Ataki ransomware stały się problemem społecznym
Ransomware, czyli szantaż przez grupy cyberprzestępcze oznacza nie tylko straty materialne firm, które padły ofiarą tego ataku, ale stwarza także zagrożenie dla życia i zdrowia ludzi. Celem stają się nie tylko przedsiębiorstwa, ale obiekty użyteczności publicznej, w tym urzędy, szkoły, uczelnie, jak również szpitale i przychodnie. Grupy posługujące się oprogramowaniem ransomware uniemożliwiają działanie systemów informatycznych tych instytucji do czasu zapłacenia okupu. Do koalicji Ransomware Task Force (RTF) walczącej z tą współczesną plagą dołączają nowe firmy i instytucje, w tym Microsoft, Amazon, CISA, FBI i brytyjska National Crime Agency1.
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
W momencie powstawania tego artykułu lista instytucji należących do koalicji RTF obejmuje już 482 organizacji z całego świata. Globalna koalicja firm technologicznych i organów ścigania wzywa do „energicznych i pilnych” działań przeciwko grupom posługującym się oprogramowaniem ransomware. RTF w kwietniu przedstawiło swój raport administracji prezydenta Bidena. Współprzewodnicząca RTF, Jen Ellis wypowiadając się o celach koalicji podkreśla, że „stawką jest coś więcej niż tylko pieniądze” i twierdzi, że w ciągu zaledwie kilku lat „oprogramowanie ransomware stało się poważnym zagrożeniem dla bezpieczeństwa narodowego oraz zagrożeniem dla zdrowia i bezpieczeństwa publicznego”. Przykładem dobitnie świadczącym o tym, że słowa te znajdują potwierdzenie w faktach jest mający miejsce w maju b.r. atak na publiczny system opieki zdrowotnej w Irlandii3. Wpłynął on na działanie wszystkich systemów informatycznych, świadczących podstawowe usługi medyczne. Kolejny z ataków tych samych sprawców wymierzony był w Irlandzkie Ministerstwo Zdrowia (DoH), jednak udało się go powstrzymać4.
Jen Ellis, mówiąc o zagrożeniu, jakie niesie ransomware, podkreśla, że „ma ono ogromny wpływ na gospodarkę i możliwość dostępu zwykłych ludzi do kluczowych usług”. „Co budzi szczególny niepokój to fakt, że fundusze pochodzące z zapłaconego okupu finansują inne formy przestępczości zorganizowanej, takie jak handel ludźmi i wykorzystywanie dzieci” – dodaje Ellis.
Doxing i wycieki danych
Od 2020 grupy przestępcze zajmujące się ransomware zaczęły stosować nie tylko szyfrowanie danych uniemożliwiające korzystanie z systemów informatycznych, ale kradnąc informacje grożą ich upublicznieniem lub sprzedażą. Doxing (lub doxxing) to działanie polegające na publicznym ujawnianiu prywatnych danych osobowych osoby lub organizacji, zwykle za pośrednictwem Internetu. W maju 2021 badacz zabezpieczeń sieci znany jako DarkTracer, opublikował informacje dotyczące wycieku danych wskutek ransomware z trzydziestu czterech źródeł i opublikował zbiorczy raport5 na ten temat. Wynika z niego, że wyciek powiązany z ransomware miał już miejsce w 2103 organizacjach. Spośród 34 grup zajmujących się ransomware, śledzonych przez DarkTracera, pięć największych to Conti (338 wycieków, w tym atak na służbę zdrowia w Irlandii nie ujęty jeszcze w tych statystykach), Sodinokibi/REvil (222 wycieki), DoppelPaymer (200 wycieków), Avaddon (123 wycieki) i Pysa (103 wycieki).
Warto podkreślić, że w takim przypadku, zapłacenie okupu przestępcom jeszcze bardziej mija się z celem, niż w przypadku szyfrowania zawartości dysków, ponieważ do ukradzionych danych ma dostęp wiele osób, także spoza grupy, która dokonała ataku. Tym bardziej nie ma zatem gwarancji, że przestępcy po zapłaceniu haraczu przez ofiarę skutecznie zniszczą wszystkie posiadane kopie danych.
Najnowszy raport grupy Coveware, specjalizującej się w problemach ransomware, opisuje sytuację w pierwszym kwartale 20216. Grupy przestępcze zajmujące się rozwijaniem RaaS (Ransomware as service) skupiły się na opracowywaniu modułów szyfrujących dane szantażowanych użytkowników, przeznaczonych dla systemów Unix i Linux. Błędy we wcześniejszych wersjach nie tyle utrudniały przestępcom szkodliwe działanie, co sprawiały, że błędnie zaszyfrowanych danych nie dało się już odzyskać, nawet po wpłaceniu okupu przez ofiarę.
