Skala ataków ransomware przybiera na sile, podobnie rosną ich negatywne skutki biznesowe i gospodarcze. Podpowiadamy w jaki sposób postępować, aby zmnimalizować efekty wykrytego ataku przy użyciu oprogramowania szyfrującego dane oraz ryzyko jego dalszego rozprzestrzeniania się w organizacji.
Ataki WannaCry czy Petya pokazały jak duża jest skala oraz potencjalne ryzyko związane z atakami ransomware. Według szacunków Europolu w kilka dni po majowym ataku ofiarą złośliwego oprogramowania WannaCry padło ponad 200 tys. komputerów w 150 krajach. Liczbę zainfekowanych maszyn oszacowano na kolejne kilkaset tysięcy. Średnia wysokość oczekiwanego przez przestępców okupu za zaszyfrowane dane wyniosła kilkaset dolarów. W ciągu miesiąca od majowego ataku ofiary cyberprzestępców zapłaciły łącznie ponad 130 tys. dolarów okupu. Nie potwierdzono jednak ilu użytkowników po opłaceniu okupu faktycznie odzyskało dostęp do swoich danych. Z kolei atak oparty na oprogramowaniu znanym jako Petya, jak na początku lipca oszacowali eksperci firmy Microsoft, dotknął ok. 20 tys. komputerów z całego świata. Co ważne, były to głównie maszyny pracujące pod kontrolą systemu Windows 7.
Konsekwencje ataków ransomware mogą być dotkliwe nie tylko ze względów finansowych, ale też czysto operacyjnych. Użytkownicy komputerów zaatakowanych przez ransomware są pozbawieni narzędzia pracy, co powoduje przestoje i zaburza normalny przebieg procesów biznesowych. Warto pamiętać, że wiele organizacji specjalizujących się w zagrożeniach informatycznych nie zaleca opłacania oczekiwanych przez przestępców kwot, ponieważ nawet opłacenie okupu nie daje gwarancji uzyskania stosownego klucza szyfrującego. Nie zawsze odwracalne są też wykorzystane przez cyberprzestępców algorytmy szyfrowania.
Csaby Krasznay, Security Evangelist w firmie Balabit opracował szereg wytycznych dotyczących postępowania w przypadku ataku złośliwego oprogramowania. Prezentujemy ich podsumowanie:
1. Izoluj zaatakowaną maszynę
Zainfekowane punkty końcowe powinny być odizolowane tak szybko, jak to możliwe. Dlatego odłącz kabel zasilania, gdy tylko złośliwe oprogramowanie zostanie wykryte.
2. Dowiedz się jak najwięcej o ataku
Jakiego rodzaju oprogramowanie zostało użyte do ataku? Jak działa? Jak ograniczyć jego rozprzestrzenianie się? Czy da się łatwo odzyskać dane? To pytania, na które warto poszukać szybkiej odpowiedzi. W tym celu warto przeanalizować komunikaty instytucji wyspecjalizowanych w bezpieczeństwie, w tym CERT, a także informacje dostawców rozwiązań i usług bezpieczeństwa IT. Cennym źródłem wiedzy mogą okazać się też serwisy społecznościowe i blogi ekspertów w zakresie bezpieczeństwa./em>
3. Zadbaj o zabezpieczenie ruchu sieciowego
Dobrą praktyką pozwalającą zminimalizować ryzyko rozprzestrzeniania się znanego już ataku jest wyeliminowanie zainfekowanych protokołów z ruchu sieciowego. Często wymaga to jednak podjęcia decyzji o istotnym znaczeniu dla funkcjonowania całej organizacji – czy zapobiegać rozprzestrzenianiu się złośliwego oprogramowania i wstrzymać część lub całość procesów biznesowych, czy raczej je kontynuować i działać reaktywnie?
4. Zaktualizuj posiadane rozwiązania bezpieczeństwa
W kolejnym kroku warto zadbać o aktualność i efektywne działanie posiadanych w organizacji systemów ochrony – począwszy od oceny wskaźników IOC (Indicators Of Compromise), aktualizacji oprogramowania oraz reguł działania systemów wykrywania i zapobiegania włamaniom (IDS), zapór firewall oraz sygnatur oprogramowania antywirusowego. Nie należy przy tym zapominać o aktualizacji systemów operacyjnych stacji roboczych, urządzeń mobilnych, serwerów i systemów pamięci masowych, a także – oprogramowania wbudowanego urządzeń sieciowych.
5. Monitoruj bezpieczeństwo
Efektywne zabezpieczenie przed ransomware wymaga również systematycznego monitorowania wszelkich zdarzeń i oznak świadczących o ewentualnym kolejnym ataku przy użyciu innego wariantu, bądź całkiem odmiennego oprogramowania. W podobny sposób kontrolowana powinna być aktualność wszystkich wykorzystywanych w firmie systemów, a także ich konfiguracji – i kopii zapasowych.
Duże znaczenie dla powodzenia ochrony przed atakami typu ransomware ma szereg czynników – od architektury sieci, przez wykorzystywane środowiska operacyjne i aplikacje – oraz ich aktualność – po nawyki użytkowników. Warto też pamiętać, że oprogramowanie typu ransomware posiada zdolność do szybkiego rozprzestrzeniania się zwłaszcza w homogenicznych środowiskach IT. “W oparciu o wnioski wyciągnięte z ataków ransomware WannaCry można założyć, że w razie ataku najważniejszy jest przepływ informacji i skutecznie zarządzanie zdarzeniami w czasie rzeczywistym. Organizacje muszą upewnić się, że ich działania w pierwszych krytycznych godzinach cyberataku, nie wywołają jeszcze większych szkód. Specjaliści ds. bezpieczeństwa powinni zbierać i przechowywać wszystkie informacje, w celu przeprowadzenia późniejszych analiz, na przykład gromadzić i przechowywać wszystkie dane z logów i rejestrować swoje działania za pomocą rozwiązań do zarządzania sesjami – na wypadek, gdyby z powodu błędu ludzkiego konieczne było przywrócenie całego systemu” – kwituje Csaby Krasznay. Jednocześnie, jak pokazują doświadczenia organizacji, które padły ofiarą ataku ransomware, często jedynym sposobem na odzyskanie danych zaszyfrowanych wskutek ataku typu ransomware jest odzyskanie ich z kopii zapasowych. O ile taka kopia istnieje – i jest wystarczająco aktualna.
Dobrą praktyką jest też przechowywanie cennych danych zaszyfrowanych wskutek działania ransomware – na wypadek, gdyby w przyszłości pojawiły się narzędzia pozwalające na ich odzyskanie.
