Šta je to malver?

Malver funkcioniše tako što na prevaru ometa normalno korišćenje uređaja. Kada kibernetički kriminal dobije pristup vašem uređaju putem jedne ili više različitih tehnika kao što su phishing e-pošta, zaražena ranjivost datoteka, sistema ili softvera, zaraženi USB fleš disk ili zlonamerni veb sajtovi, pokreću dodatne napade, pribavljaju akreditive naloga, prikupljaju lične informacije za prodaju, prodaju pristupa računarskim resursima ili izuzeću plaćanja iz upotrebe.

Nažalost, svako može da postane žrtva napada malvera. Iako možda znate kako da uočite neke od načina na koje napadači ciljaju žrtve malverom, kibernetički kriminalci su sofisticirani i stalno razvijaju svoje metode kako bi održali korak sa poboljšanjima tehnologije i bezbednosti. Napadi malvera takođe izgledaju i reaguju drugačije u zavisnosti od tipa malvera. Neko ko je žrtva napada rutkita, na primer, možda ga ne zna jer je ovaj tip malvera dizajniran tako da bude prigušena i ostaje nezapažena koliko god je to moguće.

Postoji mnogo tipova malvera – evo nekoliko najčešćih.


Adver

Adver se sam instalira na uređaj bez saglasnosti vlasnika za prikazivanje ili preuzimanje reklama, često u iskačućem obliku da bi zaradio novac od klikova. Ove reklame često usporavaju performanse uređaja. Opasniji tipovi advera mogu da instaliraju i dodatni softver, menjaju postavke pregledača i izlože uređaj drugim malver napadima.


Botneti

Botneti su mreže inficiranih uređaja koje napadači kontrolišu na daljinu. Ove mreže se često koriste za napade velikih razmera kao što su distribuirani napadi uskraćivanja usluge (DDoS), slanje neželjene pošte ili krađa podataka.


Cryptojacking

Uz porast popularnosti kriptovaluta, programi za generisanje kriptovaluta postali su unosna praksa. Cryptojacking uključuje otmicu računarske snage uređaja za rudarenje kriptovaluta bez znanja vlasnika, značajno usporavajući zaraženi sistem. Zaraze tog tipa malvera često počinju prilogom e-pošte koji pokušava da instalira malver ili veb sajtom koja koristi ranjivosti u veb pregledačima ili koristi snagu procesora računara radi dodavanja malvera na uređaje.

Koristeći složene matematičke proračune, zlonamerni kriptodžakeri održavaju blockchain knjigu, ili decentralizovani, digitalni sistem za čuvanje zapisa, kako bi ukrali računarske resurse koji im omogućavaju da kreiraju nove novčiće. Međutim, traženje novčića zahteva značajnu moć obrade računara da bi se ukrale relativno male količine kriptovaluta. Kibernetički kriminalci zato često rade u timovima kako bi povećali i podelili profit.

Međutim, nisu svi programi za generisanje zlonamerni – pojedinci i organizacije ponekad kupuju hardver i elektronsku snagu za legitimno generisanje kriptovaluta. Ovaj čin postaje kriminalac kada se kibernetički kriminalci infiltrira u korporativnu mrežu u odnosu na svoje znanje da bi koristio računarski stepen za traženje.


Eksploatacije i kompleti za zloupotrebe

Eksploatacije koriste prednosti ranjivosti u softveru da bi zaobišle bezbednosne mere računara i instalirale malver. Zlonamerni hakeri skeniraju u potrazi za zastarelim sistemima koji sadrže kritične ranjivosti, a zatim ih iskorišćavaju primenom malvera. Uključivanjem koda ljuske u zloupotrebu, kibernetički kriminalci mogu da preuzmu dodatni malver koji zaražava uređaje i infiltrira se u organizacije.

Kompleti za eksploataciju su automatizovane alatke koje koriste kibernetički kriminalci da pronađu i iskoriste poznate softverske ranjivosti, omogućavajući im da brzo i efikasno pokrenu napade. Softver koji može biti zaražen obuhvata Adobe Flash Player, Adobe Reader, veb pregledače, Oracle Java i Sun Java. Angler/Axpergle, Neutrino i Nuclear predstavljaju nekoliko tipova uobičajenih kompleta zloupotreba.

