Jak zbudować odporność na atak ransomware?

Haker w kapturze

11 maja br. serwis Cyberdefence24.pl poinformował, że: „Podmioty z Polski są celem trwającej kampanii ransomware, mającej charakter globalny. Wirus oferowany jest w dark webie i umożliwia hakerom m.in. przechwytywanie danych kart płatniczych oraz kopiowanie lub usuwanie plików. Phishing i spam stanowią główną metodę rozpowszechniania złośliwego oprogramowania. […] trwająca kampania ransomware wykorzystuje złośliwe oprogramowanie o nazwie „Avaddon”. […] Oprogramowanie jest oferowane w dark web jako usługa typu Ransomware-as-a-Service (RaaS). […] Hakerzy używający tej odmiany ransomware swoje działania ukierunkowują na takie branże jak: edukacja, budownictwo, transport i logistyka, opieka zdrowotna, IT, przemysł, handel, wirtualna rozrywka, lotnictwo, energetyka, finanse, administracja państwowa, turystyka, marketing i farmacja”. Zobacz: Polska na mapie celów kampanii ransomware

„Dla nas to nic nowego, codziennie obserwujemy wiele kampanii phishingowych, ataków DDoS oraz ataków typu bruteforce i nie tylko. Jednak to właśnie ransomware wydaje się budzić szczególny strach wśród potencjalnych ofiar. Jednym z powodów dlaczego tak się dzieje, jest zakres problemu z którym trzeba się zmierzyć – utrata krytycznych danych, kary finansowe, utrata reputacji oraz zaufania wśród klientów – mówi Dawid Skórka, kierownik Security Operations Center Grupy 3S – warto zatem wcześniej zapoznać się z najczęściej wykorzystywanym przez przestępców scenariuszem takiego ataku oraz możliwymi sposobami obrony” – dodaje.

Keyboard lit up in the dark

Istnieje wiele wektorów ataku, za pomocą których ransomware może dostać się do sieci firmowej. Jedną z najpopularniejszych metod jest phishing, który trafia do ofiary za pomocą wiadomości e-mail najczęściej zawierającej szkodliwy plik np. arkusz kalkulacyjny programu Excel lub dokument w formacie PDF – jest to tzw. Etap Dystrybucji. Po pobraniu i otwarciu takiego pliku przez użytkownika, przestępcy przejmują kontrolę nad jego komputerem – Etap Infekcji.

Oprogramowanie ransomware sprawdza konfigurację lokalną komputera, klucze rejestru, ustawienia serwera proxy oraz komunikuje się z zewnętrznym serwerem Command&Control w celu doinstalowania modułów potrzebnych do dalszej penetracji sieci – to Etap Staging.

Kolejnym etapem jest skanowanie sieci w poszukiwaniu kolejnych podatnych systemów i przechowywanych w nich krytycznych danych. Co istotne, przestępcy starają się również uzyskać dostęp do wszystkich potencjalnych ofiar w zainfekowanym środowisku, wyłączają zabezpieczenia np. programy antywirusowe, narzędzia EDR (Endpoint Detection and Response), narzędzia do tworzenia kopii zapasowych. Dopiero po wykonaniu tych czynności następuje szyfrowanie wykrytych plików.

W przypadku przytoczonego na wstępie przykładu ransomware „Avaddon” cyt.: „ […] hakerzy posługujący się wirusem zazwyczaj żądają okupu w bitcoinach, w zamian oferując narzędzie deszyfrujące „Avaddon General Decryptor”. W tym celu stosują strategię „podwójnego wymuszania”. Polega ona na wywarciu presji na ofiarę, aby spełniła stawiane warunki, poprzez groźbę opublikowania pozyskanych danych oraz przeprowadzenie ataku typu DDoS”. Zobacz: Polska na mapie celów globalnej kampanii ransomware.

Futuristic eye close up cybersecurity

– Jednym z najważniejszych elementów zabezpieczania zasobów IT jest ciągły proces aktualizacji systemów, aplikacji oraz firmware. Jako firma, która wykonuje audyty bezpieczeństwa często widujemy zaniedbania w tym obszarze. Niejednokrotnie są to problemy kadrowe – pracy jest zbyt wiele by pamiętać o aktualizacjach lub występują problemy ze znalezieniem okna czasowego na ich wykonanie, ponieważ systemy muszą działać całą dobę – wyjaśnia Dawid Skórka.

Mimo wszystko, organizacje powinny dołożyć wszelkich starań, by systemy posiadały zainstalowane najnowsze poprawki, ponieważ zmniejsza to liczbę potencjalnych luk w zabezpieczeniach, które osoba atakująca może wykorzystać. W przypadku ograniczonych własnych zasobów, warto skorzystać z usług firm zewnętrznych, którym można zlecić cykliczne wykonywanie skanów podatności. Efektem są raporty pokazujące zidentyfikowane podatności i rekomendacje działań pozwalających na ich eliminację.

Startup Business People Working on Laptop

Jednocześnie trzeba pamiętać o realizacji działań edukacyjnych dla kadry nietechnicznej. Szkolenia użytkowników w zakresie identyfikowania i unikania potencjalnych ataków mają kluczowe znaczenie w kontekście ransomware. Wiele obecnych ataków zaczyna się od wiadomości e-mail, która jest ukierunkowana w konkretną firmę lub osobę i zachęca użytkownika do kliknięcia w złośliwy link. Edukacja użytkowników jest często uważana za jeden z najważniejszych mechanizmów obronnych, jakie organizacja może wdrożyć.

strategia

Profesjonalnie budowane bezpieczeństwo zasobów IT obejmuje również opracowanie i testowanie strategii ciągłości działania i odzyskiwania danych. Oznacza to m.in. stworzenie planu obejmującego:

Cykliczne tworzenie kopii zapasowych, najlepiej zgodnie z regułą 3-2-1, czyli kopia w 3 egzemplarzach, na 2 różnych nośnikach, w tym 1 nośnik (kopia zapasowa) przechowywany poza siedzibą organizacji – zobacz na czym polega usługa Disaster Recovery
Scenariusza wskazującego kolejność odtwarzania ekosystemu IT organizacji po incydencie,
Cykliczne testowanie planu pod kątem integralności danych oraz czasu jaki jest potrzebny by przywrócić ekosystem IT organizacji do działania.

„Cyberprzestępcy stale wymyślają i poszukują nowych sposób i technik do realizacji swoich przedsięwzięć. Nie istnieją zatem rozwiązania, które w 100% zabezpieczą organizację przed atakiem. Podstawą jest dbanie o cykliczne wykrywanie podatności, aktualizacja systemów IT oraz uświadamianie użytkowników jak bezpiecznie korzystać z usług IT. A jeżeli już nasza organizacja stanie się ofiarą ataku, to jak pokazuje doświadczenie, ratują nas rozwiązanie Disaster Recovery, które jest odseparowane od sieci firmowej oraz znajduje się w innej lokalizacji” – podsumowuje Dawid Skórka.

Dawid Skórka

kierownik Security Operations Center Grupy 3S

Dawid Skórka

Zobacz profil na Linkedin

[contact-form-7 404 "Nie znaleziono"]

Ta strona wykorzystuje pliki cookies w celu ulepszenia działania seriwsu

Dowiedz się więcej