Cyberbezpieczeństwo

Jak zapobiegać i radzić sobie z atakami ransomware?

Aż o 93% wzrosła średnia tygodniowa liczba ataków ransomware w ciągu ostatnich 12 miesięcy – każdego tygodnia ponad 1200 organizacji na całym świecie pada ich ofiarą, wynika z danych ujawnionych przez Check Point Research. Jednocześnie, jak donosi Cybersecurity Ventures, szkody wyrządzone przez oprogramowanie ransomware wyniosą w tym roku około 20 miliardów dolarów. To 57-krotny wzrost w porównaniu z 2015 rokiem. Zdaniem ekspertów, zagrożenie dotyczy praktycznie każdej organizacji, a do 2031 roku koszt incydentów z oprogramowaniem ransomware może przekroczyć nawet kwotę 265 miliardów dolarów. Jak zminimalizować ryzyko takiego ataku i jak na niego zareagować jeśli już się zdarzy?

Jak zapobiegać i radzić sobie z atakami ransomware?

Liczba ataków ransomware rośnie z prostego powodu – pozwalają na sowity zarobek. Gotowość do zapłaty tworzy niebezpieczną pętlę, zwiększając motywację atakujących. Ponadto coraz powszechniejsze staje się ubezpieczenie od ryzyka cybernetycznego, więc firmy nie wahają się sprostać wymaganiom cyberprzestępców, co dodatkowo zaostrza problem. Kolejny powód to dostępność zagrożeń. Wiele grup hakerów oferuje oprogramowanie ransomware jako usługę, którą każdy może wynająć. Nie rzadko zawiera ona pełną infrastrukturę, negocjacje z ofiarami lub przygotowanie witryny dla wyłudzeń, na której można opublikować skradzione informacje. Okup jest następnie dzielony między „partnerów”.

Trzeba jednak pamiętać, że atak ransomware często nie zaczyna się od szyfrowania, a od „prostej” wiadomości phishingowej, będącej pierwszym ogniwem w łańcuchu zdarzeń. Na przykład w atakach ransomware Ryuk do infiltracji sieci wykorzystywano szkodliwe oprogramowanie Emotet, następnie infekowano sieć Trickbotem, a dopiero na końcu oprogramowanie ransomware szyfrowało dane. Jak organizacje mogą dowiedzieć się, że padły ofiarą ataku ransomware? Jeśli atak nie zostanie rozpoznany na czas, firma z pewnością otrzyma wiadomość z żądaniem okupu i jednocześnie nie będzie mogła uzyskać dostępu do własnych danych.

Jednocześnie cyberprzestępcy stale udoskonalają swoje techniki, aby zwiększyć presję dla spełnienia żądań okupu. Pierwotnie oprogramowanie ransomware „tylko” szyfrowało dane i żądało okupu za ich odblokowanie. Atakujący dodali jednak drugą fazę, wykradając cenne informacje przed ich zaszyfrowaniem, grożąc, że upublicznią je, jeśli okup nie zostanie zapłacony. Około 40% wszystkich nowych rodzin oprogramowania ransomware, oprócz szyfrowania, w jakiś sposób wykorzystuje kradzież danych, wskazują specjaliści od cyberbezpieczeństwa. Ponadto zaobserwowali oni ataki trójfazowe, w których partnerzy lub klienci zaatakowanych firm również są wykorzystywani w celu szybszego uzyskania okupu, to nowa technika zwana potrójnym wymuszeniem.

Jak powinna zareagować zaatakowana organizacja?

Zespół reagowania na incydenty firmy Check Point Software, który zajmował się niezliczonymi przypadkami oprogramowania ransomware na całym świecie, zaleca wykorzystanie następujących kroków w wypadku ataku ransomware:

1) Zachowaj zimną krew – jeśli Twoja organizacja padnie ofiarą ataku ransomware, nie panikuj. Natychmiast skontaktuj się ze swoim zespołem ds. bezpieczeństwa i zrób zdjęcie żądania okupu w celu przeprowadzenia dochodzenia przez odpowiednie służby.

2) Odizoluj zagrożone systemy – natychmiast odłącz zainfekowane systemy od reszty sieci, aby zapobiec dalszym uszkodzeniom. Jednocześnie zidentyfikuj źródło infekcji. Atak ransomware zwykle zaczyna się od innego zagrożenia, a hakerzy mogli być w systemie przez długi czas, stopniowo zacierając ślady, więc wykrycie „pacjenta zero” może nie być czymś, z czym większość firm poradziłoby sobie bez pomocy z zewnątrz.

3) Uważaj na kopie zapasowe – atakujący wiedzą, że organizacje będą próbowały odzyskać swoje dane z kopii zapasowych, aby uniknąć płacenia okupu. Dlatego jedną z faz ataku jest często próba zlokalizowania i zaszyfrowania lub usunięcia kopii zapasowych. Ważne, aby jednocześnie nie podłączać urządzeń zewnętrznych do zainfekowanych urządzeń. Odzyskiwanie zaszyfrowanych danych może spowodować ich uszkodzenie, na przykład z powodu wadliwego klucza. Stopniowo opracowywane są również narzędzia deszyfrujące, które mogą pomóc w złamaniu nieznanego wcześniej kodu. Jeśli masz kopie zapasowe, które nie zostały zaszyfrowane, sprawdź integralność danych przed pełnym ich przywróceniem.