Zloupotrebe i kompleti zloupotreba obično se oslanjaju na zlonamerne veb lokacije ili priloge e-pošte da bi izvršile proboj na mrežu ili uređaj, ali ponekad su skrivene u oglasima na legitimnim veb sajtovima.


Malver bez datoteka

Ovaj tip kibernetičkog napada uopšteno opisuje malver koji se ne oslanja na datoteke – kao što su zaraženi prilozi e-pošte – kako bi izvršio proboj na mrežu. Na primer, mogu da stignu preko zlonamernih mrežnih paketa ili malih segmenata većeg skupa podataka prenetih preko računarske mreže, koji iskorišćavaju ranjivost i zatim instaliraju malver koji živi samo u memoriji kernela. Pretnje bez datoteka je naročito teško pronaći i ukloniti zato što većina antivirusnih programa nije napravljena za skeniranje firmvera.


Ransomver

Ransomver je tip zlonamernog softvera ili malvera koji pravi štetu žrtvama tako što uništava kritične podatke ili sisteme ili im blokira pristup dok se ne plati otkup. Ransomver napadi kojima upravlja čovek ciljaju organizaciju putem uobičajenih sistemskih i bezbednosnih grešaka, infiltriraju se u organizaciju, kreću se kroz mrežu preduzeća i prilagođavaju se okruženju i svim slabostima. Uobičajeni metod dobijanja pristupa mreži organizacije za širenje ransomvera jeste putem krađe akreditiva, pri čemu bi kibernetički kriminalac mogao da ukrade akreditive stvarnog zaposlenog kako bi se predstavljao kao on i dobio pristup njegovim nalozima.

Napadači koji koriste ransomver kojim upravlja čovek ciljaju velike organizacije zato što one mogu da plate veći otkup od prosečnih pojedinca – često više miliona dolara. Zbog visokih uloga u vezi sa kršenjem ovog obima, mnoge organizacije biraju da plate otkup radije nego da njihovi osetljivi podaci procure ili rizikuju dalje napade. Međutim, plaćanje ne garantuje sprečavanje bilo kojeg ishoda.

Kako se napadi ransomverom kojima upravljaju ljudi razvijaju, kriminalci koji stoje iza tih napada postaju sve organizovaniji. Zapravo, mnoge operacije korišćenja ransomvera sada koriste ransomver kao model pružanja usluge, što znači da grupa projektanta kriminalca pravi sam ransomver, a zatim zapošljava druge saradnike kibernetičke kriminalce da hakuju mrežu organizacije i instaliraju ransomver. Te dve grupe dele profit po dogovorenim stopama.


Rutkiti

Kada kibernetički kriminalac koristi rutkit, skriva malver na uređaju što je duže moguće, ponekad čak i godinama, tako da neprestano krade informacije i resurse. Ako presretnete i promenite standardne procese operativnog sistema, rutkit može da izmeni informacije koje uređaj izveštava o sebi. Na primer, uređaj zaražen rutkitom možda neće prikazati tačnu listu pokrenutih programa. Rutkitovi takođe mogu da daju administrativne ili povećane dozvole za uređaje kibernetičkim kriminalcima, tako da oni dobiju potpunu kontrolu nad uređajem i mogu da rade stvari kao što su krađa podataka, špijuniranje žrtve i instaliranje dodatnog malvera.


Špijunski softver

Špijunski softver prikuplja lične ili osetljive informacije bez znanja korisnika, često prateći navike pregledanja, akreditive za prijavu ili finansijske detalje, koji se mogu koristiti za krađu identiteta ili prodati trećim licima.


Napadi na lance snabdevanja

Ovaj tip malvera usmeren je na projektante i dobavljače softvera tako što pristupa izvornim kodovima, procesima pravljenja ili mehanizmima ažuriranja u legitimnim aplikacijama. Kada kibernetički kriminalac pronađe nezaštićen mrežni protokol, nezaštićenu infrastrukturu servera ili nebezbednu praksu kodiranja, on upada u njih, menja izvorne kodove i sakriva malver u procesima pravljenja i ažuriranja. Kada se kompromitovani softver pošalje klijentima, inficira i sisteme klijenata.


