Wzrost znaczenia oprogramowania typu ransomware
Obecnie wiadomości o udanych atakach ransomware nie ustają. Nie ma znaczenia, czy jest to duży amerykański rurociąg, globalnie działający producent i handlarz mięsem, twórcy gier wideo, agencje rządowe lub ministerstwa. Wszędzie są aktywne ataki, a doniesienia o udanych atakach napływają niemal codziennie.
Ale czym w ogóle jest ransomware?
Ransomware to złośliwe oprogramowanie, które szyfruje albo wybrane dane, albo całe systemy, a następnie pozostawia wiadomość z prośbą o zapłacenie okupu przez ofiarę. Często jest on uzależniony od wielkości firmy i zaszyfrowanych danych.
Jednak coraz częściej dochodzi również do eksfiltracji danych. To znaczy kopiowane i pobierane na systemy sprawców. Jest to następnie wykorzystywane do szantażowania ofiary poprzez publikację tych danych.
Ponieważ coraz więcej firm ma funkcjonujące koncepcje backupu, coraz mniej było chętnych do płacenia okupu. Teraz jednak, gdy nagle pojawia się fakt, że ważne wewnętrzne dokumenty mogłyby zostać opublikowane, wiele firm jest gotowych zapłacić okup.
Nie ma jednak pewności, że sprawcy będą trzymać się swoich deklaracji i mimo wszystko nie opublikują danych.
Ważne jest, aby zadbać o to, by tak się nie stało.
Jak można się zabezpieczyć przed ransomware?
- Ochrona antywirusowa na jak największej liczbie systemów. Najlepiej w połączeniu z systemem EDR. Na przykład Fortinet oferuje wysokiej jakości rozwiązanie do ochrony punktów końcowych z funkcją DER z FortiEDR. Dzięki temu ataki są wykrywane na wczesnym etapie, a szkody mogą być nawet odwrócone.
- Zmniejszenie powierzchni ataku; posiadanie przeglądu własnej sieci stało się niemal niemożliwe. Tu właśnie mogą pomóc profesjonalni pentesterzy lub rozwiązania do zarządzania podatnościami. Współpracujemy z niemieckim producentem Greenbone w zakresie skanerów podatności.
- Segmentuj sieci! Mimo, że liczy się do zmniejszenia powierzchni ataku, jest wymieniana osobno. Zdecydowanie zbyt mało firm
- Dzięki zarządzaniu prawami można zapewnić, że nie każdy pracownik pracuje z uprawnieniami lokalnego administratora. Oznacza to, że każde złośliwe oprogramowanie może pracować tylko z takimi prawami, jakie są dostępne. To poważnie ogranicza możliwości działania złośliwego oprogramowania lub wręcz je uniemożliwia, w zależności od złośliwego oprogramowania.
- Uwrażliwienie pracowników. Jest to często niedoceniane. Wszyscy znamy powiedzenie, że łańcuch jest tylko tak silny, jak jego najsłabsze ogniwo. Jeśli pracownik pomyśli dwa razy o otwarciu załącznika tego niespodziewanego maila lub o tym, dlaczego należy aktywować makra w dokumentach Microsoft Office, to już wiele zostało zyskane.
Co zrobić, jeśli jednak do tego dojdzie?
BSI podaje następujące sugestie:
- Nie płacić. Ma to na celu zdemotywowanie sprawców do kontynuowania działalności. Zwłaszcza, że nie ma gwarancji, że otrzymają narzędzie do deszyfrowania i że skradzione dane zostaną zniszczone.
-
Złóż zawiadomienie o popełnieniu przestępstwa na policji. Eksperci kryminalistyczni i śledczy mogą być w stanie uratować dane lub przynajmniej namierzyć sprawców, aby ścigać ich i ostatecznie postawić przed sądem.
Punkt kontaktowy do odpowiedzialnych państwowych biur śledczych można znaleźć na stronie internetowej Alliance for Cyber Security. - Odizolować zaatakowane systemy tak, aby nie mogły zagrozić innym systemom. Pozostawienie tych systemów w stanie zagrożonym do czasu, gdy eksperci kryminalistyczni będą mogli je zbadać w celu zabezpieczenia dowodów i uzyskania informacji o tym, w jaki sposób system został spenetrowany i czy istnieją oznaki, że inne systemy zostały dotknięte.
-
Przywróć kopie zapasowe. Jeśli istnieją bezpieczne kopie zapasowe, które nie zostały naruszone, można je wykorzystać do przywrócenia systemu. W każdym przypadku system powinien zostać całkowicie zrestartowany, a przed przywróceniem kopii zapasowej należy upewnić się, że wszystkie dane w systemie zostały usunięte.
Jeśli w firmie nie ma zespołu ds. bezpieczeństwa IT / zespołu reagowania na awarie komputerowe, BSI może polecić firmy, które mogą zapewnić niezbędne wsparcie.
Jeśli są Państwo zainteresowani zabezpieczeniem sieci firmowej, możemy doradzić. Zapraszamy do kontaktu z nami poprzez e-mail, telefon lub nasz formularz kontaktowy.