Bosh sahifa Wiki Ransomware

Ransomware

Ransomwarefayl, database, server yoki butun tizimni shifrlash, bloklash yoki ma’lumotni oshkor qilish tahdidi orqali to‘lov talab qiladigan malware turi.

Ransomware hujumi faqat encryption bilan cheklanmaydi. Ko‘p holatda attacker avval tarmoqda yashirin harakatlanib, credential, backup va muhim ma’lumotlarni aniqlaydi.

Kirish bosqichi

Attacker dastlabki accessni quyidagi yo‘llar bilan olishi mumkin:

  • phishing;
  • o‘g‘irlangan parol;
  • ochiq remote desktop;
  • VPN zaifligi;
  • web application exploit;
  • supply-chain compromise;
  • noto‘g‘ri cloud permission.

Dastlabki foothold darhol encryption boshlanishini anglatmaydi.

Reconnaissance

Attacker muhitni o‘rganadi:

Bu bosqich kunlar yoki haftalar davom etishi mumkin.

Credential theft

Ransomware operatorlari yuqori privilege olish uchun credential yig‘adi.

Manbalar:

Privileged accountlar orqali ko‘p hostga bir vaqtda zarar yetkaziladi.

Lateral movement

Attacker bir hostdan boshqasiga o‘tadi.

Usullar:

  • remote administration;
  • file sharing;
  • stolen credential;
  • deployment tool;
  • management platform;
  • remote service.

Tarmoq segmentatsiyasi lateral movementni cheklaydi.

Data exfiltration

Ma’lumot shifrlanishidan oldin tashqi storage’ga yuborilishi mumkin.

O‘g‘irlanadigan data:

  • mijoz ma’lumoti;
  • moliyaviy hujjat;
  • source code;
  • contract;
  • backup;
  • credential.

Keyin attacker ma’lumotni e’lon qilish bilan tahdid qiladi.

Bu double extortion deb ataladi.

Encryption

Ransomware ko‘p faylni tez shifrlashga intiladi.

U:

ni nishonga olishi mumkin.

Symmetric key tez encryption uchun, asymmetric key esa encryption keyni himoyalash uchun ishlatilishi mumkin.

File extension

Shifrlangan fayllarga yangi extension qo‘shilishi mumkin.

Bu malware oilasini taxmin qilishga yordam beradi, ammo qat’iy identifikator emas.

Bir xil extensiondan turli variantlar foydalanishi mumkin.

Ransom note

Attacker to‘lov, aloqa va deadline haqidagi xabar qoldiradi.

Xabar:

  • desktop;
  • text file;
  • web page;
  • printer;
  • login screen

orqali ko‘rsatilishi mumkin.

Undagi link va fayllar alohida xavf tug‘dirishi mumkin.

Inhibiting recovery

Ransomware tiklashni qiyinlashtirishga urinadi.

Masalan:

  • shadow copy o‘chirish;
  • backup agentni to‘xtatish;
  • backup credentialni o‘g‘irlash;
  • snapshot delete;
  • recovery service’ni buzish;
  • loglarni o‘chirish.

Backup production credentialidan ajratiladi.

Immutable backup

Backup ma’lum retention davrida o‘zgartirib yoki o‘chirib bo‘lmaydigan storage’da saqlanishi mumkin.

Bu attacker administrator accountni olgan taqdirda ham himoyani oshiradi.

Offline va offsite nusxa ham ishlatilishi mumkin.

Backup testi

Backup mavjudligi tiklash kafolati emas.

Muntazam tekshiriladi:

RTO va RPO real test bilan baholanadi.

Detection

Erta indikatorlar:

  • ko‘p file rename;
  • g‘ayrioddiy write rate;
  • backup delete;
  • security service o‘chishi;
  • credential dumping;
  • mass remote execution;
  • unusual archive upload;
  • ransom note yaratilishi.

Faqat encryption boshlanganini aniqlash kech bo‘lishi mumkin.

Endpoint protection

Endpoint vositalari:

  • process behavior;
  • file activity;
  • command execution;
  • script;
  • credential access;
  • network connection

ni kuzatadi.

Suspicious process block yoki host isolation qilinishi mumkin.

Network segmentation

User workstation barcha server va backup tizimiga kira olmasligi kerak.

Segmentlar:

Firewall va identity policy faqat zarur aloqani ochadi.

Least privilege

User va service accountlar minimal huquqqa ega.

Local administrator huquqi cheklanadi.

Domain administrator kundalik email va browsing uchun ishlatilmaydi.

Privileged access alohida boshqariladi.

Incident response

Ransomware aniqlanganda:

  1. zararlangan hostlar ajratiladi;
  2. identity va remote access himoyalanadi;
  3. evidence saqlanadi;
  4. tarqalish chegarasi aniqlanadi;
  5. backup holati tekshiriladi;
  6. toza environment tayyorlanadi;
  7. credentiallar almashtiriladi;
  8. tiklash boshlanadi.

Shoshilinch o‘chirish ayrim volatile evidence’ni yo‘qotishi mumkin.

Decryption

Ayrim ransomware variantlari uchun public decryptor mavjud bo‘lishi mumkin.

Buning sababi:

  • implementation xatosi;
  • key leak;
  • law enforcement operation;
  • attacker infratuzilmasi qo‘lga olinishi.

Noma’lum “decryptor” faylini ishga tushirish yangi malware xavfini tug‘diradi.

To‘lov

To‘lov decryption yoki ma’lumot o‘chirilishini kafolatlamaydi.

Attacker:

  • noto‘g‘ri key;
  • sekin decryptor;
  • data’ni baribir sotish;
  • qayta hujum

qilishi mumkin.

Huquqiy, moliyaviy va siyosiy cheklovlar ham mavjud.

Tiklash

Tizimlar toza image’dan tiklanadi.

Tiklash tartibi business priorityga asoslanadi:

Zaiflik va dastlabki access yopilmasa tiklangan muhit qayta zararlanishi mumkin.

Recovery priority

Barcha tizimni bir vaqtda tiklash imkonsiz bo‘lishi mumkin.

Business impact analysis asosida:

ketma-ketligi belgilanadi.

Dependency yo‘q tizimni oldin tiklash foyda bermasligi mumkin.

Post-incident

Tiklashdan keyin root cause, dastlabki access, lateral movement va detection gaplari tahlil qilinadi.

Actionlar owner va muddat bilan belgilanadi.

Faqat yangi antivirus o‘rnatish bilan cheklanmay, identity, backup va segmentatsiya kamchiliklari tuzatiladi.

Tabletop mashq

Texnik va rahbariyat jamoasi ransomware ssenariysini oldindan mashq qiladi.

Kim qaror qiladi, mijozga kim xabar beradi, backup qayerdan tiklanadi va huquqiy aloqa qanday bajarilishi aniqlanadi.

Bog‘liq tushunchalar

Malware, Encryption, Data exfiltration, Double extortion, Immutable backup, Incident response, Credential theft, Lateral movement, Disaster recovery