Prevare sa tehničkom podrškom

Problem u celoj industriji, prevare sa tehničkom podrškom koriste taktiku zastrašivanja kako bi naveli ljude da plate nepotrebne usluge tehničke podrške koje bi mogle da se oglašavaju za rešavanje falsifikovanog problema na uređaju, platformi ili softveru. Sa ovom vrstom zlonamernog softvera, kibernetički kriminalac poziva nekoga direktno i pretvara se da je zaposleni u softverskom preduzeću ili kreira reklame koje se mogu kliknuti dizajnirane da izgledaju kao sistemska upozorenja. Kada steknu nečije poverenje, napadači često traže od potencijalnih žrtava da instaliraju aplikacije ili da omoguće daljinski pristup svojim uređajima.


Trojanci

Trojanac se maskira kao legitimni softver kako bi prevario ljude da ga preuzmu. Kada se preuzmu, mogu da:
 

• Preuzeti i instalirati dodatni malver, kao što su virusi ili crvi.
• Koristite zaraženi uređaj za prevaru klikova veštačkim naduvavanjem klikova na dugme, oglas ili vezu.
• Snimati pritiske na taster i veb sajtove koje posećujete.
• Slati informacije (na primer, lozinke, detalje o prijavljivanju i istoriju pregledanja) o zaraženom uređaju zlonamernom hakeru.
• Dati kibernetičkom kriminalcu kontrolu nad zaraženim uređajem.
   

Crvi

Uglavnom se nalazi u prilozima e-pošte, tekstualnim porukama, programima za deljenje datoteka, sajtovima za društveno umrežavanje, deljenim mrežnim resursima i prenosivim disk jedinicama, crv se širi mrežom iskorišćavanjem bezbednosnih ranjivosti i kopiranjem. U zavisnosti od tipa crva, on može krasti osetljive informacije, menjati bezbednosne postavke ili sprečavati pristup datotekama. Za razliku od virusa, crvi ne zahtevaju nikakvu ljudsku interakciju da bi se širili – repliciraju se sami.


Virusi

Virusi su jedan od najstarijih oblika malvera, dizajnirani da ometaju ili unište podatke na zaraženim uređajima. Oni obično inficiraju sistem i repliciraju se kada žrtva otvori zlonamerne datoteke ili priloge e-pošte.

Malver može naneti značajnu štetu preduzećima, sa posledicama koje prevazilaze početni napad i uključuju:
 

• Finansijski gubici. Finansijski troškovi, uključujući otkupnine, troškove oporavka i izgubljeni prihod tokom zastoja, uobičajeni su rezultat napada malvera.
• Curenja podataka i problemi sa privatnošću. Malver može dovesti do krađe podataka, kompromitujući osetljive informacije kao što su podaci o klijentima ili intelektualna svojina.
• Operativni prekidi. Napadi mogu dovesti do zastoja poslovanja kada je zaposlenima onemogućen pristup kritičnim sistemima ili podacima.
• Oštećenje reputacije. Javno znanje o napadu može narušiti poverenje i oštetiti odnose sa klijentima i dugoročne poslovne izglede.

Rano otkrivanje malvera je ključno za minimiziranje štete na vašim sistemima. Malver često pokazuje suptilne znakove, kao što su spor rad, česta rušenja i neočekivani iskačući prozori ili programi, koji bi mogli da signaliziraju kompromis.

Preduzeća koriste razne alate za otkrivanje malvera, uključujući antivirusne programe, zaštitne zidove, sisteme za otkrivanje i odgovor na krajnje tačke (EDR), usluge upravljanog otkrivanja i odgovora (MDR), rešenja za prošireno otkrivanje i odgovor (XDR), i procese potrage za kibernetičkim pretnjama. Dok se EDR fokusira na otkrivanje i reagovanje na pretnje na nivou krajnje tačke, XDR ide dalje od krajnjih tačaka kako bi povezao signale u više domena, kao što su e-pošta, identiteti i aplikacije u oblaku, pružajući sveobuhvatan pregled pretnji. MDR kombinuje ove alatke sa uslugama nadgledanja i odgovora koje vode stručnjaci, nudeći preduzećima dodatnu podršku u upravljanju pretnjama.

