Jak zbudować odporność na atak ransomware?

Haker w kapturze

11 maja br. serwis Cyberdefence24.pl poinformował, że: „Podmioty z Polski są celem trwającej kampanii ransomware, mającej charakter globalny. Wirus oferowany jest w dark webie i umożliwia hakerom m.in. przechwytywanie danych kart płatniczych oraz kopiowanie lub usuwanie plików. Phishing i spam stanowią główną metodę rozpowszechniania złośliwego oprogramowania. […] trwająca kampania ransomware wykorzystuje złośliwe oprogramowanie o nazwie „Avaddon”. […] Oprogramowanie jest oferowane w dark web jako usługa typu Ransomware-as-a-Service (RaaS). […] Hakerzy używający tej odmiany ransomware swoje działania ukierunkowują na takie branże jak: edukacja, budownictwo, transport i logistyka, opieka zdrowotna, IT, przemysł, handel, wirtualna rozrywka, lotnictwo, energetyka, finanse, administracja państwowa, turystyka, marketing i farmacja”. Zobacz: Polska na mapie celów kampanii ransomware

Keyboard lit up in the dark

Istnieje wiele wektorów ataku, za pomocą których ransomware może dostać się do sieci firmowej. Jedną z najpopularniejszych metod jest phishing, który trafia do ofiary za pomocą wiadomości e-mail najczęściej zawierającej szkodliwy plik np. arkusz kalkulacyjny programu Excel lub dokument w formacie PDF – jest to tzw. Etap Dystrybucji. Po pobraniu i otwarciu takiego pliku przez użytkownika, przestępcy przejmują kontrolę nad jego komputerem – Etap Infekcji.

Oprogramowanie ransomware sprawdza konfigurację lokalną komputera, klucze rejestru, ustawienia serwera proxy oraz komunikuje się z zewnętrznym serwerem Command&Control w celu doinstalowania modułów potrzebnych do dalszej penetracji sieci – to Etap Staging.

Kolejnym etapem jest skanowanie sieci w poszukiwaniu kolejnych podatnych systemów i przechowywanych w nich krytycznych danych. Co istotne, przestępcy starają się również uzyskać dostęp do wszystkich potencjalnych ofiar w zainfekowanym środowisku, wyłączają zabezpieczenia np. programy antywirusowe, narzędzia EDR (Endpoint Detection and Response), narzędzia do tworzenia kopii zapasowych. Dopiero po wykonaniu tych czynności następuje szyfrowanie wykrytych plików.

W przypadku przytoczonego na wstępie przykładu ransomware „Avaddon” cyt.: „ […] hakerzy posługujący się wirusem zazwyczaj żądają okupu w bitcoinach, w zamian oferując narzędzie deszyfrujące „Avaddon General Decryptor”. W tym celu stosują strategię „podwójnego wymuszania”. Polega ona na wywarciu presji na ofiarę, aby spełniła stawiane warunki, poprzez groźbę opublikowania pozyskanych danych oraz przeprowadzenie ataku typu DDoS”. Zobacz: Polska na mapie celów globalnej kampanii ransomware.

Futuristic eye close up cybersecurity

– Jednym z najważniejszych elementów zabezpieczania zasobów IT jest ciągły proces aktualizacji systemów, aplikacji oraz firmware. Jako firma, która wykonuje audyty bezpieczeństwa często widujemy zaniedbania w tym obszarze. Niejednokrotnie są to problemy kadrowe – pracy jest zbyt wiele by pamiętać o aktualizacjach lub występują problemy ze znalezieniem okna czasowego na ich wykonanie, ponieważ systemy muszą działać całą dobę – wyjaśnia Dawid Skórka.

Mimo wszystko, organizacje powinny dołożyć wszelkich starań, by systemy posiadały zainstalowane najnowsze poprawki, ponieważ zmniejsza to liczbę potencjalnych luk w zabezpieczeniach, które osoba atakująca może wykorzystać. W przypadku ograniczonych własnych zasobów, warto skorzystać z usług firm zewnętrznych, którym można zlecić cykliczne wykonywanie skanów podatności. Efektem są raporty pokazujące zidentyfikowane podatności i rekomendacje działań pozwalających na ich eliminację.

Startup Business People Working on Laptop

Jednocześnie trzeba pamiętać o realizacji działań edukacyjnych dla kadry nietechnicznej. Szkolenia użytkowników w zakresie identyfikowania i unikania potencjalnych ataków mają kluczowe znaczenie w kontekście ransomware. Wiele obecnych ataków zaczyna się od wiadomości e-mail, która jest ukierunkowana w konkretną firmę lub osobę i zachęca użytkownika do kliknięcia w złośliwy link. Edukacja użytkowników jest często uważana za jeden z najważniejszych mechanizmów obronnych, jakie organizacja może wdrożyć.

strategia

Profesjonalnie budowane bezpieczeństwo zasobów IT obejmuje również opracowanie i testowanie strategii ciągłości działania i odzyskiwania danych. Oznacza to m.in. stworzenie planu obejmującego:

  • Cykliczne tworzenie kopii zapasowych,  najlepiej zgodnie z regułą 3-2-1, czyli kopia w 3 egzemplarzach, na 2 różnych nośnikach, w tym 1 nośnik (kopia zapasowa) przechowywany poza siedzibą organizacji – zobacz na czym polega usługa Disaster Recovery
  • Scenariusza wskazującego kolejność odtwarzania ekosystemu IT organizacji po incydencie, 
  • Cykliczne testowanie planu pod kątem integralności danych oraz czasu jaki jest potrzebny by przywrócić ekosystem IT organizacji do działania. 

Dawid Skórka

kierownik Security Operations Center Grupy 3S

Dawid Skórka

Zobacz profil na Linkedin

Skontaktuj się z nami

Wypełnij formularz a nasz zespół jak najszybciej się z Tobą skontaktuje.

    Ta strona wykorzystuje pliki cookies w celu ulepszenia działania seriwsu