4-7 minut

Ransomware wciąż groźny

Zarówno wcześniejsze incydenty w tym roku, jak i ostatni atak na giganta naftowego – Pemex, uzmysłowiły nam, jak niebezpieczne może być złośliwe oprogramowanie typu ransomware. Pomimo, że dotknięta atakiem firma, z tego co wiemy, nie zdecydowała się zapłacić okupu szantażystom blokującym dostęp do części systemów - i tak poniosła wielomilionowe straty wynikające z przestojów oraz konieczności przywrócenia oprogramowania do normalnego działania. Nie ma stuprocentowo skutecznych metod obrony przed ransomware, jednak jeżeli polityka backupu prowadzona jest właściwie – dane zawsze można odzyskać z kopii, nie ulegając przy tym szantażystom.

Z TEGO ARTYKUŁU DOWIESZ SIĘ:

 

  1. DLACZEGO ATAKI RANSOMWARE SĄ TAK GROŹNE I JAKIEJ WARTOŚCI SZKODY MOŻE WYRZĄDZIĆ TO ZŁOŚLIWE OPROGRAMOWANIE?
  2. JAK PRZEBIEGAŁ ATAK NA SIEĆ MEKSYKAŃSKIEGO GIGANTA NAFTOWEGO, FIRMĘ PEMEX?
  3. JAKIE INNE FIRMY I INSTYTUCJE DOŚWIADCZYŁY W 2019 ROKU ATAKÓW RANSOMWARE?
  4. JAK CHRONIĆ SIĘ PRZED ATAKIEM I JAK UNIKNĄĆ JEGO SKUTKÓW?

Słowem ransomware określamy cyber-szantaż. Przestępca włamuje się do komputera ofiary i szyfruje zawartość dysków uniemożliwiając dostęp do danych. Na ekranie zainfekowanych urządzeń wyświetlany jest komunikat o tym, co zrobić, by szantażysta umożliwił na powrót korzystanie z systemów i dostęp do danych. W przypadku ataków pierwszych wersji ransomware wystarczyły czasami zmiany w rejestrze systemu operacyjnego, by użytkownik odzyskał kontrolę nad maszyną. Obecnie stosowane, najbardziej zaawansowane formy ransomware szyfrują pliki ofiary w taki sposób, że ich odzyskanie, bez posiadanego przez przestępców klucza jest praktycznie niemożliwe. Jest to atak szczególnie groźny dla firm, które nie tylko nie zapewniają właściwego zabezpieczenia przed tego typu złośliwym oprogramowaniem, ale przede wszystkim – zaniedbują backup. Dużo łatwiej jest jednak zapewnić dostęp do danych backupowych odpowiednią polityką tworzenia kopii zapasowych, niż stworzyć idealnie szczelną linię obrony przed wszystkimi rodzajami złośliwego oprogramowania.

Ataki ransomware obserwowane są już od ponad 20 lat. W ostatnim czasie ich częstotliwość nasiliła się ze względu na większe możliwości szantażystów pozostania anonimowymi, dzięki metodom płatności kryptowalutami.

Atak ransomware na giganta naftowego

W listopadzie 2019 meksykański państwowy gigant naftowy z obrotami rzędu 120 mld USD rocznie – firma Pemex – została dotknięta atakiem ransomware1, który sparaliżował działanie przedsiębiorstwa zmuszając firmę do odłączenia sieci od Internetu. Wprawdzie przedstawiciele firmy w wypowiedziach medialnych twierdzili, że próby cyberataków zostały szybko zneutralizowane i wpłynęły na mniej niż 5 procent jej komputerów, jednak nawet jeżeli uznamy, że jest to prawda, to przy skali działalności tej korporacji unieruchomienie nawet tak niewielkiej części infrastruktury przełoży się na setki milionów pesos lub miliony dolarów strat. Początkowe doniesienia mówiły o tym, iż Pemex zaatakowany został przy pomocy „Ryuk”, odmiany oprogramowania ransomware, która według ekspertów zazwyczaj ukierunkowana jest na firmy o rocznych przychodach od 500 milionów do 1 miliarda dolarów. Ryuk bywał wcześniej użyty przez grupę cyberprzestępczą Grim Spider , która zasłynęła z innych ataków tego rodzaju m.in. w USA w Riviera Beach i Lake City2 , gdzie urzędnicy miejscy zdecydowali się ostatecznie zapłacić okup szantażystom za przywrócenie dostępu do zaatakowanych systemów.

Po kilku dniach od pierwszych doniesień okazało się, że w ataku na Pemex użyte zostało złośliwe oprogramowanie DoppelPaymer3 , nowszy wariant ransomware o nazwie BitPaymer. Szantażyści zażądali okupu w wysokości 565 bitcoinów, czyli około 4 miliony dolarów według kursu w dniu przygotowania tego artykułu. Do zaszyfrowania komputerów meksykańskiej korporacji doszło w wyniku kilkuetapowej „pracy” grupy cyberprzestępców. Pemex był pierwotnie celem infekcji trojanem Emotet, a następnie malwarem Dridex, który ostatecznie pozwolił włamać się do jednego z komputerów naftowego giganta. Dalsze rozprzestrzenianie się złośliwego oprogramowania możliwe było prawdopodobnie dzięki użyciu Cobalt Strike i PowerShell Empire w wewnętrznej sieci korporacji.