Kada se otkrije neuobičajena aktivnost, pokretanje kompletnog skeniranja sistema i pregledanje evidencije može pomoći da se potvrdi prisustvo malvera. EDR igra ključnu ulogu u ovom procesu tako što identifikuje i izoluje ugrožene krajnje tačke, dok XDR proširuje detekciju širom organizacije, nudeći vidljivost sveobuhvatnog napada. MDR usluge dodatno unapređuju ovaj proces kontinuiranim praćenjem i ekspertskom analizom, omogućavajući brže i efikasnije odgovore. Zajedno, ove alatke i usluge obezbeđuju jedinstven pristup otkrivanju i ublažavanju pretnji od malvera, pomažući preduzećima da ograniče štetu i održe bezbednost.

Sprečavanje malvera zahteva proaktivan pristup bezbednosti, a njegovo efikasno uklanjanje zavisi od ranog otkrivanja i brze radnje. Organizacije mogu blokirati ili otkriti napade zlonamernog softvera koristeći kombinaciju antivirusnih programa i naprednih rešenja za otkrivanje pretnji i odgovor, koja pružaju sveobuhvatan način za brzo identifikovanje i ublažavanje pretnji.

Evo nekih načina da sprečite napad malvera:


Instaliranje antivirusnog programa

Najbolji oblik zaštite je sprečavanje. Organizacije mogu da blokiraju ili otkriju mnoge napade malvera pomoću pouzdanog bezbednosnog rešenja koje uključuje antimalver, kao što je Microsoft Defender za krajnju tačku. Kada koristite program poput ovog, uređaj prvo skenira sve datoteke ili veze koje pokušavate da otvorite kako biste se uverili da su bezbedne. Ako je datoteka ili veb lokacija zlonamerna, antimalver program će vas upozoriti i predložiti da je ne otvorite. Ti programi mogu i da uklone ransomver sa uređaja koji je već zaražen.


Primena zaštita e-pošte i krajnjih tačaka

Pomozite u sprečavanju napada malvera pomoću XDR rešenja kao što je Microsoft Defender za XDR. Ova jedinstvena rešenja za incidente u bezbednosti pružaju holistički, efikasan način zaštite i odgovora na napredne kibernetičke napade. Nadovezujući se na osnovu MDR-a, koji kombinuje nadzor vođen od strane stručnjaka sa naprednim alatkama za otkrivanje, XDR podiže bezbednost na viši nivo integracijom signala preko krajnjih tačaka, e-pošte, identiteta i aplikacija u oblaku. Ova proširena vidljivost omogućava organizacijama da brže i sa većom preciznošću identifikuju i ometaju sofisticirane napade.

Kao deo usluge Microsoft Defender XDR, Microsoft Defender for Endpoint koristi senzore ponašanja krajnjih tačaka, analitiku bezbednosti u oblaku i informacije o pretnjama da pomogne organizacijama da spreče, otkriju, istraže napredne pretnje i odgovore na njih.


Držite redovne obuke

Držite zaposlene informisane o tome kako da prepoznaju znakove phishinga i drugih kibernetičkih napada kroz obuke koje se redovno ažuriraju kako bi obuhvatile nove razvojne taktike napadača. Ovo će ih naučiti ne samo bezbednijim praksama za rad, već i kako da budu bezbedniji kada koriste svoje lične uređaje. Alatke za simulaciju i obuku pomažu da se simuliraju pretnje iz stvarnog sveta u vašem okruženju i dodeljuju obuku krajnjim korisnicima na osnovu rezultata.


Iskoristite prednosti rezervnih kopija u oblaku

Kada premestite podatke u uslugu zasnovanu na oblaku, moći ćete lako da napravite rezervnu kopiju podataka radi bezbednije čuvanja. Ako malver ikada ugrozi vaše podatke, ove usluge obezbeđuju da oporavak bude neposredan i sveobuhvatan.


Usvajanje Nulta pouzdanost modela

Model nulte pouzdanosti procenjuje sve uređaje i korisnike u potrazi za rizicima pre nego što im dozvoli pristup aplikacijama, datotekama, bazama podataka i drugim uređajima, čime se smanjuje verovatnoća da zlonamerni identiteti ili uređaj pristupe resursima i instaliraju ransomver. Kao primer, primena višestruke potvrde identiteta, jedna komponenta Nulta pouzdanost modela, prikazana je kako bi se smanjila efikasnost napada identiteta za više od 99%. Da biste procenili fazu zrelosti nultog poverenja u vašoj organizaciji, uradite našu procenu zrelosti nultog poverenja.


