Atacul Gentlemen Ransomware: Cum ocolesc hackerii antivirusul firmei tale

In cei peste 17 ani de experienta cu infrastructuri IT in Arad, am vazut evolutia atacurilor de la simple virusi care blocau accesul la fisiere pana la grupari sofisticate de tip Ransomware-as-a-Service (RaaS). Observam adesea ca firmele mici si mijlocii cad in capcana falsa de a crede ca un antivirus instalat este suficient pentru a dormi linistite. Realitatea din teren ne arata ca atacatorii nu mai incearca doar sa "sparga" parola, ci ataca insusi nucleul sistemului de operare pentru a anihila solutiile de securitate inainte ca acestea sa ridice vreo alerta. La Activ.NET, intalnim frecvent aceasta mentalitate de „il avem deja instalat, suntem protejati”, insa noile tactici de tip Gentlemen Ransomware demonstreaza ca securitatea perimetrala este doar inceputul.

#Ce s-a intamplat

Recent, cercetatorii in securitate au scos la iveala modul de operare al gruparii Gentlemen Ransomware. Acestia folosesc o suita de instrumente supranumite "EDR Killers" (instrumente care dezactiveaza solutiile de Endpoint Detection and Response). Esenta atacului consta in tehnica "Bring Your Own Vulnerable Driver" (BYOVD). Practic, atacatorii instaleaza un driver legitim, dar care contine vulnerabilitati cunoscute, pentru a obtine privilegii de nivel kernel (cel mai inalt nivel de acces in Windows). Odata ajunsi acolo, ei pot opri forțat orice proces de securitate, fie ca este vorba de CrowdStrike, Bitdefender sau altele, transformandu-ti serverele si calculatoarele in sisteme complet vulnerabile, fara ca utilizatorul sau echipa IT sa primeasca vreun avertisment.

#Impact pentru firme

Pentru o firma din Arad sau din restul tarii, un astfel de atac este catastrofal. Impactul nu este doar tehnic, ci financiar si operational:

1. Blocarea activitatii: In momentul in care datele sunt criptate, facturarea, gestiunea si comunicarea cu clientii se opresc instantaneu.
2. Inutilitatea investitiilor in securitate: Daca ai platit licente scumpe pentru solutii de protectie, acestea pot fi anihilate in cateva secunde prin „EDR killers”, transformand investitia ta in zero.
3. Timpul de recuperare: Recuperarea sistemelor nu inseamna doar reinstalarea Windows-ului, ci o reconstruire completa a infrastructurii, ceea ce poate dura de la cateva zile la cateva saptamani, timp in care firma pierde bani si incredere in fata partenerilor.

#Recomandari concrete

La Activ.NET, recomandam clientilor sa treaca la o strategie de „aparare in adancime”. Nu mai este suficienta o singura linie de aparare:

• Auditati configuratiile de securitate: Verificati daca solutiile voastre EDR sunt setate sa blocheze incarcarea driverelor nesemnate sau suspecte. In setarile de „Device Control” sau „Hardening” din consola de administrare, activati regulile de blocare a driverelor cu vulnerabilitati cunoscute.
• Segmentarea retelei: Daca aveti dispozitive precum FortiGate, asigurati-va ca sunt actualizate la zi si ca accesul VPN este protejat prin MFA (Multi-Factor Authentication). Atacatorii tintesc dispozitivele perimetrale neactualizate pentru a intra in retea.
• Backup Imutabil: Aceasta este cea mai importanta recomandare. Aveti un backup care nu poate fi modificat sau sters, nici macar de un administrator, timp de 30 de zile. Daca aveti nevoie de asistenta in implementarea unor solutii de administrare servere sau configurarea unor politici riguroase de securitate, echipa Activ.NET va poate ajuta sa treceti la un sistem de backup protejat.

#Concluziile noastre

Din experienta noastra pe sisteme reale, cea mai mare vulnerabilitate nu este software-ul, ci falsa senzatie de siguranta. Atacatorii nu sunt „hackerii din filme”, ci entitati comerciale care cauta cea mai mica bresa, precum un driver neactualizat sau o politica de securitate relaxata. In firmele din Arad cu care lucram, punem un accent deosebit pe monitorizarea proactiva. Securitatea IT nu este un produs pe care il cumperi o data, ci un proces continuu de mentenanta si verificare. Daca inca nu aveti o strategie clara pentru situatii critice, va recomandam sa apelati la servicii IT pentru firme specializate care sa trateze securitatea nu ca pe un „optional”, ci ca pe fundamentul afacerii voastre.

Inspirat din: BleepingComputer