Ransomware — fayl, database, server yoki butun tizimni shifrlash, bloklash yoki ma’lumotni oshkor qilish tahdidi orqali to‘lov talab qiladigan malware turi.
Ransomware hujumi faqat encryption bilan cheklanmaydi. Ko‘p holatda attacker avval tarmoqda yashirin harakatlanib, credential, backup va muhim ma’lumotlarni aniqlaydi.
Kirish bosqichi
Attacker dastlabki accessni quyidagi yo‘llar bilan olishi mumkin:
- phishing;
- o‘g‘irlangan parol;
- ochiq remote desktop;
- VPN zaifligi;
- web application exploit;
- supply-chain compromise;
- noto‘g‘ri cloud permission.
Dastlabki foothold darhol encryption boshlanishini anglatmaydi.
Reconnaissance
Attacker muhitni o‘rganadi:
- domain;
- server;
- user;
- backup;
- file share;
- security vositalari;
- administrator account;
- business kritik tizimlar.
Bu bosqich kunlar yoki haftalar davom etishi mumkin.
Credential theft
Ransomware operatorlari yuqori privilege olish uchun credential yig‘adi.
Manbalar:
Privileged accountlar orqali ko‘p hostga bir vaqtda zarar yetkaziladi.
Lateral movement
Attacker bir hostdan boshqasiga o‘tadi.
Usullar:
- remote administration;
- file sharing;
- stolen credential;
- deployment tool;
- management platform;
- remote service.
Tarmoq segmentatsiyasi lateral movementni cheklaydi.
Data exfiltration
Ma’lumot shifrlanishidan oldin tashqi storage’ga yuborilishi mumkin.
O‘g‘irlanadigan data:
Keyin attacker ma’lumotni e’lon qilish bilan tahdid qiladi.
Bu double extortion deb ataladi.
Encryption
Ransomware ko‘p faylni tez shifrlashga intiladi.
U:
- local disk;
- network share;
- mounted storage;
- virtual machine disk;
- database backup
ni nishonga olishi mumkin.
Symmetric key tez encryption uchun, asymmetric key esa encryption keyni himoyalash uchun ishlatilishi mumkin.
File extension
Shifrlangan fayllarga yangi extension qo‘shilishi mumkin.
Bu malware oilasini taxmin qilishga yordam beradi, ammo qat’iy identifikator emas.
Bir xil extensiondan turli variantlar foydalanishi mumkin.
Ransom note
Attacker to‘lov, aloqa va deadline haqidagi xabar qoldiradi.
Xabar:
- desktop;
- text file;
- web page;
- printer;
- login screen
orqali ko‘rsatilishi mumkin.
Undagi link va fayllar alohida xavf tug‘dirishi mumkin.
Inhibiting recovery
Ransomware tiklashni qiyinlashtirishga urinadi.
Masalan:
- shadow copy o‘chirish;
- backup agentni to‘xtatish;
- backup credentialni o‘g‘irlash;
- snapshot delete;
- recovery service’ni buzish;
- loglarni o‘chirish.
Backup production credentialidan ajratiladi.
Immutable backup
Backup ma’lum retention davrida o‘zgartirib yoki o‘chirib bo‘lmaydigan storage’da saqlanishi mumkin.
Bu attacker administrator accountni olgan taqdirda ham himoyani oshiradi.
Offline va offsite nusxa ham ishlatilishi mumkin.
Backup testi
Backup mavjudligi tiklash kafolati emas.
Muntazam tekshiriladi:
- file integrity;
- database consistency;
- encryption key;
- restore vaqti;
- dependency;
- full environment recovery.
RTO va RPO real test bilan baholanadi.
Detection
Erta indikatorlar:
- ko‘p file rename;
- g‘ayrioddiy write rate;
- backup delete;
- security service o‘chishi;
- credential dumping;
- mass remote execution;
- unusual archive upload;
- ransom note yaratilishi.
Faqat encryption boshlanganini aniqlash kech bo‘lishi mumkin.
Endpoint protection
Endpoint vositalari:
ni kuzatadi.
Suspicious process block yoki host isolation qilinishi mumkin.
Network segmentation
User workstation barcha server va backup tizimiga kira olmasligi kerak.
Segmentlar:
Firewall va identity policy faqat zarur aloqani ochadi.
Least privilege
User va service accountlar minimal huquqqa ega.
Local administrator huquqi cheklanadi.
Domain administrator kundalik email va browsing uchun ishlatilmaydi.
Privileged access alohida boshqariladi.
Incident response
Ransomware aniqlanganda:
- zararlangan hostlar ajratiladi;
- identity va remote access himoyalanadi;
- evidence saqlanadi;
- tarqalish chegarasi aniqlanadi;
- backup holati tekshiriladi;
- toza environment tayyorlanadi;
- credentiallar almashtiriladi;
- tiklash boshlanadi.
Shoshilinch o‘chirish ayrim volatile evidence’ni yo‘qotishi mumkin.
Decryption
Ayrim ransomware variantlari uchun public decryptor mavjud bo‘lishi mumkin.
Buning sababi:
- implementation xatosi;
- key leak;
- law enforcement operation;
- attacker infratuzilmasi qo‘lga olinishi.
Noma’lum “decryptor” faylini ishga tushirish yangi malware xavfini tug‘diradi.
To‘lov
To‘lov decryption yoki ma’lumot o‘chirilishini kafolatlamaydi.
Attacker:
qilishi mumkin.
Huquqiy, moliyaviy va siyosiy cheklovlar ham mavjud.
Tiklash
Tizimlar toza image’dan tiklanadi.
Tiklash tartibi business priorityga asoslanadi:
Zaiflik va dastlabki access yopilmasa tiklangan muhit qayta zararlanishi mumkin.
Recovery priority
Barcha tizimni bir vaqtda tiklash imkonsiz bo‘lishi mumkin.
Business impact analysis asosida:
ketma-ketligi belgilanadi.
Dependency yo‘q tizimni oldin tiklash foyda bermasligi mumkin.
Post-incident
Tiklashdan keyin root cause, dastlabki access, lateral movement va detection gaplari tahlil qilinadi.
Actionlar owner va muddat bilan belgilanadi.
Faqat yangi antivirus o‘rnatish bilan cheklanmay, identity, backup va segmentatsiya kamchiliklari tuzatiladi.
Tabletop mashq
Texnik va rahbariyat jamoasi ransomware ssenariysini oldindan mashq qiladi.
Kim qaror qiladi, mijozga kim xabar beradi, backup qayerdan tiklanadi va huquqiy aloqa qanday bajarilishi aniqlanadi.
Bog‘liq tushunchalar
Malware, Encryption, Data exfiltration, Double extortion, Immutable backup, Incident response, Credential theft, Lateral movement, Disaster recovery