Zabezpiecz się lub płać. Ataki ransomware dotykają coraz większej liczby firm
W ostatnim czasie ofiarą ataku ransomware padł jeden z polskich producentów gier komputerowych. Cyberprzestępcy nie tylko zaszyfrowali cenne pliki, żądając pieniędzy za przywrócenie dostępu do danych, ale też zaszantażowali właścicieli firmy, że jeśli ci nie zapłacą, sprzedadzą cenne kody źródłowe w darknecie. Rozpoczęli nawet aukcję na jednym z rosyjskich forów. Cena wywoławcza? Milion dolarów lub siedem milionów w opcji "kup teraz". Ostatecznie z transakcji się wycofali. Mniej szczęścia miała mieć jedna z największych firm ubezpieczeniowych w USA.
Zdaniem agencji Bloomberg zapłaciła hakerom okup : 40 mln dolarów za odszyfrowanie danych po niedawnym ataku ransomware. CNA Financial oficjalnie nigdy sprawy okupu nie skomentowała.
Nie trzeba jednak sięgać po tak spektakularne przykłady. Któż z nas nie odebrał w ostatnich tygodniach e-maila w stylu "Para z Warszawy zarobiła w weekend 100 tys. dolarów. Sprawdź, jak to zrobili!". W mediach społecznościowych nie brakuje też linków do artykułów z chwytliwymi tytułami, których nie da się przeczytać bez ściągnięcia odpowiedniego oprogramowania lub topowych filmów, których obejrzenie wymaga zainstalowania wskazanego odtwarzacza. Uwaga! Za tym wszystkim kryją się ataki typu ransomware.
Jak wynika z danych Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA), liczba wykrytych incydentów w firmach z wykorzystaniem ransomware wzrosła w 2019 roku o 365 proc. W 2019 roku ransomware był drugim pod względem powszechności cyberzagrożeniem.
Ransomware, to jedno z zagrożeń, które – jak wynika z raportu Agencji Unii Europejskiej ds. Cyberbezpieczeństwa (ENISA) – zyskuje na znaczeniu. I kolejne, które analizujemy wspólnie z ekspertami ds. bezpieczeństwa T-Mobile. W poprzednich odcinkach naszego cyklu pisaliśmy o malware oraz kradzieży tożsamości (LINKI). A już za tydzień szykujemy kolejną porcję informacji, tym razem na temat ataków DDoS.
Uwaga! Ransomware
Ataki z użyciem oprogramowania ransomware są coraz powszechniejsze. Z danych ENISA wynika, że w 2019 roku liczba wykrytych incydentów w firmach wzrosła o 365 proc.
Nie znasz, nie klikaj
Ransomware najczęściej dostarczane jest e-mailem w formie załącznika lub plików, także za pośrednictwem spamu. Ostrożnie trzeba też podchodzić do artykułów z chwytliwymi tytułami w mediach społecznościowych.
Okupy liczone w miliardach
W 2019 roku wysokość okupów wyniosła 10,1 mld euro (o 3,3 mld więcej niż rok wcześniej). 45 proc. zaatakowanych zapłaciło cyberprzestępcom. Pozostali ponieśli straty związanie z usunięciem skutków ataku.
Pamiętaj o zasadach
Chcąc ograniczyć ataki, warto przestrzegać dobrych praktyk. Na dobry początek dobrze jest zadbać o kopie zapasowe, tworzone w myśl zasady 3-2-1 (trzy kopie, dwa formaty, jedna dodatkowa lokalizacja).
Postaw na chmurę
Cloud Security, to nowoczesne rozwiązanie chmurowe, wykorzystujące uczenie maszynowe. Zabezpiecza wszystkie urządzenia firmowe, stacjonarne i mobilne, także w trybie offline.
Wirtualny strażnik
Cyber Guard w sposób automatyczny, wykorzystując algorytmy, analizuje ruch sieciowy pod kątem cyberzagrożeń. Każdego dnia sprawdza miliardy rekordów i wskazuje zainfekowane urządzenia.
Miliardowe straty
Jak działa ransomware? Złośliwe oprogramowanie szyfruje pliki, często usuwając też z komputerów zaatakowanego kopie zapasowe. Mówimy tu o informacjach kluczowych dla prowadzenia danej firmy, ale też funkcjonowania urzędu, szkoły, przychodni, szpitala czy organizacji państwowej. W 2019 roku – jak podaje ENISA – cyberprzestępcy skupiali się na ważnych celach i dużych rynkowych graczach. W wyniku ataku na grupę Premier Family Medical w stanie Utah, wyciekły poufne informacje dotyczące zdrowia ponad 300 tys. pacjentów. Cel ataku? Wyłudzenie pieniędzy. Ofiara ransomware musi się liczyć z żądaniem okupu lub kosztami odbudowy "wziętych w niewolę" danych, jeśli nie zdecyduje się zapłacić przestępcom.
