Z dnia na dzień dowiadujemy się o kolejnych firmach dotkniętych atakiem typu ransomware. Nagłe zwiększenie częstotliwości tej formy cyberataku budzi uzasadniony niepokój w wielu organizacjach i wśród użytkowników. Warto jednak wiedzieć, że dzięki odpowiednim przygotowaniom można znacznie zmniejszyć ryzyko potencjalnego ataku oraz ograniczyć ewentualne szkody, jakie mógłby on wywołać.
Czym jest ransomware?
Ransomware to forma złośliwego oprogramowania, które infekując urządzenia, sieci i centra danych, sprawia że dostęp do danych staje się niemożliwy do czasu, kiedy użytkownik lub organizacja nie zapłaci okupu.
Skala strat w wyniku działania ransomware jest trudna do oszacowania, ponieważ wiele organizacji decyduje się na odpłatne odblokowywanie dostępu do swoich plików - należy jednak pamiętać, że rozwiązanie to nie zawsze działa i bywa tak, że pomimo opłaty haraczu dane pozostają nadal zaszyfrowane. Autorzy raportu w sprawie kampanii Ransomware Cryptowall v3 wydanego w październiku 2015 roku przez Cyber Threat Alliance oszacowali, że koszt tego jednego ataku był równy 325 milionom dolarów.
Ransomware działa na jeden z kilku typowych sposobów. CryptoLocker uniemożliwia korzystanie z systemu operacyjnego. Inny ransomware zaszyfruje dysk, zestaw plików lub ich nazwy. Niektóre złośliwe wersje wyposażono w zaprogramowany timer, zgodnie z którym zaczynają usuwać pliki do momentu, aż zostanie opłacony okup. Jednak wszystkie rodzaje ransomware łączy jedno - żądanie okupu w celu odblokowania lub odszyfrowania systemu, plików lub danych.
Jeśli na ekranie urządzenia pojawiają się poniższe komunikaty lub podobne, mogło ono zostać zainfekowane oprogramowaniem ransomware:
• Twój komputer został zainfekowany wirusem. Kliknij tutaj, aby rozwiązać problem
• Twój komputer był wykorzystywany do odwiedzania stron z nielegalną treścią, aby odblokować komputer wpłać 100 USD grzywny
• Wszystkie pliki na Twoim komputerze zostały zaszyfrowane. Zapłać okup w przeciągu 72 godzin, aby odzyskać dostęp do swoich danych
W pewnych okolicznościach ostrzeżenie tekstowe jest wyświetlane wraz z niezręcznymi obrazami w celu zachęcenia użytkownika do jak najszybszego pozbycia się go z systemu.
Jak dochodzi do ataku?
Ransomware może być przemycany na wiele różnych sposobów, ale najczęstszym wektorem ataku są pliki dołączone do poczty elektronicznej. Innym popularnym sposobem na zainfekowanie kodem ransomware jest metoda „drive-by”, która skutkuje niepostrzeżonym zainstalowaniem szkodliwego oprogramowania podczas wizyty na zarażonej stronie internetowej.
Ransomware bywa również rozprzestrzeniany poprzez media społecznościowe, wykorzystując między innymi aplikacje komunikatorów. Ostatnio przestępcy zaczęli również wykorzystywać podatne serwery WWW jako punkt wyjścia do infekcji sieci firmowej.
Jak się uchronić?
Oto 10 rzeczy, które powinieneś zrobić, aby chronić siebie oraz swoją organizację przed ransomware:
1. Opracuj plan kopii zapasowych i odzyskiwania. Regularnie twórz kopie zapasowe systemów oraz przechowuj je na osobnym urządzeniu w trybie offline
2. Korzystaj z profesjonalnych zabezpieczeń internetowych oraz narzędzi pozwalających skanować zawartość e-maili, stron czy plików w poszukiwaniu szkodliwego oprogramowania. Istotne jest również blokowanie potencjalnie niebezpiecznych reklam i witryn mediów społecznościowych, które nie mają znaczenia biznesowego. Narzędzia te powinny być wyposażone w funkcję piaskownicy (sandbox), dzięki czemu nowe lub nierozpoznane pliki mogą być analizowane i uruchamiane w bezpieczny sposób
3. Aktualizuj swoje systemy operacyjne, urządzenia oraz oprogramowanie
4. Upewnij się, że Twój antywirus, IPS i antymalware są uaktualnione do najnowszej wersji
5. Jeśli to możliwe, korzystaj z białej listy, która zapobiega pobieraniu i uruchamianiu nieautoryzowanych aplikacji
6. Podziel swoją sieć na strefy bezpieczeństwa, zapobiegając tym samym rozprzestrzenianiu się potencjalnej infekcji
7. Nadaj użytkownikom indywidualne prawa dostępu tak, aby potencjalnie jak najmniejsza ich liczba była w stanie zarazić dane, usługi czy aplikacje o krytycznym znaczeniu
8. Wdróż rozwiązanie bezpieczeństwa BYOD odpowiedzialne za inspekcje i blokowanie urządzeń nie spełniających wymogów bezpieczeństwa (brak zainstalowanego klienta antymalware’owego, nieaktualna baza antywirusa lub brak kluczowych łatek w systemie operacyjnym)
9. Korzystaj z narzędzi analitycznych, dzięki którym po ataku można określić:
a) skąd pochodzi infekcja,
b) jak długo była w danym środowisku,
c) czy została usuniętą ze wszystkich urządzeń,
d) czy infekcja nie powróci.
10. Uświadamiaj pracowników w kwestiach bezpieczeństwa. Poinstruuj użytkowników, aby w e-mailach nie klikali w nieznane załączniki i linki oraz nie pobierali plików niewiadomego pochodzenia. To człowiek jest najsłabszym ogniwem łańcucha bezpieczeństwa i to na nim należy skupić uwagę, jeśli chodzi o przedsięwzięcie odpowiednich środków.
