3-6 minut

Jak się bronić przed ransomware?

Złamanie zabezpieczeń komputera może skutkować cyberatakiem, w wyniku którego dane przedsiębiorstwa zostaną zaszyfrowane, a przestępca zażąda okupu. Dopiero po jego opłaceniu możliwe będzie odzyskanie kontroli nad informacjami znajdującymi się na dyskach. Nawet najlepsza ochrona przed włamaniem do infrastruktury IT może zawieść, dlatego w takich przypadkach, by nie zostać zmuszonym do podjęcia wątpliwej moralnie decyzji o zapłaceniu okupu, należy zabezpieczyć się także w inny sposób. Skuteczne i szybkie odtworzenie systemów z backupów pozwoli spać spokojnie, nawet wtedy, gdy szantażyści sforsują system obrony.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

CZYM JEST ATAK TYPU RANSOMWARE?
JAKIE SZKODY MOŻE SPOWODOWAĆ?
JAK OCHRONIĆ SIĘ PRZED TYM ATAKIEM I JAK USTRZEC SIĘ PRZED UTRATĄ DANYCH?
JAKĄ ROLĘ ODGRYWA BACKUP W ZABEZPIECZENIACH PRZED RANSOMWARE?
CZYM POWINNY WYRÓŻNIAĆ SIĘ USŁUGI BACKUPU I ODZYSKIWANIA DANYCH, BY NAJLEPIEJ SPEŁNIAĆ SWOJĄ FUNKCJĘ PREWENCYJNĄ?

Określenie ransomware składa się ze słów „ransom” „okup” i „software” czyli „oprogramowanie”. Firmy i instytucje, które padły ofiarą ataku będą pamiętać o nim przez długie lata, o ile ten atak „przeżyją” i nie zakończą w jego wyniku działalności. Ransomware to cyber-szantaż. Przestępcy włamują się na komputery ofiar, szyfrują zawartość dysków twardych w taki sposób, by ich właściciel nie mógł się dostać do danych, a następnie przedstawiają „ofertę nie odrzucenia”: zapłać nam, a wtedy odzyskasz dostęp do swoich informacji. Najbardziej zaawansowane formy takiego oprogramowania szyfrują pliki ofiary w taki sposób, że ich odszyfrowanie bez posiadanego przez przestępców klucza jest praktycznie niemożliwe.

Jak niebezpieczny jest ransomware?

Szatański pomysł wykorzystania złośliwego oprogramowania do szantażowania ofiar zaczął być stosowany już prawie 20 lat temu. Jednak dopiero całkiem niedawno, dzięki kryptowalutom czy specjalnym kartom płatniczym typu pre-paid, pojawiła się możliwość dokonywania w pełni anonimowych płatności, co dało przestępcom potrzebne narzędzia, by swój proceder rozwinąć na szerszą skalę.

Według raportu Cyber Risk Management (CyRiM)¹ przewiduje się, że przygotowany atak ransomware z zastosowaniem skutecznej socjotechniki i z udoskonalonymi metodami rozprzestrzeniania się wirusa w firmach jest w stanie wyrządzić globalne straty szacowane na 193 mld USD. Szkody wynikają nie tyle z płaconych przez firmy okupów, co z konieczności usuwania zniszczeń, przerw w działalności gospodarczej przedsiębiorstw, utraty przychodów i zmniejszenia wydajności. Dla porównania, szacuje się, że jeden z największych dotychczas ataków ransomware – WannaCry spowodował szkody o łącznej wartości 4 miliardów dolarów². To złośliwe oprogramowanie w zaledwie 4 dni rozprzestrzeniło się na ponad 250 tys. maszyn w 116 krajach i na ponad 150 tys. urządzeniach z Androidem³. WannaCry początkowo infekował nowe maszyny wykorzystując fałszywe załączniki w poczcie elektronicznej, a także dzięki wykorzystaniu podatności w systemie Windows. Wprawdzie Microsoft błyskawicznie dostarczył łatkę usuwającą tę lukę, lecz wskutek ogólnej niechęci do aktualizowania systemu operacyjnego, nie została ona przez użytkowników wdrożona wystarczająco szybko, co przyczyniło się do łatwego rozprzestrzeniania złośliwego oprogramowania.

Jak ustrzec się strat?