Jak szacuje ENISA, w 2019 roku wysokość okupów wyniosła 10,1 mld euro (o 3,3 mld więcej niż w 2018 roku). 45 proc. zaatakowanych zapłaciło cyberprzestępcom, pozostali ponieśli straty związanie z usunięciem skutków ataku. Koszt naprawy zniszczeń wywołanych przez atak na norweski koncern Norsk Hydro, potentata w produkcji aluminium, wyliczono na 50 mln dolarów.
Z kolei od kalifornijskiego miasta Lodi atakujący zażądali zapłacenia okupu w wysokości 400 tys. dolarów za odblokowanie linii telefonicznych policji, linii alarmowej robót publicznych, numerów urzędu miasta oraz danych dotyczących płatności miejskich i systemów finansowych. Złośliwe oprogramowanie najczęściej dostarczane jest w formie załącznika lub plików pocztą elektroniczną, także za pośrednictwem spamu. Ransomware kryje się też za reklamami internetowymi oraz aplikacjami mobilnymi. Do ataku wykorzystywany jest również zdalny pulpit.
– 90 proc. ataków to socjotechnika, czyli skłonienie odbiorcy do kliknięcia w link, uruchomienia oprogramowania czy otwarcia zainfekowanego dokumentu. Co niepokoi, liczba ataków cały czas rośnie. Nie powinniśmy już pytać, czy atak nastąpi, ale kiedy to się stanie – ostrzega Jakub Cierpka, ekspert ds. bezpieczeństwa w T-Mobile Polska.
Przy ransomware coraz częściej dochodzi też do szantażu: "Jeśli nie zapłacicie, udostępnimy dane zainteresowanym lub je upublicznimy". W przypadku danych osobowych, które podlegają RODO czy bankowych, na straży których stoi KNF, upublicznienie może oznaczać karę dla zaatakowanego za ich nienależyte zabezpieczenie.
– Co do zasady z terrorystami się nie negocjuje. Jeśli ktoś ugnie się przed jednym, za chwilę znajdzie się dziesięciu innych, którzy będą chcieli ugrać to samo i znajdą jeszcze lepszy sposób na to, jak to zrobić, a pozyskane środki pomogą im w wykorzystaniu bardziej wyrafinowanych metod. Natomiast czasami po prostu nie ma wyjścia. Wszystko sprowadza się do tego, jak duże jest ryzyko utraty zaszyfrowanych danych. I co jest tańsze, ich odzyskanie czy może odtworzenie informacji, np. ponowna digitalizacja dokumentów – rozważa Jakub Cierpka. – Dlatego, lepiej dmuchać na zimne, żeby nigdy stawać przed takim wyborem: zabezpiecz się albo płać. Zdecydowanie taniej jest się zabezpieczyć.
Nie nabieraj się na proste triki!
Co powinno wzbudzić naszą czujność? W ostatnim czasie bardzo popularną metodą wykorzystywaną przez atakujących jest tzw. Vishing. Polega ona na zainicjowaniu bezpośredniego kontaktu z użytkownikiem za pośrednictwem rozmowy telefonicznej. Przestępca podaje się np. za pracownika działu technicznego firmy, lub w przypadku osób prywatnych - za pracownika banku, a następnie próbuje nakłonić do uruchomienia aplikacji służącej do zdalnego dostępu do atakowanego systemu (takich jak AnyDesktop, TeamViewer). Równie często wykorzystywane są do ataków publiczne serwery RDP (Remote Desktop Protocol), będące częścią systemu Windows firmy Microsoft, pozwalające na połączenie ze zdalnym komputerem. Jak czytamy w raporcie ENISA, wiele organizacji wciąż realizuje zdalny dostęp za pomocą protokołu RDP, zamiast bezpieczniejszej wirtualnej sieci prywatnej (VPN).
Chcąc ograniczyć ataki, warto przestrzegać dobrych praktyk:
• Pamiętajmy o aktualizowaniu używanego oprogramowania, instalujmy wszystkie dostępne łatki wydane przez producenta.
