Ryuk и WannaCry.
Понатаму, повеќето производи за endpoint безбедност се неефикасни во овие напади, бидејќи се фокусираат на откривање на малициозни датотеки и ransomware процеси на заштитените крајни точки. Меѓутоа, со далечински напади за шифрирање, процесите се извршуваат на компромитирана машина, оставајќи ја заштитата на крајната точка слепа за злонамерната активност.
За среќа, Sophos Endpoint вклучува силна заштита од злонамерно далечинско шифрирање, овозможено од Sophos CryptoGuard, водечка во кибербезбедносната индустрија.
Sophos CryptoGuard: Универзална заштита од откуп
Sophos Endpoint содржи повеќе слоеви на заштита што ги бранат организациите од ransomware, вклучувајќи го и CryptoGuard, уникатната Sophos технологија против откупнина, која е вклучена во сите претплати на Sophos Endpoint.
За разлика од другите безбедносни решенија на крајната точка кои бараат само малициозни датотеки и процеси, CryptoGuard ги анализира датотеките со податоци за да открие знаци на злонамерно шифрирање, без разлика каде се извршуваат процесите. Овој пристап го прави високо ефикасен во запирање на сите форми на откуп, вклучително и злонамерно далечинско шифрирање. Ако открие злонамерно шифрирање, CryptoGuard автоматски ја блокира злонамерната активност и ги враќа датотеките во нивните нешифрирани состојби.
CryptoGuard активно ја испитува содржината на сите документи додека датотеките се читаат и пишуваат, користејќи математичка анализа за да утврди дали тие се шифрирани. Овој универзален пристап е уникатен во индустријата и му овозможува на Sophos Endpoint да ги запре нападите на ransomware што другите решенија ги пропуштаат, вклучително и далечинските напади и досега непознати варијанти на ransomware.
Открива злонамерно шифрирање со анализа на содржината на датотеката
За разлика од другите решенија кои гледаат на откупниот софтвер од перспектива како на малициозен софтвер со фокусирање на откривање на малициозен код, CryptoGuard бара масовно брзо шифрирани датотеки преку анализа на содржината, користејќи математички алгоритми.
Блокира и локални и далечински напади со откупни софтвери
Бидејќи CryptoGuard се фокусира на содржината на датотеките, може да открие обиди за шифрирање на откупни софтвери дури и кога малициозниот процес не се извршува на уредот на жртвата.
Автоматски го враќа злонамерното шифрирање
CryptoGuard создава привремени резервни копии на модифицираните датотеки и автоматски ги враќа промените кога ќе открие масовно шифрирање. Sophos користи сопствен, поинаков пристап, за разлика од другите решенија кои користат Windows Volume Shadow Copy, за кој е познато дека напаѓачите го заобиколуваат ( надмудруваат). Нема ограничувања за големината и видот на датотеката што може да се врати, со што се минимизираат влијаниата врз продуктивноста на бизнисот.
Автоматски блокира далечински уреди
Во напад на далечински откуп, CryptoGuard автоматски ја блокира IP адресата на оддалечениот уред, кога тој ќе се обиде да ги шифрира датотеките на уредите на жртвата.