Informacje

Zdjęcie ilustracyjne / autor: Pexels.com
Zdjęcie ilustracyjne / autor: Pexels.com

Jak poradzić sobie z atakami Ransomware?

Zespół wGospodarce

Zespół wGospodarce

Portal informacji i opinii o stanie gospodarki

  • Opublikowano: 25 czerwca 2021, 21:00

  • Powiększ tekst

Średnia tygodniowa liczba ataków ransomware w ciągu ostatnich 12 miesięcy wzrosła o 93%, a każdego tygodnia ponad 1200 organizacji na całym świecie pada ofiarą ataku ransomware, wynika z danych ujawnionych przez Check Point Research

Jednocześnie, jak donosi Cybersecurity Ventures szkody wyrządzone przez oprogramowanie ransomware wyniosą w tym roku około 20 miliardów dolarów, co stanowi 57-krotny wzrost w porównaniu z 2015 r. Do 2031 r. koszt incydentów z oprogramowaniem ransomware może nawet przekroczyć trudną do uwierzenia kwotę 265 miliardów dolarów! Zdaniem ekspertów zagrożenie dotyczy praktycznie każdej firmy czy organizacji.

Liczba ataków ransomware rośnie z prostego powodu – pozwalają na sowity zarobek. Gotowość do zapłaty tworzy niebezpieczną pętlę, zwiększając motywację atakujących. Ponadto coraz powszechniejsze staje się ubezpieczenie od ryzyka cybernetycznego, więc firmy nie wahają się sprostać wymaganiom cyberprzestępców, co dodatkowo zaostrza problem.

Wzrost ataków związany jest również z dostępnością zagrożeń. Wiele grup hakerów oferuje oprogramowanie ransomware jako usługę, którą każdy może wynająć. Nie rzadko zawiera ona pełną infrastrukturę, negocjacje z ofiarami lub przygotowanie witryny dla wyłudzeń, na której można opublikować skradzione informacje. Okup jest następnie dzielony między „partnerów”.

Jednak atak ransomware często nie zaczyna się od szyfrowania, a od „prostej” wiadomości phishingowej, będącej pierwszym ogniwie w łańcuchu zdarzeń. Na przykład w atakach ransomware Ryuk do infiltracji sieci wykorzystywano szkodliwe oprogramowanie Emotet, następnie infekowano sieć Trickbotem, a dopiero na końcu oprogramowanie ransomware szyfrowało dane.

Jak firmy mogą dowiedzieć się, że padły ofiarą ataku ransomware? Jeśli atak nie zostanie rozpoznany na czas, organizacja z pewnością otrzyma wiadomość z żądaniem okupu i jednocześnie nie będzie mogła uzyskać dostępu do własnych danych.

Jednocześnie cyberprzestępcy stale udoskonalają swoje techniki, aby zwiększyć presję dla spełnienia żądań okupu. Pierwotnie oprogramowanie ransomware „tylko” szyfrowało dane i żądało okupu za ich odblokowanie. Atakujący dodali jednak drugą fazę, wykradając cenne informacje przed ich zaszyfrowaniem, grożąc, że upublicznią je, jeśli okup nie zostanie zapłacony. Około 40% wszystkich nowych rodzin oprogramowania ransomware, oprócz szyfrowania, w jakiś sposób wykorzystuje kradzież danych. Ponadto ostatnio eksperci zaobserwowały ataki trójfazowe, w których partnerzy lub klienci zaatakowanych firm również są wykorzystywani w celu szybszego uzyskania okupu, to nowa technika zwana potrójnym wymuszeniem.

Jak zatem zaatakowane przedsiębiorstwo powinno zareagować? Zespół reagowania na incydenty firmy Check Point Software, który zajmował się niezliczonymi przypadkami oprogramowania ransomware na całym świecie, zaleca wykorzystanie następujących kroków w przypadku ataku ransomware:

1) Zachowaj zimną krew

Jeśli Twoja organizacja padnie ofiarą ataku ransomware, nie panikuj. Natychmiast skontaktuj się ze swoim zespołem ds. bezpieczeństwa i zrób zdjęcie żądania okupu w celu przeprowadzenia dochodzenia przez odpowiednie służby.

2) Odizoluj zagrożone systemy

Natychmiast odłącz zainfekowane systemy od reszty sieci, aby zapobiec dalszym uszkodzeniom. Jednocześnie zidentyfikuj źródło infekcji. Atak ransomware zwykle zaczyna się od innego zagrożenia, a hakerzy mogli być w systemie przez długi czas, stopniowo zacierając ślady, więc wykrycie „pacjenta zero” może nie być czymś, z czym większość firm poradziłoby sobie bez pomocy z zewnątrz.

3) Uważaj na kopie zapasowe

Atakujący wiedzą, że organizacje będą próbowały odzyskać swoje dane z kopii zapasowych, aby uniknąć płacenia okupu. Dlatego jedną z faz ataku jest często próba zlokalizowania i zaszyfrowania lub usunięcia kopii zapasowych. Ważne, aby jednocześnie nie podłączać urządzeń zewnętrznych do zainfekowanych urządzeń. Odzyskiwanie zaszyfrowanych danych może spowodować ich uszkodzenie, na przykład z powodu wadliwego klucza. Stopniowo opracowywane są również narzędzia deszyfrujące, które mogą pomóc w złamaniu nieznanego wcześniej kodu. Jeśli masz kopie zapasowe, które nie zostały zaszyfrowane, sprawdź integralność danych przed pełnym ich przywróceniem!