4) Brak restartów i konserwacji systemu – wyłącz automatyczne aktualizacje i inne zadania konserwacyjne na zainfekowanych systemach. Usunięcie plików tymczasowych lub wprowadzenie innych zmian może niepotrzebnie skomplikować dochodzenie oraz działania naprawcze. Jednocześnie nie uruchamiaj ponownie systemów, ponieważ niektóre „zagrożenia” mogą rozpocząć usuwanie plików.

5) Współpracuj – w walce z cyberprzestępczością, a w szczególności z oprogramowaniem ransomware, kluczowa jest współpraca. Skontaktuj się więc z organami ścigania i krajowymi organami ds. cyberbezpieczeństwa i nie wahaj się skontaktować z dedykowanym zespołem reagowania na incydenty renomowanej firmy zajmującej się cyberbezpieczeństwem. Poinformuj pracowników o incydencie.

6) Zidentyfikuj rodzaj oprogramowania ransomware – jeśli wiadomość od atakujących nie określa bezpośrednio, jaki to rodzaj oprogramowania ransomware, możesz skorzystać z jednego z bezpłatnych narzędzi i odwiedzić witrynę No More Ransom Project, gdzie znajdziesz również narzędzie do deszyfrowania dla danego oprogramowania ransomware.

7) Płacić czy nie płacić? – jeśli atak ransomware się powiedzie, organizacja stanie przed wyborem, czy zapłacić okup, czy nie. Tak czy inaczej, firmy muszą wrócić do początku i dowiedzieć się, dlaczego doszło do incydentu. Niezależnie od tego, czy zawiodły czynniki ludzkie, czy technologia, ponownie należy przeprowadzić wszystkie procesy i przemyśleć całą strategię, aby mieć pewność, że podobny incydent nigdy się nie powtórzy. Podjęcie tego kroku jest konieczne niezależnie od tego, czy organizacja zapłaci okup, czy nie. Nigdy nie można się pocieszyć, że w jakiś sposób doszło do odzyskania danych i uznać incydent za rozwiązany.

Płacić więc czy nie płacić? Odpowiedź nie jest tak prosta, jak się wydaje. Podczas gdy kwoty okupu sięgają czasami setek tysięcy lub milionów dolarów, awarie krytycznych systemów często przekraczają te kwoty. Jednak przedsiębiorstwa muszą pamiętać, że nawet zapłacenie okupu nie oznacza, że ​​dane, a nawet ich część, zostaną faktycznie odszyfrowane, wskazują eksperci. Znane są nawet przypadki, w których atakujący mają błędy w kodach, przez co organizacja nie może odzyskać danych, nawet gdyby tego chciała.

Specjaliści radzą, żeby nie spieszyć się więc z podjęciem decyzji i dokładnie rozważyć wszystkie opcje. Zapłacenie okupu powinno być jednak ostatecznością.

Jak zminimalizować ryzyko zostania ofiarą ransomware?

1. Zachowaj szczególną czujność w weekendy i święta. Większość ataków ransomware w ciągu ostatniego roku miała miejsce w weekendy lub święta, kiedy organizacje wolniej reagują na zagrożenie.

2. Regularnie instaluj aktualizacje i poprawki. WannaCry mocno uderzyło w organizacje na całym świecie w maju 2017 roku, infekując ponad 200 000 komputerów w ciągu trzech dni. Jednak łata na wykorzystaną lukę EternalBlue była dostępna już na miesiąc przed atakiem. Aktualizacje i poprawki powinny być natychmiast instalowane.

3. Zainstaluj oprogramowanie anty-ransomware. Ochrona przed oprogramowaniem ransomware wykrywa wszelkie nietypowe działania, takie jak otwieranie i szyfrowanie dużej liczby plików, a w przypadku wykrycia podejrzanego zachowania może natychmiast zareagować i zapobiec ogromnym uszkodzeniom.

4. Edukacja jest zasadniczą częścią ochrony. Wiele cyberataków zaczyna się od ukierunkowanej wiadomości e-mail, która nie zawiera złośliwego oprogramowania, ale wykorzystuje socjotechnikę, aby nakłonić użytkownika do kliknięcia niebezpiecznego linku. Edukacja użytkowników jest zatem jednym z najważniejszych elementów ochrony.

5. Ataki ransomware nie zaczynają się od ransomware, więc uważaj na inne złośliwe kody, takie jak Trickbot lub Dridex, które infiltrują organizacje i przygotowują grunt pod kolejny atak ransomware.

6. Tworzenie kopii zapasowych i archiwizacja danych to podstawa. Jeśli coś pójdzie nie tak, Twoje dane powinny być łatwe i szybkie do odzyskania. Niezbędne jest konsekwentne tworzenie kopii zapasowych, w tym automatyczne na urządzeniach pracowników – nie należy liczyć na samodzielne tworzenie kopii.

7. Ogranicz dostęp tylko do niezbędnych informacji. Jeśli chcesz zminimalizować wpływ potencjalnie udanego ataku, ważne jest, aby upewnić się, że użytkownicy mają dostęp tylko do tych informacji i zasobów, których bezwzględnie potrzebują do wykonywania swojej pracy. Segmentacja minimalizuje ryzyko niekontrolowanego rozprzestrzeniania się oprogramowania ransomware w sieci. Radzenie sobie z następstwami ataku ransomware na jeden system może być trudne, ale naprawienie szkód po ataku obejmującym całą sieć jest znacznie trudniejsze.

Tagi

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *