Pojawia się coraz więcej informacji o firmach i prywatnych osobach, które boleśnie doświadczyły skutków ataku typu ransomware. Podstawowa wiedza o tym złośliwym oprogramowaniu pozwoli odpowiednio przygotować się, zmniejszyć ryzyko ataku oraz ograniczyć ewentualne szkody, jakie może on spowodować. Jak zabezpieczyć się przed ransomware i co robić w przypadku gdy staniemy się jego ofiarą – radzi Mariusz Rzepka, dyrektor firmy Fortinet na Polskę, Ukrainę i Białoruś.
Cyberprzestępczość należy obecnie uznać za nastawioną na zysk działalność generującą miliardowe dochody. Podobnie jak większość przedsiębiorstw, cyberprzestępcze grupy są bardzo zmotywowane, aby znaleźć optymalne sposoby generowania przychodów. Jednak stosowane przez nie i stale doskonalone metody działania w cyberprzestrzeni mają charakter kryminalny. Aby uzyskać dostęp do wartościowych danych i zasobów, przestępcy często wabią swoje ofiary oraz stosują podstępy, wymuszenia i groźby.
Epidemia ransomware
Według statystyk firmy FireEye, od połowy ub.r. aktywność aplikacji typu ransomware sukcesywnie się zwiększa, a w marcu br. doszło do gwałtownego wzrostu liczby takich ataków. Wysokość żądanego okupu od firm może sięgnąć nawet 18 tys. USD (w przypadku zainfekowania wielu komputerów w jednej organizacji). Najbardziej aktywnym oprogramowaniem tego typu jest ostatnio Tescrypt, który – jak wynika z analiz Microsoftu – odpowiada za 42 proc. wszystkich infekcji. Inne uciążliwe w ostatnim czasie „szkodniki” to m.in. Crowti, Fakebsod czy Brolo.
-W pierwszym kwartale 2016 roku odnotowaliśmy tyle samo cyberincydentów, ile kilka lat temu w ciągu całego roku. Główne trendy nie uległy zmianie, zarejestrowaliśmy natomiast znaczny wzrost tradycyjnej cyberprzestępczości, zwłaszcza jeżeli chodzi o zagrożenia mobilne i globalną epidemię ransomware – piszą w swoim najnowszym raporcie specjaliści Kaspersky Lab.
Oprogramowanie ransomware stało się głównym tematem I kwartału 2016 r., spychając ataki ukierunkowane na drugie miejsce w rankingu najpopularniejszych zagrożeń. Niestety, sytuacja ta będzie pogłębiać się, a cyberprzestępców wyłudzających okup można określić mianem „problemu roku” – uważają eksperci Kaspersky Lab.
Czym jest ransomware?
Ransomware jest formą złośliwego oprogramowania, które infekuje urządzenia, sieci i centra danych. Sprawia ono, że dostęp do danych staje się niemożliwy do czasu, kiedy użytkownik lub organizacja nie zapłaci okupu.
Skala strat w wyniku działania ransomware jest trudna do oszacowania, ponieważ wiele organizacji decyduje się na odpłatne odblokowywanie dostępu do swoich plików – należy jednak pamiętać, że rozwiązanie to nie zawsze działa i pomimo opłaty haraczu dane pozostają zaszyfrowane. Autorzy raportu opublikowanego przez Cyber Threat Alliance w październiku 2015 r. dotyczącego kampanii Ransomware Cryptowall v3, oszacowali koszty tego ataku na ok. 325 mln dolarów.
Obecnie stwierdzono już ponad 50 odmian oprogramowania ransomware, a liczba ta rośnie bardzo szybko ze względu na wprowadzanie przez przestępców poprawek i kompilowanie kupowanych kodów malware. Ransomware może działać na jeden z kilku typowych sposobów. CryptoLocker uniemożliwia korzystanie z systemu operacyjnego. Inny ransomware szyfruje dysk, zestaw plików lub ich nazwy. Niektóre złośliwe wersje mają zaprogramowany timer, po którym zaczynają usuwać pliki do momentu opłacenia okupu. Jednak wszystkie rodzaje ransomware łączy jedno – żądanie okupu w celu odblokowania lub odszyfrowania systemu, plików lub danych.