Podobnie jak w przypadku innych rodzajów ataku najważniejszą rolę odgrywa prewencja. Po pierwsze konieczne jest wprowadzanie na bieżąco wszelkich aktualizacji systemów oraz utwardzenie systemów ochronnych. Zawsze jednak istnieje ryzyko, że pomimo wdrożenia najlepszych praktyk i zabezpieczeń przestępcom i tak uda się je złamać, włącznie z najgorszym możliwym scenariuszem, to znaczy z atakiem typu ransomware. Czy jedyną możliwością, by odzyskać kontrolę nad zaszyfrowanymi dyskami jest wówczas uleganie szantażowi? Oczywiście nie. Bardzo często zapominamy o tak prostym narzędziu, jakim jest backup i nie doceniamy wartości tej podstawowej usługi z zakresu bezpieczeństwa. Jeżeli dysponujemy backupem możemy odtworzyć dane, które zostały przez przestępców zaszyfrowane. Backup danych jest zatem dobrą metodą minimalizacji skutków ataku, ponieważ pozwala odtworzyć informacje z kopii zapasowych wykonanych jeszcze przed zaszyfrowaniem systemów. Dodatkowo, backup zabezpiecza także dane utracone w atakach innego rodzaju, katastrofach naturalnych, takich jak np. pożar serwerowni i w wyniku błędów ludzkich. Decydując się na zapłacenie okupu przedsiębiorstwo, którego losy zależą od odzyskania danych nie ma żadnej gwarancji, że faktycznie je odzyska. Płacenie okupu jest nie tylko stratą samej firmy, ale powoduje dalsze udoskonalanie ransomware przez cyberprzestępców, a w konsekwencji spowoduje jeszcze więcej skutecznych i bolesnych dla innych organizacji ataków. Backup uwalnia zatem przedsiębiorstwo zarówno od strat bezpośrednich, jak i od dylematów moralnych: czy chronić firmę i miejsca pracy, ale dać zarobić cyberprzestępcom zgadzając się na zapłacenie okupu, czy też utracić dane i w konsekwencji zakończyć działalność.

Rozwiązanie do backupu gwarantujące skuteczność i stabilność procesów tworzenia kopii zapasowych oraz odtwarzania danych może zapewnić operator telekomunikacyjny. Należy pamiętać o tym, że aby móc odtworzyć dane, musimy mieć pewność, że wcześniejsze backupy były poprawnie wykonywane. Dlatego właśnie warto powierzyć proces tworzenia i odtwarzania danych z kopii zapasowych specjalistom i skorzystać z profesjonalnych usług, jakie świadczy np. T-Mobile. Pozwalają one chronić dane zlokalizowane w dowolnym miejscu, bo dostęp do usługi backupu zapewniany jest poprzez Internet, sieć WAN lub z wewnątrz Data Center. Usługa ta wspierana jest przez pomoc techniczną 24 godziny na dobę i siedem dni w tygodniu, a zatem nawet wówczas, kiedy atak ransomware zaskoczy nas w weekend.

Przed uruchomieniem systemów, już po odzyskaniu danych z backupu, należy zmienić hasła administracyjne i systemowe, a także załatać luki w systemie, które doprowadziły do powodzenia ataku ransomware. W tym przypadku także przydaje się wsparcie specjalistów z obszaru cybersecurity. Usługi bezpieczeństwa, takie audyt po ataku, również mogą zapewnić operatorzy telekomunikacyjni. Dostarczają oni także usługi komplementarne w zakresie bezpieczeństwa, takie jak Security Operations Center (SOC) pozwalające analizować ryzyka IT oraz monitorować na bieżąco zdarzenia bezpieczeństwa, IT firewall oraz pozwalają chronić przed atakami DDoS.

Podsumowanie

Przypomnijmy najważniejsze informacje dotyczące ochrony przed atakami typu ransomware:

W ataku typu ransomware przestępcy włamują się na komputery ofiar, szyfrują zawartość dysków twardych, a następnie szantażują przedsiębiorcę
Dotychczasowy największy atak ransomware – WannaCry spowodował szkody o łącznej wartości 4 miliardów dolarów. Zagrożenie ransomware cały czas rośnie, bo przestępcy uczą się jak skuteczniej przeprowadzić atak i mają motywację finansową
Aby ustrzec się ataku konieczne jest wprowadzanie na bieżąco wszelkich aktualizacji systemów oraz utwardzenie systemów ochronnych
Backup pozwoli nam odzyskać zaszyfrowane dane bez konieczności płacenia za ich dekodowanie przestępcom
Rozwiązanie gwarantujące skuteczność i stabilność procesów tworzenia kopii zapasowych oraz odtwarzania danych zapewnić może operator telekomunikacyjny

¹Lloyd’s „Bashe attack Assessing the impacts of a global ransomware attack”, 2019 https://www.lloyds.com/news-and-risk-insight/risk-reports/library/technology/bashe-attack?utm_source=Press_release&utm_medium=press&utm_campaign=emergingrisks_cyrim-bashe

²https://www.zdnet.com/article/ransomware-warning-a-global-attack-could-cause-200bn-in-damage-and-were-just-not-ready/

³https://www.csoonline.com/article/3212260/the-5-biggest-ransomware-attacks-of-the-last-5-years.html