RANSOMWARE – JAK SIĘ ZACHOWAĆ GDY ZOSTANIEMY ZAATAKOWANI I JAK SIĘ ZABEZPIECZYĆ ABY ZACHOWAĆ CIĄGŁOŚĆ PROCESÓW BIZNESOWYCH

30.12.2024

Czym jest atak ransomware?

 

Na początku wydawało się, że to coś z siecią. Potem jednak okazało się, że nie tylko z siecią, ale w ogóle ze wszystkim. I nie tylko na jednym komputerze, ale na wszystkich nic nie działa! 

Tak mniej więcej wyglądają objawy ataku ransomware. Później prawdopodobnie pojawi się żądanie okupu. Mogą to być duże kwoty w bezpiecznych dla hackerów kryptowalutach. 

Prawdopodobny scenariusz ataku jest następujący: 

  1. Infekcja,
  2. Rekonesans i wykradanie danych,
  3. Szyfrowanie i żądanie okupu.

 

Atak ransomware jest szokiem dla ludzi i organizacji. Pojawia się panika i powoli uświadamiamy sobie co się stało i jakie są tego konsekwencje. Powstaje też pytanie co robić dalej?! 

Pierwszy i bardzo dotkliwy efekt ataku jest taki, że przedsiębiorstwo nie może działać. Nie da się nic (w obecnych czasach w większości przypadków dosłownie nic) robić podobnie jak w przypadku braku energii elektrycznej w biurze lub na hali produkcyjnej, z tą różnicą, że zasilanie w pewnej chwili wraca, a dane niestety nie pojawią się ponownie, a  oprogramowanie nie zacznie działać jak poprzednio. 

Atak ma również zły wpływ na morale i motywację pracowników, oraz na reputację u kooperantów. W tym przypadku osoby zarządzające muszą pokazać, że mają plan zażegnania kryzysu, a kontakty z firmą nie stanowią zagrożenia dla otoczenia biznesowego. 

Kolejną konsekwencją ataku ransomware jest prawdopodobieństwo wycieku danych. To istotne zagrożenie dla firmy, jej pracowników i kooperantów. Jeśli atakujący uzna, że znajdą się kupcy skradzionych informacji (mogą to być dane osobowe, tabele wynagrodzeń, numery PESEL, hasła, dane stanowiące tajemnicę handlową, tajemnice przedsiębiorstwa i wiele innych). 

Powyższy opis jest tylko jednym ze scenariuszy. Atak może dotyczyć również wyłączenia procesów produkcyjnych w hucie, uniemożliwienia funkcjonowania komunikacji kolejowej, zatrzymania funkcjonowania platformy e-commerce lub uniemożliwienie leczenia w dużym szpitalu. Celem ataku ransomware jest, jak nazwa wskazuje, uzyskanie okupu za przywrócenie dostępu do danych lub ponowne uruchomienie procesów w przedsiębiorstwie lub organizacji. Zatem im większe są koszty finansowe lub społecznie, tym większego okupu mogą zażądać atakujący.

 

Kto może paść ofiarą ataków ransomware?

 

Wszyscy, także Ty, ale im większa dotkliwość przestoju, tym prawdopodobieństwo ataku jest większe. Najczęściej jednak cyberprzestępcy nie wybierają ofiar, ponieważ chcą uderzyć w możliwie jak największą liczbę użytkowników, po to aby uzyskać największy zarobek. 

Odnotowano przypadki działania ransomware w biurach rachunkowych, kancelariach prawnych, firmach konsultingowych, w przemyśle motoryzacyjnym, spożywczym i farmaceutycznym, służbie zdrowia, logistyce, transporcie, energetyce, przemyśle wydobywczym, bankowości, energetyce. Jak widać paleta zainteresowań cyber-przestępców jest szeroka. Trzeba też dodać, że niemożliwe jest zabezpieczenie się przed atakiem i jego skutkami w 100%. Należy natomiast podjąć działania by maksymalnie ograniczyć prawdopodobieństwo powodzenia ataku i zapewnić możliwość szybkiego przywrócenia działania systemów, jeśli jednak atak zakończył się powodzeniem.

CZYTAJ TAKŻE  Audyty KRI

Wg artykułu na stronach Rządowego Centrum Bezpieczeństwa ofiarami padają nawet duże firmy:

  • Garmin – malware WastedLocker, potwierdzone zapłacenie 10 mln dolarów okupu,
  • Banco Estado Chile – malware Sodinokibi,
  • Canon USA – malware Maze,
  • Orange S.A. – malware Nefilim,
  • The Volksvagen Group – malware Conti.

 

Jakimi metodami posługują się atakujący?