4) Brak restartów i konserwacji systemu

Wyłącz automatyczne aktualizacje i inne zadania konserwacyjne na zainfekowanych systemach. Usunięcie plików tymczasowych lub wprowadzenie innych zmian może niepotrzebnie skomplikować dochodzenie i działania naprawcze. Jednocześnie nie uruchamiaj ponownie systemów, ponieważ niektóre „zagrożenia” mogą rozpocząć usuwanie plików.

5) Współpracuj

W walce z cyberprzestępczością, a w szczególności z oprogramowaniem ransomware, kluczowa jest współpraca. Skontaktuj się więc z organami ścigania i krajowymi organami ds. cyberbezpieczeństwa i nie wahaj się skontaktować z dedykowanym zespołem reagowania na incydenty renomowanej firmy zajmującej się cyberbezpieczeństwem. Poinformuj pracowników o incydencie, w tym instrukcje postępowania w przypadku podejrzanego zachowania.

6) Zidentyfikuj rodzaj oprogramowania ransomware

Jeśli wiadomość od atakujących nie określa bezpośrednio, jaki to rodzaj oprogramowania ransomware, możesz skorzystać z jednego z bezpłatnych narzędzi i odwiedzić witrynę No More Ransom Project, gdzie znajdziesz również narzędzie do deszyfrowania dla danego oprogramowania ransomware.

7) Płacić czy nie płacić?

Jeśli atak ransomware się powiedzie, organizacja stanie przed wyborem, czy zapłacić okup, czy nie. Tak czy inaczej, firmy muszą wrócić do początku i dowiedzieć się, dlaczego doszło do incydentu. Niezależnie od tego, czy zawiodły czynniki ludzkie, czy technologia, ponownie należy przeprowadzić wszystkie procesy i przemyśleć całą strategię, aby mieć pewność, że podobny incydent nigdy się nie powtórzy. Podjęcie tego kroku jest konieczne niezależnie od tego, czy organizacja zapłaci okup, czy nie. Nigdy nie można się pocieszyć, że w jakiś sposób doszło do odzyskania danych i uznać incydent za rozwiązany.

Więc płacić czy nie płacić? Odpowiedź nie jest tak prosta, jak się wydaje. Podczas gdy kwoty okupu sięgają czasami setek tysięcy lub milionów dolarów, awarie krytycznych systemów często przekraczają te kwoty. Jednak przedsiębiorstwa muszą pamiętać, że nawet zapłacenie okupu nie oznacza, że ​​dane, a nawet ich część, zostaną faktycznie odszyfrowane. Znane są nawet przypadki, w których atakujący mają błędy w kodach, przez co organizacja nie może odzyskać danych, nawet gdyby tego chcieli.

Nie spiesz się z podjęciem decyzji i dokładnie rozważ wszystkie opcje. Zapłacenie okupu powinno być jednak ostatecznością.

Jak możesz zminimalizować ryzyko zostania kolejną ofiarą oprogramowania ransomware?

  1. Zachowaj szczególną czujność w weekendy i święta. Większość ataków ransomware w ciągu ostatniego roku miała miejsce w weekendy lub święta, kiedy organizacje wolniej reagują na zagrożenie.

  2. Regularnie instaluj aktualizacje i poprawki. WannaCry mocno uderzyło w organizacje na całym świecie w maju 2017 roku, infekując ponad 200 000 komputerów w ciągu trzech dni. Jednak łata na wykorzystaną lukę EternalBlue była dostępna już na miesiąc przed atakiem. Aktualizacje i poprawki powinny być natychmiast instalowane.

  3. Zainstaluj oprogramowanie anty-ransomware. Ochrona przed oprogramowaniem ransomware wykrywa wszelkie nietypowe działania, takie jak otwieranie i szyfrowanie dużej liczby plików, a w przypadku wykrycia podejrzanego zachowania może natychmiast zareagować i zapobiec ogromnym uszkodzeniom.

  4. Edukacja jest zasadniczą częścią ochrony. Wiele cyberataków zaczyna się od ukierunkowanej wiadomości e-mail, która nie zawiera złośliwego oprogramowania, ale wykorzystuje socjotechnikę, aby nakłonić użytkownika do kliknięcia niebezpiecznego linku. Edukacja użytkowników jest zatem jednym z najważniejszych elementów ochrony.

  5. Ataki ransomware nie zaczynają się od ransomware, więc uważaj na inne złośliwe kody, takie jak Trickbot lub Dridex, które infiltrują organizacje i przygotowują grunt pod kolejny atak ransomware.

  6. Tworzenie kopii zapasowych i archiwizacja danych to podstawa. Jeśli coś pójdzie nie tak, Twoje dane powinny być łatwe i szybkie do odzyskania. Niezbędne jest konsekwentne tworzenie kopii zapasowych, w tym automatyczne na urządzeniach pracowników – nie należy liczyć na samodzielne tworzenie kopii.

  7. Ogranicz dostęp tylko do niezbędnych informacji. Jeśli chcesz zminimalizować wpływ potencjalnie udanego ataku, ważne jest, aby upewnić się, że użytkownicy mają dostęp tylko do tych informacji i zasobów, których bezwzględnie potrzebują do wykonywania swojej pracy. Segmentacja minimalizuje ryzyko niekontrolowanego rozprzestrzeniania się oprogramowania ransomware w sieci. Radzenie sobie z następstwami ataku ransomware na jeden system może być trudne, ale naprawienie szkód po ataku obejmującym całą sieć jest znacznie trudniejsze.

Czytaj też: Błędy bezpieczeństwa w platformie Atlassian. Hakerzy mogli przejąć konto jednym kliknięciem

Mat.Pras./KG

Powiązane tematy

Zapraszamy do komentowania artykułów w mediach społecznościowych