Zsarolóvírusok megállítása a megjelenésük előtt
Cisco Talos jelentése két és fél év – 2023. január és 2025. június közötti – pre-ransomware eset elemzésén alapul és a célja, hogy feltárja azokat a biztonsági intézkedéseket, amelyek hatékonyan akadályozzák a ransomware települését még mielőtt bekövetkezne.
A pre-ransomware, azaz zsarolóvírus előtti incidensek jellemzője, hogy a támadók már lépéseket tesznek a jogosultságszint növelése, C2-eszközök telepítése, hitelesítési adatok begyűjtése, vagy rendszerszintű módosítások végrehajtása – anélkül, hogy még titkosításra került volna sor.
Szintén kritikus tényező, ha a biztonsági rendszerek – például EDR vagy MDR – riasztására maximum két órán belül reagálnak. Ez az időszak elég volt ahhoz, hogy több szervezetnél izolálják a támadást, és meggátolják a további terjedést.
Érdekesség, hogy mintegy 15%-nyi esetben a támadásról előzetesen értesültek az érintett szervezetek – amerikai kormányzati szervektől (például a CISA-tól) vagy menedzselt szolgáltatóktól. Ezek a figyelmeztetések szintén segíthettek időben beavatkozni.
A másik tanulságos pont a passzív biztonsági eszközök – amelyek csak riasztanak, de nem lépnek fel aktívan – kevésbé hatékonyak. Ezzel szemben azok a rendszerek, amelyek aktívan blokkolnak vagy izolálnak, több esetben megelőzték a támadást.
A jelzőtünetek, amelyek gyakran előzik meg a valódi zsarolóprogramot, között szerepelnek: távvezérlő szoftverek (pl. RDP, PowerShell, AnyDesk), jelszavak kinyerése (például LSASS-ből), gyanús hálózati lekérdezések, újonan létrehozott rendszergazdai fiókok. Ezek fölismerése értékes előjel lehet