 

W Europie także nie jest bezpiecznie

Dla firm atakowanych ransomware największym kosztem jest przestój w działaniu, konieczność usunięcia szkód i negatywne efekty wizerunkowe. W porównaniu do tych skutków, sam okup, który firma zapłaciłaby, gdyby zdecydowała się na ten desperacki krok, wydaje się nawet mniejszym kosztem, pominąwszy skutki wizerunkowe i moralne – narażenie własnej organizacji i innych firm na takie ataki w przyszłości. Podobnego ataku, jak meksykański Pemex, doświadczył w marcu 2019 Norweski producent aluminium, Norsk Hydro4. Złośliwy kod rozprzestrzenił się wówczas na 160 serwisów firmy zmuszając niektóre departamenty przemysłowego giganta do cofnięcia się do technologii papieru i ołówka. Pomimo, że firma odmówiła zapłacenia okupu atak wygenerował aż 71 milionów USD strat, z czego dotychczas tylko 3,6 miliona USD udało się firmie odzyskać dzięki ubezpieczeniu.

Ransomware – jak się zabezpieczyć?

Powstaje zatem pytanie: jak się bronić przed ransomware? Istotne jest m.in. uodpornienie infrastruktury na możliwe wektory ataku, polegające na aktualizacji oprogramowania oraz utwardzeniu systemów ochronnych. Innym, bardzo ważnym narzędziem prewencji jest backup. Dysponując backupem możemy odtworzyć dane, które zostały przez przestępców zaszyfrowane. Skuteczne i szybkie odzyskiwanie danych z backupu pozwala zminimalizować skutki, czyli odtworzyć informacje z kopii zapasowych wykonanych jeszcze przed zaszyfrowaniem systemów. Dodatkowo, backup zabezpiecza także dane przed utratą ich w inny sposób, np. w katastrofach naturalnych, takich jak np. pożar serwerowni i w wyniku błędów ludzkich. Odpowiednio dobrane do potrzeb przedsiębiorstwa rozwiązanie backupu gwarantuje odzyskanie danych z kopii zapasowych. Zadanie to najlepiej zlecić specjalistom i skorzystać z profesjonalnych usług. Świadczą je m.in. operatorzy telekomunikacyjni, tacy jak T-Mobile, zapewniający ochronę danych w dowolnym miejscu poprzez Internet, sieć WAN lub z wewnątrz Data Center. Usługa ta wspierana jest przez pomoc techniczną 24 godziny na dobę i siedem dni w tygodniu, a zatem nawet wówczas, kiedy atak ransomware mógłby zaskoczyć nas w czasie świąt lub w weekendy. Dzięki posiadaniu przez T-Mobile gęstej sieci data center możliwa jest georedundancja zapewniająca dodatkowe zabezpieczenie m.in. w przypadku katastrof i klęsk żywiołowych występujących lokalnie na ograniczonym terenie.

W zabezpieczeniu przed atakiem ransomware przyda się wsparcie ekspertów z obszaru cybersecurity, a także architektów, specjalistów od sieci, wirtualizacji, macierzy dyskowych, itp. Warto wzmocnić ten obszar zasobami zewnętrznych specjalistów zapewniających usługi konsultingu. Firm specjalizujących się w tych zagadnieniach jest już wiele i dysponują one kompetencjami potrzebnymi w dostarczaniu wymaganego poziomu bezpieczeństwa. Jednym z dostawców na tym polu jest T-Mobile oferujący usługi Security Operations Center (SOC) pozwalające analizować ryzyka IT oraz monitorować na bieżąco zdarzenia bezpieczeństwa, IT firewall oraz pozwalający chronić przed atakami DDoS.

Podsumowanie

Przypomnijmy najważniejsze informacje dotyczące ostatnich ataków ransomware:

  • W przypadku ataku ransomware przestępca włamuje się do komputera ofiary i szyfruje zawartość dysków uniemożliwiając dostęp do danych
  • W listopadzie 2019 meksykański gigant naftowy Pemex padł ofiarą ataku ransomware, który sparaliżował działanie przedsiębiorstwa zmuszając firmę do odłączenia sieci od Internetu. Szantażyści zażądali okupu w wysokości 565 bitcoinów, czyli 4 miliony dolarów
  • Podobnego ataku, jak meksykański Pemex doświadczył w marcu 2019 Norweski producent aluminium, Norsk Hydro
  • Odpowiednio dobrane do potrzeb przedsiębiorstwa rozwiązanie backupu gwarantuje odzyskanie danych z kopii zapasowych

1https://www.reuters.com/article/us-mexico-pemex/ransomware-attack-at-mexicos-pemex-halts-work-threatens-to-cripple-computers-idUSKBN1XM041

2https://www.cbsnews.com/news/ransomware-attack-lake-city-florida-pay-hackers-ransom-computer-systems-after-riviera-beach/

3https://www.bleepingcomputer.com/news/security/mexicos-pemex-oil-suffers-ransomware-attack-49-million-demanded/

4https://www.hydro.com/en/media/on-the-agenda/cyber-attack/

Backup

Ten artykuł dotyczy produktu

Backup

Przejdź do produktu
AntyDDoS

Ten artykuł dotyczy produktu

AntyDDoS

Przejdź do produktu
Security Operations Center

Ten artykuł dotyczy produktu

Security Operations Center

Przejdź do produktu
Zarządzany Firewall

Ten artykuł dotyczy produktu

Zarządzany Firewall

Przejdź do produktu

Data publikacji: 16.12.2019

Chcesz dostawać informacje o nowych wpisach?

Chcesz dostawać informacje o nowych wpisach?

Zostaw swój adres e-mail