Beépített gyengeségek – a támadók álma
Az Akira minden vizsgált támadásban ugyanarra a három hiányosságra támaszkodott: elavult, de továbbra is érvényes jogosultságokkal rendelkező adminisztrátori fiókokra, könnyen kitalálható gépnevekre, valamint hiányzó végpontvédelmi megoldásokra. A zsarolóvírus-csoportok általában azonnal feltérképezik, milyen hozzáféréseket örököltek a felvásárlás során áthozott fiókokból, gyakran olyan szolgáltatóktól vagy régi adminisztrátoroktól, akikről már a jelenlegi IT-részleg sem tud. Előfordult, hogy a támadók átlagosan alig több mint 9 óra alatt jutottak el egy kritikus tartományvezérlő-kiszolgálóhoz.
Pillanatok alatt láncreakció
Miután a támadók hozzáfértek a kritikus fiókokhoz és szerverekhez, kevesebb mint egy óra alatt élesítették a zsarolóvírust a fontos rendszereken. Ha egyetlen végpontvédelmi szoftver sem futott a szervereken, gyakorlatilag akadálytalanul titkosították az adatokat, mielőtt a cég védekezni tudott volna. Ez a módszer főleg kis- és közepes vállalatoknál jellemző, amelyek gyakrabban válnak felvásárlás célpontjává.
Mit lehet tenni?
A cégeknek saját biztonságuk érdekében minden újonnan átvett rendszert szigorúan ellenőrizniük kell. A régi fiókok törlése, az alapértelmezett nevek megváltoztatása és a végpontvédelem telepítése elengedhetetlen, ha el akarják kerülni a zsarolóvírusok meglepetésszerű támadásait.