 

Metod ataków jest wiele i są nieustannie udoskonalane. Wśród nich można wymienić: 

  • Zainfekowane załączniki i pliki – załączniki w e-mailach, pliki na dyskach USB lub linki do pobrania, 
  • Ataki na infrastrukturę IT/OT – wykorzystanie luk w systemy operacyjnych linii produkcyjnych lub kontrolerów SCADA, 
  • Podszywanie się pod legalne aktualizacje – ransomware udaje legalne aktualizacje oprogramowania lub sterowników, 
  • Phishing i socjotechnika – złośliwe e-maile zawierające załączniki lub linki prowadzące do złośliwych stron internetowych, 
  • Eksploatacja luk w oprogramowaniu – wykorzystanie znanych lub dotychczas nieodkrytych  podatności systemów operacyjnych lub aplikacji, 
  • Ataki przez dostawców usług – użycie oprogramowania kopperanta lub firmy współpracującej, 
  • Przechwycenie poświadczeń administracyjnych – na przykład dzięki słabym hasłom administratorów systemów lub pozostawione zalogowane sesje dostępu zdalnego. 
  • Ataki na zdalne protokoły (RDP) – wykorzystanie niezabezpieczonych należycie zdalnych pulpitów, 
  • Ataki na sieciowe urządzenia i serwery, 
  • Wstrzykiwanie ransomware przez złośliwe reklamy (malvertising) 

Jak widać metod ataków i zagrożeń jest wiele i jest na co uważać. Dlatego warto wykorzystać kompetencje doświadczonych firm zewnętrznych lub skorzystać z wiedzy własnych działów IT. 

Ja zachować się po ataku ransomware i czy należy zapłacić okup?

Niestety nie ma gwarancji odszyfrowania plików po zapłaceniu okupu. Powodem mogą być błędy w oprogramowaniu deszyfrującym lub w ogóle brak zamiaru umożliwienia odszyfrowania danych przez atakujących. Dodatkowo, zapłacenie okupu utwierdza przestępców w przekonaniu, że ich działalność jest dochodowa lub zrealizowali swoje cele. Można również powiedzieć, że płacąc okup finansujemy dalszą działalność cyberprzestępców, którzy doskonalą swoje narzędzia co oznacza większą liczbę infekcji. 

Ale są również dobre wieści, ponieważ zdarza się czasem, że część danych można odzyskać wykorzystując publicznie dostępne klucze deszyfrujące. Istnieje również szansa, że z uwagi na specyfikę niektórych typów oprogramowania ransomware niektóre dane można odzyskać nawet bez dostępu do klucza deszyfrującego. 

CZYTAJ TAKŻE  Wdrożenia sieci bezprzewodowych

Niezależnie od wszystkiego należy działać bardzo szybko, aby uniemożliwić dalszy dostęp hackerów do systemów IT oraz jeśli to jeszcze możliwe powstrzymać proces szyfrowania danych. Polecane działania zostały wyszczególnione poniżej: 

  • Izolacja zainfekowanych systemów: Pierwszym krokiem powinno być odizolowanie zainfekowanych systemów od sieci, aby zapobiec dalszemu rozprzestrzenianiu się ransomware. 
  • Identyfikacja i usunięcie zagrożenia: Użycie narzędzi do skanowania i usuwania ransomware, takich jak Malwarebytes, aby usunąć aktywne zagrożenie z systemu. 
  • Próba deszyfrowania plików: Sprawdzenie dostępnych narzędzi deszyfrujące na stronach takich jak No More Ransom, aby zobaczyć, czy istnieje możliwość odzyskania zaszyfrowanych danych. 
  • Przywrócenie systemu z backupu: Jeśli deszyfrowanie nie jest możliwe, najlepiej jest przywrócić system z wcześniejszego backupu, o ile taki jest dostępny. 
  • Analiza i zabezpieczenie systemu: Użycie narzędzi analitycznych, aby zrozumieć, jak doszło do ataku i wprowadzenie dodatkowych zabezpieczenia, które zapobiegną przyszłym incydentom. 

W przedsiębiorstwie lub organizacji powinien istnieć gotowy plan co robić i jak się zachować gdy zagrożona lub uniemożliwiona jest ciągłość działania. Plan taki nazywany jest Planem Ciągłości Działania (Business Continuity Plan – BCP) a jego treść i zakres wynika z analizy tego co jest najbardziej bolesne dla procesów biznesowych i jakie konkretnie ryzyka wpływają na te procesy. Przykładem analizy wpływu na działalność (Business Impact Analisys – BIA) jest ocena wpływu niedostępności systemu finansowego na zdolność firmy do realizacji płatności. Z kolei analiza ryzyka (Risk Assesment – RA) to ocena ryzyka awarii serwera krytycznego dla realizacji płatności w wyniku ataku ransomware. 

Krótko mówiąc powinniśmy zawczasu wiedzieć czego się najbardziej boimy, kiedy to może zagrożenie wystąpić i jak temu zapobiec. 

Jakie działania formalne należy podjąć?