Pridruživanje grupi za deljenje informacija

Grupe za deljenje informacija, koje se obično organizuju po industriji ili geografskoj lokaciji, podstiču slično strukturirane organizacije da sarađuju sa rešenjima za kibernetičku bezbednost. Grupe organizacijama pružaju i dodatne pogodnosti, kao što su reagovanje na incident i usluge digitalne forenzike, vesti o najnovijim pretnjama i nadgledanje javnih opsega IP adresa i domena.


Održavanje rezervnih kopija van mreže

Pošto neki malver pokušava da pronađe i izbriše sve rezervne kopije na mreži koje imate, preporučujemo da čuvate ažuriranu rezervnu kopiju osetljivih podataka van mreže koju ćete redovno testirati da biste se uverili da se može vratiti u prethodno stanje ako vam se ikada dogodi napad ransomverom.


Redovno ažurirajte softver

Pored redovnog ažuriranja svih antivirusnih rešenja (razmislite o izboru automatskih ažuriranja da biste ovo pojednostavili), obavezno preuzmite i instalirajte sve druge sistemske ispravke i softverske zakrpe čim budu dostupne. To doprinosi umanjivanju svih bezbednosnih ranjivosti koje kibernetički kriminalci mogu da iskoriste kako bi dobili pristup vašoj mreži ili uređajima.


Kreiranje plana odgovora na incident

Plan odgovora na incidente će vam pružiti korake koje treba preduzeti u različitim scenarijima napada kako biste se što pre vratili normalnom i bezbednom radu.

Malver nije uvek lako otkriti, naročito u slučaju malvera bez datoteka. Preporučuje se organizacijama i pojedincima da paze na povećanje iskačućih oglasa, preusmeravanja veb pregledača, sumnjivih objava na nalozima društvenih medija i poruka o ugroženim nalozima ili bezbednosti uređaja. Promene u performansama uređaja, na primer da radi mnogo sporije, takođe mogu biti znak infekcije malverom.

Za složenije napade na organizacije koje antivirusni programi ne mogu da otkriju i blokiraju, alatke za upravljanje bezbednosnim informacijama i događajima (SIEM) i prošireno otkrivanje i odgovor (XDR) pružaju stručnjacima bezbednosti bezbednosne metode na tehnologiji oblaka koje pomažu u otkrivanju i odgovaranju na napade na uređajima sa krajnjim tačkama. Pošto ovi tipovi napada imaju više aspekata, pri čemu kibernetički kriminalci žele da postignu više od puke kontrole uređaja, SIEM i XDR pomažu organizacijama da vide kompletan kontekst napada na svim domenima, uključujući uređaje, e-poruke i aplikacije.

Korišćenjem SIEM i XDR alatki, kao što su Microsoft Sentinel, Microsoft Defender XDR, i Microsoft Defender for Cloud, pružaju antivirusne mogućnosti. Stručnjaci za bezbednost treba da obezbede da se postavke uređaja uvek ažuriraju u skladu sa najnovijim preporukama kako bi se sprečile pretnje zlonamernog softvera. Jedan od najvažnijih koraka koje treba preduzeti kako bi se pripremili za napad malvera je razvoj plana reagovanja na incidente – detaljan, strukturiran pristup koji organizacije koriste za upravljanje kibernetičkim napadima i ublažavanje uticaja kibernetičkih napada, uključujući infekcije malverom. U njemu su navedeni konkretni koraci za identifikaciju, obuzdavanje i iskorenjivanje pretnji, kao i oporavak od nanete štete. Dobro definisan plan reagovanja na incidente pomaže preduzećima da minimiziraju zastoje, smanje finansijske gubitke i zaštite osetljive podatke tako što će osigurati da svi članovi tima znaju svoje uloge i odgovornosti tokom sajber krize. Ova proaktivna priprema je ključna za održavanje kontinuiteta poslovanja.