Nie można wykluczyć, że najnowsze wersje malware typu ransomware w przyszłości mogą stać się częścią ataków typu APT. Wówczas żądanie okupu będzie jedynie odciągać uwagę od innej części ukrytego kodu.
Jak dochodzi do ataku?
Jeśli na ekranie urządzenia pojawiają się poniższe komunikaty lub podobne, mogło ono zostać zainfekowane oprogramowaniem ransomware:
- Twój komputer został zainfekowany wirusem. Kliknij tutaj, aby rozwiązać problem.
- Twój komputer był wykorzystywany do odwiedzania stron z nielegalną zawartością, aby odblokować komputer wpłać 100$ grzywny.
- Wszystkie pliki na Twoim komputerze zostały zaszyfrowane. Zapłać okup w przeciągu 72 godzin, aby odzyskać dostęp do swoich danych.
Najczęstszym wektorem ataku ransomware są pliki dołączane do poczty elektronicznej. Innym popularnym sposobem zainfekowania złośliwym kodem jest metoda „drive-by”, która skutkuje niepostrzeżonym zainstalowaniem szkodliwego oprogramowania podczas wizyty na zarażonej stronie internetowej.
Ransomware bywa również rozprzestrzeniany poprzez media społecznościowe, wykorzystując między innymi aplikacje komunikatorów. Ostatnio przestępcy zaczęli również wykorzystywać podatne serwery WWW jako punkt wyjścia do infekcji sieci firmowej.
Jak się uchronić przed ransomware? 10 porad
- Opracuj plan kopii zapasowych i odzyskiwania. Regularnie twórz kopie zapasowe systemów oraz przechowuj je na osobnym urządzeniu w trybie offline.
- Korzystaj z profesjonalnych zabezpieczeń internetowych oraz narzędzi pozwalających skanować zawartość e-maili, stron czy plików w poszukiwaniu szkodliwego oprogramowania. Istotne jest również blokowanie potencjalnie niebezpiecznych reklam i witryn mediów społecznościowych, które nie mają znaczenia biznesowego. Narzędzia te powinny być wyposażone w funkcję piaskownicy (sandbox), dzięki czemu nowe lub nierozpoznane pliki mogą być analizowane i uruchamiane w bezpieczny sposób.
- Aktualizuj swoje systemy operacyjne, urządzenia oraz oprogramowanie.
- Upewnij się, że używany antywirus, IPS i antymalware są uaktualnione do najnowszej wersji.
- Jeśli to możliwe, korzystaj z białej listy, która zapobiega pobieraniu i uruchamianiu nieautoryzowanych aplikacji.
- Podziel swoją sieć na strefy bezpieczeństwa, zapobiegając tym samym rozprzestrzenianiu się potencjalnej infekcji.
- Nadaj użytkownikom indywidualne prawa dostępu tak, aby potencjalnie jak najmniejsza ich liczba była w stanie zarazić dane, usługi czy aplikacje o krytycznym znaczeniu.
- Wdróż rozwiązanie bezpieczeństwa BYOD odpowiedzialne za inspekcje i blokowanie urządzeń nie spełniających wymogów bezpieczeństwa (brak zainstalowanego klienta antymalware’owego, nieaktualna baza antywirusa lub brak kluczowych łatek w systemie operacyjnym).
- Korzystaj z narzędzi analitycznych, dzięki którym po ataku można określić:
- skąd pochodzi infekcja,
- jak długo była w danym środowisku,
- czy została usuniętą ze wszystkich urządzeń,
- czy infekcja nie powróci.
- Uświadamiaj pracowników w kwestiach bezpieczeństwa. Poinstruuj użytkowników, aby w e-mailach nie klikali w nieznane załączniki i linki oraz nie pobierali plików niewiadomego pochodzenia.
Dzisiejsze ataki phishingowe są dużo bardziej wiarygodne i podstępne niż kiedyś. Ukierunkowany phishing wykorzystuje dane internetowe i profile mediów społecznościowych, aby dostosować formułę ataku do ofiary. Często otwieranie nieoczekiwanych faktur lub wiadomości bankowych – bez wcześniejszego upewnienia się co do wiarygodności otrzymanej wiadomości – wynika z braku zachowania należytej czujności, zwykłej nieuwagi albo też kierowania się zwykłą ludzką ciekawością. Przeciętny użytkownik uważa, że za bezpieczeństwo odpowiadają tylko informatycy.
