4-7 minut

Jak ograniczyć ryzyko i zminimalizować efekty ataków ransomware?

Oprogramowanie wymuszające okup jest jednym z poważniejszych zagrożeń dla współczesnych firm. Stosunkowo łatwo przenika do sieci wewnętrznej. Szyfruje pliki i informacje w bazach danych. Następnie zaś nakazuje zapłacić okup za ich odszyfrowanie. W kontekście zagrożeń tego rodzaju szczególnego znaczenia nabierają działania zapobiegawcze.

Eksperci firmy Cybersecurity Ventures szacują, że w 2017 roku koszty ataków ransomware przekroczyły w skali globalnej kwotę 5 mld USD [1] . Dodatkowo, analitycy Cybersecurity Ventures prognozują, że tylko w 2018 roku ataki ransomware będą kosztowały światową gospodarkę 11 mld USD. Choć średnia wysokość okupu za odszyfrowanie danych sięga kilkuset USD, to w niektórych przypadkach przestępcy mogą oczekiwać znacznie wyższych kwot. Jednocześnie, jak wynika z analiz firmy Kaspersky Lab [2], nawet 20% zaszyfrowanych informacji nie udaje się odzyskać pomimo zapłaty okupu.

Biorąc pod uwagę, że zaszyfrowane – i utracone – w wyniku działania cyberprzestępców mogą być praktycznie dowolne informacje, ogromnego znaczenia nabiera ograniczenie ryzyka ataku. Ważne jest też przygotowanie firmy na podobne zdarzenia, co pozwala na ograniczenie strat spowodowanych ewentualnym atakiem.

ZAPOBIEGNIJ ATAKOWI RANSOMWARE

W obronie przed ransomware podstawowym orężem jest profilaktyka. Obrona zaczyna się już na etapie wektora infekcji. Najczęściej jest nim wiadomość e-mail zawierająca link lub załącznik. Należy zadbać o odpowiedni poziom świadomości pracowników, aby nie otwierali podejrzanych wiadomości i absolutnie nie klikali w zawarte w nich linki. Stosowne szkolenia i akcje informacyjne powinny obejmować wszystkich pracowników, którzy podczas pracy korzystają z komputerów, w tym pracowników pionów biznesowych, działu administracji, czy call center. Co ważne, niekiedy wiadomość zawiera dokument z osadzonym skryptem lub linkiem. W takich przypadkach należy zablokować możliwość uruchamiania skryptów oraz otwierania odnośników do witryn, które nie zostały oznaczone jako zaufane.

Kolejnym wektorem infekcji może być podejrzane oprogramowanie pobierane z różnych stron internetowych, niekiedy wyglądających na zaufane. W takim przypadku – oprócz zablokowania możliwości instalacji nieznanego oprogramowania należy rozważyć też wdrożenie kategoryzacji ruchu internetowego. Dzięki temu witryny internetowe o słabej reputacji byłyby blokowane na zaporze sieciowej.

Antywirus ciągle potrzebny

W większości organizacji oprogramowanie antywirusowe jest standardowo instalowane na każdej stacji roboczej. Tego rodzaju ochrony nie wolno zaniedbywać. Radzi ona sobie całkiem nieźle z najstarszymi, dobrze znanymi fragmentami kodu obecnymi wielu próbkach ransomware. Należy jednak pamiętać, że antywirus nie zagwarantuje obrony przed atakami, w których kod jest generowany osobno pod kątem każdego ataku i nie posiada stałych sygnatur.