Ako ste zabrinuti da ćete postati žrtva napada malvera, na sreću, imate opcije za otkrivanje i uklanjanje. Neposredni koraci koje treba preduzeti uključuju:
 

• Pokretanje antivirusnih proizvoda, kao što je onaj koji je izvorno ponuđen u operativnom sistemu Windows, za skeniranje bilo kakvih zlonamernih programa ili koda. Ako program otkrije malver, on će navesti tip i pružiti predloge za uklanjanje. Nakon uklanjanja, obavezno ažurirajte softver i radite kako biste sprečili buduće napade.
• Izolovanje pogođenih sistema. Sprečite širenje malvera tako što ćete isključiti pogođeni sistem ili onemogućiti mrežno povezivanje sistema. Pošto zlonamerni napadači mogu da nadgledaju organizacionu komunikaciju u potrazi za dokazima da je njihov napad otkriven, koristite netipične uređaje i metode – poput telefonskih poziva ili ličnih sastanaka – da biste razgovarali o sledećim koracima.
• Obaveštavanje zainteresovanih strana. Pratite uputstva za obaveštavanje u svom planu za reagovanje na incidente da biste pokrenuli postupke obuzdavanja, ublažavanja i oporavka. Takođe bi trebalo da prijavite incident Agenciji za kibernetičku bezbednost i infrastrukturnu bezbednost, vašoj lokalnoj terenskoj kancelariji Federalnog istražnog biroa (FBI), Centru za žalbe na internet kriminal FBI-a ili vašoj lokalnoj kancelariji Tajne službe SAD. Obezbedite usaglašenost sa zakonima o kršenju podataka i industrijskim propisima da biste izbegli dalje odgovornosti.

Kako tehnologija napreduje, malver nastavlja da se prilagođava, postajući sve sofisticiraniji i teži za otkrivanje. Razumevanje budućih trendova pomaže preduzećima da budu ispred pretnji.

Novi tipovi zlonamernog softvera postaju sve sofisticiraniji, često dizajnirani da zaobiđu tradicionalne bezbednosne mere tehnikama zamagljivanja. Ove tehnike uključuju polimorfni malver, koji menja strukturu koda sa svakom infekcijom, što otežava otkrivanje. Drugi primer je malver koji se krije u legitimnim procesima ili koristi šifrovanje da bi prikrio svoj zlonamerni teret. Malver bez datoteka, koji radi direktno u memoriji bez ostavljanja traga, takođe izbegava da ga otkriju tradicionalni antivirusni programi. Da bi se borili protiv ovih evolutivnih pretnji, organizacije trebaju napredna rešenja poput alatki za kibernetičku bezbednost zasnovanih na veštačkoj inteligenciji koje ne samo da poboljšavaju napore u otkrivanju i prevenciji, već i omogućavaju automatsko prekidanje napada. Ove alatke mogu da izoluju zaražene uređaje i suspenduju kompromitovane naloge u realnom vremenu, zaustavljajući pretnje u toku i ograničavajući štetu.

Ove alatke poboljšavaju stopu otkrivanja tako što uočavaju anomalije ili neobična ponašanja koja mogu ukazivati na napad, čak i pre nego što bi ih tradicionalne metode otkrile. AI modeli takođe mogu predvideti potencijalne pretnje učeći iz prethodnih napada, omogućavajući preventivne mere. Pored toga, algoritmi mašinskog učenja kontinuirano usavršavaju mogućnosti otkrivanja, pomažući timovima za bezbednost da budu ispred pretnji koje se razvijaju predviđanjem i sprečavanjem napada pre nego što se dogode.

Da bi se zaštitile od pretnji malvera sada i u budućnosti, organizacije se mogu osloniti na objedinjenu SecOps platformu koju pokreće veštačka inteligencija iz korporacije Microsoft. Ovo rešenje integriše napredno otkrivanje pretnji uz pomoć veštačke inteligencije i automatizovane odgovore za borbu protiv novih vrsta malvera. Ona okuplja otkrivanje krajnjih tačaka, informacije o pretnjama i bezbednost u oblaku, nudeći jedinstvenu platformu za otkrivanje, reagovanje i sprečavanje napada zlonamernog softvera u realnom vremenu. Pružajući sveobuhvatnu vidljivost i automatizovanu zaštitu širom mreža, ova platforma pomaže preduzećima da ojačaju svoju odbranu od pretnji koje se razvijaju.