Co robić w przypadku ataku?
- Zgłoś przestępstwo. W internecie łatwo znaleźć stronę, gdzie można zgłosić cybeprzestępczą aktywność w danym kraju lub regionie. W Polsce informacje na ten temat znajdują się na stronie http://www.policja.pl/pol/zwalczaj-cyberprzestep/83643,Zwalczaj-cyberprzestepczosc.html
- Zapłacenie okupu nie daje gwarancji. Opłacenie okupu nie daje nam pewności, że pliki zostaną odszyfrowane. Gwarantuje to jedynie, że nasze pieniądze, a czasami też i informacje bankowe, trafią do szantażystów. Dodatkowo odszyfrowanie plików wcale nie oznacza, że infekcja została usunięta.
- Skontaktuj się z ekspertami. Producenci wielu systemów operacyjnych, oprogramowania oraz rozwiązań bezpieczeństwa mają w swojej kadrze ekspertów, którzy mogą udzielać porad na temat sposobów reagowania w wypadku, gdy Twój system został zainfekowany. Istnieją również zewnętrzni specjaliści, którzy mogą pomóc Ci stanąć na nogi.
- Miej plan B. Co zrobisz, jeśli Twoje systemy komputerowe lub sieci stają się niedostępne? Czy masz plan awaryjny? Czy istnieje sposób, aby utrzymać Twoją działalność (choćby w ograniczonym zakresie), podczas naprawy systemu IT? Czy wiesz, jakie koszty poniesie Twoja organizacja, jeśli na godzinę systemy staną się niedostępne? Czy ten koszt jest uwzględniony w Twoim budżecie bezpieczeństwa IT? Informacje te trzeba uwzględnić w polityce bezpieczeństwa.
Backup z kopiami migawkowymi
Jeśli dojdzie do infekcji ransomware i zaszyfrowania danych, jednym ze sposobów odzyskania dostępu do danych, cofnięcia zmian wprowadzonych do systemu przez atakującego i zabezpieczenia się przed kolejnym atakiem – jest odpowiednio dobrany system backupu danych.
– Taki system backupu danych musi jednak spełniać ściśle określone kryteria. W przypadku wymagających użytkowników domowych czy firm nie sprawdzą się standardowe systemowe narzędzia do wykonywania kopii zapasowej, nienajlepszym pomysłem będzie też zapisywanie kopii danych na dysku zewnętrznym – wyjaśnia Grzegorz Bielawski, Country Manager firmy QNAP.
W przypadku zaszyfrowania także zawartości dysku sieciowego nie sprawdzi się dowolny NAS. Jeśli jednak system backupu zostanie oparty na serwerze NAS wykorzystującym mechanizm migawek (snapshots), to nawet jeśli dojdzie do zaszyfrowania danych, użytkownik będzie w stanie przywrócić ich wcześniejszą wersję. Dzięki wykorzystaniu migawek funkcjonuje on w ten sposób, że na bieżąco są backupowane tylko te bloki danych, w których faktycznie zapisano jakieś zmiany (nowe/nadpisane pliki) – co gwarantuje skuteczne zabezpieczenie wszystkich kluczowych danych oraz, jednocześnie, optymalne wykorzystanie przestrzeni dyskowej serwera NAS. Migawki mają zresztą również inne zalety – np. wersjonowanie plików, dzięki któremu bez problemu możemy przywrócić dowolny plik w wersji sprzed godziny, dwóch, trzech itp. – przekonuje przedstawiciel QNAP.
Darmowe narzędzie ESET do deszyfrowania TeslaCrypt
Eksperci z firmy ESET stworzyli narzędzie deszyfrujące pliki, do których dostęp zablokował wcześniej złośliwy program TeslaCrypt. Jeśli dokumenty zostały zablokowane przez TeslaCrypt w wersji trzeciej lub czwartej, można odblokować do nich dostęp bez płacenia okupu cyberprzestępcom, korzystając z bezpłatnego narzędzia deszyfrującego firmy ESET. Można je pobrać ze strony: http://download.eset.com/special/ESETTeslaCryptDecryptor.exe
Pozostaw komentarz