Do rozsiewania złośliwego oprogramowania – stanowiącego fundament ataków ransomware – przystosowany został także sposób dobrze znany z wcześniejszych rodzajów ataków. Jednym z nich jest metoda drive-by-download. Niezależnie jednak od formy ataku, napastnicy często wykorzystują m.in. nieaktualne oprogramowanie (przeglądarka, wtyczka, rozszerzenie), aby uzyskać możliwość uruchomienia kodu, który pozwoli wykonać kolejne kroki zmierzające do zaszyfrowania danych użytkowników. Warto pamiętać, że ataki ransomware najczęściej prowadzone są dziś na masową skalę i w sposób nieukierunkowany. Sprawia to, że najlepszą metodą przeciwdziałania takim zagrożeniom jest regularna aktualizacja zabezpieczeń oraz bieżące likwidowanie ewentualnych podatności w używanych aplikacjach. Ryzyko infekcji istotnie ograniczają też narzędzia antywirusowe działające w sposób niezależny od sygnatur, przykładowo w oparciu o metody heurystyczne. Jednocześnie, praktyka pokazuje, że zablokowanie możliwości wykorzystania podatności warunkujących pierwszy etap ataków ransomware poważnie utrudnia infekcję złośliwym oprogramowaniem szyfrującym i znacząco zmniejsza prawdopodobieństwo udanego ataku.

Uwaga na złośliwe reklamy!

Należy pamiętać, że znane są już przypadki infekcji ransomware dokonanych za pośrednictwem reklam. Zawierające złośliwy kod oprogramowanie jest rozpowszechniane wykorzystując precyzyjne profilowanie dostarczane przez platformy reklamowe. Tego rodzaju dystrybucja złośliwych aplikacji jest określana jako malvertising.

W wielu wypadkach wykorzystywany przez dostawców sieci reklamowych mechanizm filtrowania złośliwej aktywności okazuje się nieskuteczny. Sprawia to, że przestępcy bardzo łatwo go omijają. Przed zagrożeniami rozpowszechnianymi tą drogą można się bronić blokując skutecznie reklamy w skali całej firmy, najlepiej na zaporze sieciowej.

Liczy się szybkość reakcji

Jeśli, mimo zabezpieczeń dojdzie do infekcji, należy niezwłocznie podjąć działania mające na celu zmniejszenie skali ataku, a zatem redukcję skali jego skutków, a także strat finansowych i operacyjnych. Im szybciej ransomware uda się wykryć, tym mniej danych zdąży ono zaszyfrować.

Podstawowe symptomy ataku ransomware to:

  • obecność plików o nietypowych rozszerzeniach,
  • częste zmiany nazw plików, większa niż zwykle ilość operacji zapisu, przenoszenia lub zmian nazwy,
  • zapis do rzadko używanych plików,
  • dostęp do plików pozostawionych celowo, jako przynęta dla ataków ransomware,
  • operacje poszukiwania plików wykonywane w niestandardowej kolejności,
  • poszukiwanie plików należących do aplikacji, które w firmie nie występują,
  • połączenia do bazy danych, gdy aplikacja, która z niej normalnie korzysta, nie jest uruchomiona.

Naturalną odpowiedzią na wykryte zagrożenie powinna być izolacja stacji roboczej (kwarantanna i odłączenie całej komunikacji sieciowej), aby zmniejszyć skalę zagrożenia i utrudnić niszczenie informacji na innych komputerach.

Kopia bezpieczeństwa jako ostatnia linia obrony

Ostatnią linią obrony, umożliwiającą przywrócenie ciągłości działania firmy i odtworzenie zniszczonych przez ransomware plików jest kopia bezpieczeństwa. Nawet po wyczyszczeniu stacji roboczej, zniszczone pliki trzeba będzie odtworzyć z kopii bezpieczeństwa. W pewnych przypadkach przy odtwarzaniu może pomóc opcja Volume Shadow Copy Services, którą można wykorzystać do okresowego automatycznego wykonywania kopii migawkowych. Po infekcji taką kopię migawkową można zamontować w systemie operacyjnym i przywrócić zniszczone pliki. Aby taka ochrona zadziałała, najpierw trzeba ją włączyć i odpowiednio skonfigurować. Kopie migawkowe znajdują jednak zastosowanie przede wszystkim w kontekście infrastruktury wirtualnej.

