Conferinţa BURSA Dezvoltarea RomânieiConferinţa BURSA Dezvoltarea României

CONFERINŢA INTERNAŢIONALĂ DE DIALOG PUBLIC-PRIVAT:LockerGoga, noul tip de ransomware, năpusteşte asupra firmelor industriale

MÁRIA BICSI, FONDATOR, SWISS-CYBERSECURITY
Ziarul BURSA #Companii /

MÁRIA BICSI

MÁRIA BICSI


Ziarul "BURSA" pregăteşte, pentru data de 4 iunie, Conferinţa internaţională "Cybersecurity Romania - Bucharest Talks", în parteneriat cu Swiss WebAcademy. Autorul articolului şi alţi invitaţi de înaltă ţinută vor dezbate subiecte importante din domeniu. Pentru participarea la lucrările conferinţei accesaţi site-ul site-ul CYBERSECURITY PUBLIC-PRIVATE DIALOGUES.

Dacă zicem WanaCry, NonPetya sau BadRabbit, ştim deja cu toţii că ne aflăm în pericol, şi este vorba de un ransomware. De mai mult de zece ani acest tip de atac cibernetic paralizează mii şi mii de companii, organizaţii guvernamentale şi instituţii din întrea-ga lume. Ransomware continuă să fie din ce în ce mai popular, determinând Verizon să-l numească în top-cinci pe lista ameninţărilor cibernetice.

Ce este un ransomware?

Ransomware este un tip de malware care blochează tastatura sau computerul până când se plăteşte o recompensă, de obicei în Bitcoin sau alte criptomonede. Atacantul criptează datele de pe calculator şi va transmite cheia de decriptare victimei doar după primirea sumei. Aproape 60% dintre atacurile ransomware sunt trimise prin e-mail ca adrese URL integrate.

În data de 19 martie 2019 compania norvegiană de industria aluminiului, Norsk Hydro, a fost victima unui atac cibernetic de tip ransomware, aşa numitul LockerGoga. Compania a dat de veste cele întâmplate pe pagina de Facebook, încercând să calmeze personalul şi să dea explicaţii asupra situaţiei.

Mesajul era clar: "incapacitate de conectare la sistemele de producţie care provoacă challenge-uri de producţie şi oprirea temporară a mai multor plant-uri". În unele cazuri s-a trecut la procese manuale. Compania a ţinut la curent angajaţii, partenerii şi clienţii prin Facebook până ce s-a restabilit pagina web, în data de 20 martie. Conform declaraţiei directorului sistemelor informatice, Jo De Vliegher, s-au depus eforturi considerabile pentru restabilirea sistemului.

"Recuperarea sigură a operaţiunilor IT de la Hydro este prioritatea noastră principală, în timp ce facem tot posibilul pentru a limita orice impact asupra clienţilor, furnizorilor şi altor parteneri ai companiei Hydro", spune De Vliegher.

Ce s-a întâmplat? Cercetările ulterioare au arătat că ransomware-ul a fost plasat şi executat de un PsExec. Deoarece PsExec necesită log-in, credem că parolele au fost deja achiziţionate mult înainte de atac prin alte metode, ca şi spear-phishing sau un alt tip de malware, poate chiar cumpărate de pe darknet. Aceasta ar putea însemna că reţeaua a fost deja compromisă şi că atacatorii au efectuat mişcări laterale ajungând până la administratori cu drepturi privilegiate. Odată ajunşi, schimbă parolele, dezactivea-ză anti-virusurile de pe sistem şi încep criptarea fişierelor.

Acest tip de ransomware este relativ nou, primul fiind publicat în ianuarie 2019 în comunicatul de presă al firmei Altran Technologies. Deşi nu avem momentan o multitudine de cazuri pentru a analiza şi compara, putem identifica anumite caracteris-tici: foloseşte chei pentru criptare uşoare, RSA-1024, în acest fel nu încetineşte procesul, şi are deja liste pre-definite, excluzând fişiere mai mici de 256 bytes pentru a executa cât mai rapid.

În mesajul afişat pe desktop README NOW.txt este menţionat algoritmul militar RSA4096 şi AES-256 pentru a da impresia că decriptarea ar fi imposibilă.

La finalul mesajului se urgentează plata fiind menţionat că se poate efectua în Bitcoin, şi că preţul va fi negociat în funcţie de rapiditatea răspunsului.

Ce putem face? Majoritatea recomandărilor anti-ransomware sunt identice:

Back-up în mod constant

Adoptarea unui Patch Management

Introducerea şi menţinerea unei culturi de cybsesec în organizaţie

Monitorizarea comportamentului utilizatorilor

Securizarea gateway-urilor de e-mail

Controlul aplicaţiilor, etc.

Dat fiind faptul că LockerGoga vizează utilizatorii privilegiaţi şi execută ransomware-ul în sistemele lor, Managementul Accesului Privilegiat (PAM) poate înlătura acest tip de atac prin izolarea sistemelor ţintă de administratori, implementarea segregării responsabilităţilor şi validarea în două etape.

NOTĂ:

Maria Bicsi este Prince2 certified Project Manager, cu experienţă internaţională în mediile multinaţionale. Are un Bachelor Degree în Economie şi unul în Psihologie, precum şi un Master în Resurse Umane. Ea crede în învăţământul continuu, ceea ce i-a permis să-şi dezvolte aptitudinile în domeniul Cybersecurity. În cadrul firmei PSYND, este manager de proiect specializat în Identity and Access Management (IAM) şi Privileged Access Management (PAM). În plus, oferă, de asemenea, formare şi conştientizare în câmpul Cybersecurity, ajutând clienţii cu implementarea standardelor ISO2700x, şi în res-pectarea normelor FINMA/GDPR. Este co-fondator şi manager al comunităţii Swiss-CyberSecurity, o asociaţie care a fost creată pentru a ridica nivelul de conştientizare şi pentru a ajuta oamenii şi firmele să trăiască într-o lume mai sigură. De asemenea, a iniţiat conferinţa "Zero-Day", cea mai mare conferinţă de strategie Cybersecurity realizată vreodată în Geneva.

Opinia Cititorului

Acord

Prin trimiterea opiniei ne confirmaţi că aţi citit Regulamentul de mai jos şi că vă asumaţi prevederile sale.

Cybersecurity Romania 2019

Cotaţii Internaţionale

vezi aici mai multe cotaţii

Bursa Construcţiilor

www.constructiibursa.ro

Deleanu
ApanovaAdvertisement
Comercianti de Diamante
PODUL DE LUT
Schlumberger
Legestart
Carte - Golden calf - the meaning of interest rate
Carte - The crisis solution terminus a quo
www.agerpres.rowww.dreptonline.rowww.hipo.ro
Cabinet de avocatTMPS