Atak nakłada również na zarządzających określone obowiązki formalne. Będą to: 

  • Zgłoszenie incydentu do Prezesa UODO (Urzędu Ochrony Danych Osobowych) – należy to zrobić w ciągu 72 godzin od wykrycia incydentu. 
  • Powiadomienie osób, których dane wyciekły (pracowników i innych osób). 
  • Zgłoszenie incydentu do Zespółu Reagowania na Incydenty Bezpieczeństwa Komputerowego (CSIRT) NASK. 
  • Zgłoszenie przestępstwa do prokuratury lub na policję. 
  • Może również wystąpić obowiązek informowania akcjonariuszy lub partnerów biznesowych (większe podmioty i spółki giełdowe). 
  • Już w czasie usuwania skutków ataku warto na bieżąco tworzyć raport o incydencie (na potrzeby wewnętrzne i dla przyszłych audytów) oraz tworzyć wytyczne do aktualizacji procedur zarządzania ryzykiem i polityk bezpieczeństwa. 

W Polsce obowiązki formalne w przypadku ataku ransomware obejmują zgłoszenia do UODO, CSIRT NASK oraz organów ścigania, jeśli dotyczy to danych osobowych, systemów krytycznych lub innych zasobów podlegających przepisom prawa. Szybkie działanie i dokumentacja incydentu są niezbędne by spełnić wymagania prawne oraz zminimalizować ryzyko sankcji (wysokich kar finansowych). 

CZYTAJ TAKŻE  LunaNet - usługi sieciowe na Księżycu

Jak zapobiec atakom ransomware?

Istnieje szereg sposobów, które pomogą znacznie obniżyć podatność systemów IT na ransoware. 

Wśród nich należy wymienić: 

  • Kopie zapasowe (backup) – najlepiej wiele kopii na różnych nośnikach, 
  • Regularne skanowanie i usuwanie podatności na cyberataki – aktualizacje oprogramowania i konieczne rekonfiguracje, 
  • Segmentacja sieci – ograniczenie możliwości rozprzestrzeniania się ransomware po sieci firmowej, 
  • Instalacja sprawdzonego oprogramowania antywirusowego posiadającego opcję zapobiegania atakom ransoware (zabezpiecznie punktów końcowych), 
  • Okresowe szkolenia pracowników dostarczające wiedzę o aktualnych zagrożeniach i sposobach ich unikania, 
  • Instalacja sprawdzonych ścian ogniowych na brzegu sieci (firewall), które blokują cyberprzestępcom dostęp do systemów IT z zewnątrz, 
  • Zabezpieczenie dostępu zdalnego na przykład poprzez uruchomienie wieloskładnikowej autentykacji (jak w systemach bankowości elektronicznej), 
  • Monitorowanie i wykrywanie zagrożeń – istnieją systemy, które pozwalają na wykrycie ataków na wczesnym etapie, 
  • Właściwa polityka udzielania uprawnień do plików i systemów – przydzielanie użytkownikom wyłącznie tych uprawnień, które są niezbędne do realizacji ich zadań, 
  • Planowanie i testowanie reakcji na incydenty. 

W tym miejscu należy wspomnieć, że dodatkowym zabezpieczeniem dla firmy lub organizacji może być ubezpieczenie od ryzyk cybernetycznych i związanych z RODO oferowanych przez niektóre firmy ubezpieczeniowe. 

Podsumowanie

Jak opisano powyżej ataki hackerskie się zdarzają nawet w firmach przykładających wagę do zagadnień bezpieczeństwa IT, i nie sposób zabezpieczyć się przed nimi w 100%. Ochrona przed cyber-zagrożeniami jest procesem ciągłym, tak jak w sposób ciągły udoskonalane są metody atakujących. Możemy jednak zmniejszać szanse powodzenia ataku i minimalizować jego skutki.

Najlepiej nie być ofiarą , jednak nawet jeżeli tak się zdarzy pamiętajmy, że nie wszystko jest stracone, i zależności od tego czy i ile użytecznych kopii danych posiadamy, możemy przywrócić funkcjonowanie naszych systemów. Mamy również szansę odszyfrować część lub wszystkie zgromadzone dane.

Mamy nadzieję, że nasz wpis pomoże Wam wybrać sposoby jak uodpornić się na ataki ransomware, a w razie zagrożenia podpowie jakie działania należy podjąć. W jednym i w drugim przypadku zapraszamy do kontaktu z nami.  Pomożemy.

Przeczytaj także:

  1. Czy pacjenci mogą czuć się bezpiecznie? Systemy IT w służbie zdrowia celem ataków cyber-przestępców.
  2. Robi się ciekawie: Brocade Communications – kolejny silny gracz na rynku rozwiązań sieciowych?
  3. Email is not enough czyli nowoczesne narzędzia pracy grupowej …
  4. LunaNet – usługi sieciowe na Księżycu
  5. Od zainfekowanej witryny do poważnego incydentu bezpieczeństwa – studium przypadku
  6. Warsztat „EMC Avamar – rozwiązanie backupu stacji roboczych i serwerów jako dodatkowe zabezpieczenie przed atakami ransomware”.