Należy przy tym pamiętać, że długotrwała obecność ransomware w firmowym środowisku IT może spowodować zaszyfrowanie plików jeszcze przed ostatnio wykonywaną kopią. Dlatego warto posiadać rozwiązania umożliwiające wykonywanie kopii zapasowych według pewnego, przemyślanego cyklu, który zagwarantuje zapis przynajmniej kilku kolejnych wersji tego samego pliku. Do naprawdę małych porcji informacji z powodzeniem sprawdzi się zestaw dysków wymiennych.

Przy samej infekcji warto skorzystać z pomocy specjalistów, w tym działów przygotowanych pod kątem wypracowania odpowiedzi na zagrożenia CSIRT (Computer Security Incident Response Team). Specjaliści tego typu dysponują wiedzą oraz odpowiednimi narzędziami. Dzięki temu mogą przynieść pomoc zagrożonym organizacjom. Przy poważnych incydentach należy też powiadomić organy ścigania.

Nie płacić złodziejom

Oprogramowanie ransomware szyfruje firmowe informacje z użyciem silnej kryptografii (klucz RSA 2048 bitów, algorytm AES-256). Jeśli procedury szyfrujące zostały napisane poprawnie, to odzyskanie danych jest nierealne. W zamian za obietnicę odszyfrowania danych przestępcy żądają okupu wypłacanego w wirtualnej walucie, najczęściej jest nią Bitcoin. Z racji na anonimowość portfeli, wyśledzenie przestępców jest praktycznie niemożliwe. Dodatkowo, napastnicy powszechnie korzystają z sieci anonimizującej TOR. Środki mające na celu ograniczenie skali ataku należy więc podejmować profilaktycznie lub na bardzo wczesnym etapie infekcji.

Zabezpieczenia zastosowane przez złodziei udaje się złamać w niewielu przypadkach. Prawdopodobieństwo, że producenci rozwiązań z zakresu bezpieczeństwa IT opracują metodę odzyskania klucza i odtworzenia zaszyfrowanych plików istnieje wówczas, gdy przy konstrukcji aplikacji ransomware popełniony zostanie błąd. Niestety zdarza się to dość rzadko.

Mogłoby wydawać się, że szansę odzyskania zaszyfrowanych plików daje wniesienie okupu. Droga ta nie gwarantuje jednak sukcesu, a wiąże się z poważnym wydatkiem, koniecznością zakupu waluty Bitcoin oraz z problemami prawnymi związanymi z zaksięgowaniem takiego wydatku. Należy mieć świadomość, że w wielu przypadkach danych nie udaje się odzyskać nawet po zapłacie. Może to wynikać m.in. z błędów w aplikacji szyfrującej lub zamierzonych działań przestępców.

Co ważne, w szerszej perspektywie zapłata okupu powinna być uznana za działanie naganne, które zasila budżety przestępców, ułatwia rozwój nowych wersji ransomware i w efekcie powoduje dalszy rozrost cyberprzestępczości. Lepsze efekty osiąga się dzięki profilaktyce i wypracowaniu szybkiej odpowiedzi na zagrożenie.

[1] https://cybersecurityventures.com/ransomware-damage-report-2017-5-billion/
[2] https://securelist.com/kaspersky-security-bulletin-2016-story-of-the-year/76757/ 

 

Czym jest backup danych?

Ten artykuł dotyczy produktu

Czym jest backup danych?

Przejdź do produktu
Security Operations Center

Ten artykuł dotyczy produktu

Security Operations Center

Przejdź do produktu

Data publikacji: 02.03.2018

Wróć na stronę główną strefy wiedzy

powrót

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail

Zapisz się do newslettera, żeby
dostawać inforamcje o nowych wpisach

Dziękujemy, dane zostały wysłane.
Wystąpił błąd, spróbuj ponownie później.

Dziękujemy za zapisanie się
do naszego newslettera

Może zainteresuje Cię również nasz profil na LinkedIn

Twoja przeglądarka jest nieaktualna

Może to powodować błędy w działaniu strony.
Zaktualizuj przeglądarkę, żeby poprawnie przeglądać naszą stronę.