• Tworząc kopie zapasowe pamiętajmy o zasadzie 3-2-1 (co najmniej trzy kopie w dwóch różnych formatach, w tym jedna w innej lokalizacji). Kopie zapasowe powinny być kopiami typu WORM (Write Once Read Many), aby zapobiec również możliwości ich zaszyfrowania.
• Pomyślmy o polisie ubezpieczeniowej pokrywającej szkody spowodowane atakiem.
• Stosujmy segmentację sieci, szyfrowanie danych, kontrolę dostępu.
• Monitorujmy nasze systemy, co pozwoli szybko wykryć ewentualne infekcje.
• Używajmy odpowiednich, aktualizowanych na bieżąco narzędzi do zapobiegania atakom.
• Ograniczmy do niezbędnego minimum dostęp użytkowników do danych.
• Filtrujmy treści, by pozbyć się niechcianych załączników, wiadomości e-mail ze złośliwą zawartością, spamu i niechcianego ruch sieciowego.
• Kontrolujmy urządzenia zewnętrzne.
• Podnośmy świadomość użytkowników na temat ransomware.
• Podnośmy świadomość użytkowników na temat nie tylko ransomware, ale wszystkich ataków, które mogą doprowadzić do utraty cennych dla nas informacji, również haseł dostępowych do technologii, które pozwalają na dostęp do posiadanych przez nas zasobów finansowych.
– Z punktu widzenia technologicznego mamy narzędzia, którymi możemy się chronić. Mam tu na myśli programy antywirusowe, także bardziej rozbudowane, które analizują atak krok po kroku i – korzystając z uczenia maszynowego oraz na podstawie wcześniejszych działań ransomware – są w stanie zablokować te, które jeszcze są nieznane, ale wykonują podobne czynności – tłumaczy Jakub Cierpka. I dodaje: W bezpieczeństwie teleinformatycznym najsłabszym ogniwem jest człowiek. 90 proc. działań, to uświadamianie użytkowników i powtarzanie: "Nie nabieraj się na proste, socjotechniczne triki".
Bezpieczne rozwiązania od T-Mobile
Swoim klientom biznesowym T-Mobile oferuje także zestaw zaawansowanych narzędzi, pozwalających uniknąć ryzyka ataku. Wśród nich jest Norton Security Online, czyli ochrona w czasie rzeczywistym przed zagrożeniami i atakami z sieci. Niezawodny strażnik podczas surfowania po internecie.
Bardziej zaawansowanym narzędziem jest Cloud Security, nowoczesne rozwiązanie chmurowe, wykorzystujące uczenie maszynowe. Cloud Security zabezpiecza wszystkie urządzenia firmowe, stacjonarne i mobilne, także w trybie offline. Nie ma też znaczenie, gdzie dane urządzenie jest wykorzystywane: w delegacji czy podczas pracy z domu.
W T-Mobile warto również zweryfikować bezpieczeństwo systemów IT wykonując np. testy penetracyjne czy audyty bezpieczeństwa, a dbając o przestrzeganie zasad bezpieczeństwa przez pracowników można zamówić profesjonalne szkolenie z zakresu cyberbezpieczeństwa. Wykwalifikowany zespół Security Operations Center w T-Mobile pracuje w trybie 24/7 monitorując infrastrukturę IT Klienta pod kątem bezpieczeństwa teleinformatycznego. Korzystając z najnowszych rozwiązań, analizuje zdarzenia, wykrywa incydenty związane z cyberbezpieczeństwem i zapobiega im.
Wśród autorskich rozwiązań T-Mobile znajduje się także Cyber Guard. Narzędzie to w sposób automatyczny, wykorzystując algorytmy, analizuje ruch sieciowy pod kątem cyberzagrożeń. Każdego dnia Cyber Guard bierze pod lupę miliardy rekordów i precyzyjnie wskazuje zainfekowane złośliwym oprogramowaniem urządzenia.
Ataki ransomware są nie tylko coraz bardziej powszechne – przypominamy za ENISA o 365-procentowym wzroście w 2019 roku – ale też dotykają coraz większych rynkowych graczy. Równie chętnie cyberprzestępcy sięgają też po DDoS, czyli blokowanie dostępu do usług poprzez sztuczne generowanie wzmożonego ruchu. Te ataki nierzadko są szybkie i bardzo skuteczne. 84 proc. tych przeprowadzonych w 2019 roku trwało mniej niż 10 minut. Szczegóły w kolejnym artykule.