Zagrożenie dotyczy także polskich przedsiębiorstw
W pierwszym kwartale 2021 średnia płatność okupu, jakiego żądają atakujący wzrosła o 43%, do około 220 tys. USD. Analitycy Coveware zauważają, że wartość ta, jak i mediana, uległy zwiększeniu za sprawą nielicznych grup przestępczych, w szczególności grupy CL0P, który stał się w ostatnim czasie bardzo aktywna. Przestępcy ci uznali, że stosując techniki eksfiltracji danych (ang. data exfiltration) czyli pozyskiwania kradzionych informacji, mogą żądać od ofiary większej kwoty, bo oprócz utraty danych zagrożeniem jest także ich upublicznienie. Atak ransomware w Polsce, w którym miało dojść do wycieku danych, dotyczy przypadku firmy PEKAES7 opisywanego przez serwis Sekurak, za którym prawdopodobnie stała grupa przestępcza DarkSide, przechowująca dane z wycieku w Iranie.
Coveware podaje, że w pierwszym kwartale 2021 już 77% ataków ransomware wiązało się z zagrożeniem wyciekiem danych, co oznacza wzrost o 10% w porównaniu do Q4 2020 r. Część skradzionych informacji zazwyczaj ujawniana jest publicznie oraz ma stanowić dowód na to, że atak był skuteczny i skończył się nie tylko zaszyfrowaniem, ale także wykradzeniem danych. „Próbka” z wycieku ma zmotywować szantażowanych do zapłacenia okupu. Jednak grupa CL0P w ostatnich kilku miesiącach obrała nieco inną strategię. Przestępcy wykorzystali podatności w wykorzystywanym przez duże przedsiębiorstwa systemie Accellion FTA8. Nie mając możliwości zaszyfrowania danych ofiary tą metodą, CL0P jedynie kradło dane i szantażowało ofiary ich upublicznieniem, co w niektórych przypadkach okazało się skuteczne.
Techniki ataku z wykorzystaniem metod doxing, czyli ujawniania skradzionych danych, przynoszą przestępcom najwięcej korzyści. Plaga dotknęła w pierwszej kolejności instytucje w Stanach Zjednoczonych, ale zaraz potem ofiarami stały się firmy z Wielkiej Brytanii, Kanady, Francji i Niemiec. Z danych Coveware9 wynika, że w przypadku najaktywniejszej w ostatnim czasie grupy stosującej te metody ataku, czyli CL0P aż 43% ofiar pochodziło z kraju będącego sąsiadem Polski – z Niemiec, a jedynie 28,6% ze Stanów Zjednoczonych. Stosowane przez grupę oprogramowanie ransomware zawiera różne funkcje, które pozwalają uniknąć wykrycia. Obserwowane próbki CL0P-a usiłują unieruchomić procesy i usługi odpowiedzialne za tworzenie kopii zapasowych oraz blokować systemy zabezpieczające firmę przed atakami10.
Według odnoszącego się do naszego kraju badania firmy Sophos „State of Ransomware 2021” atak ransomware kosztuje polską firmę średnio 1,5 mln zł11. Zgodnie z wynikami analiz 46% polskich średnich i dużych firm w wyniku ataku ransomware straciła od 50 do nawet 254 tys. zł, 31% poniosło koszty między 2,5 a 5 mln zł. Koszty te związane były m.in. z przestojami w działalności, utraconymi korzyściami, kosztami operacyjnymi oraz karami.
Jak się bronić przed ransomware?
Jeszcze rok temu odpowiedzielibyśmy, że podstawą ochrony firmy przed skutkami ataku ransomware jest skuteczny backup przechowywanych danych. Obecnie, ze względu na zmianę metod stosowanych przez szantażystów jest to jednak zdecydowanie niewystarczające, ponieważ „postawienie” systemów od nowa wraz z zachowanymi danymi nie chroni przed ich wyciekiem. Przedsiębiorstwa muszą jeszcze bardziej uszczelnić swoje zasoby informacyjne i w sposób stały, systemowy zabezpieczać się przed cyberatakiem.
Do zagrożenia, jakie niesie ze sobą ransomware, należy podejść w sposób kompleksowy. Działania ze strony przedsiębiorstwa powinny mieć jak najszerszy zasięg, począwszy od testów socjotechnicznych (podatności użytkowników), poprzez analizy środowiska IT poprzez pentesty, wdrożenia metod i technik ochrony łatających „dziury” w infrastrukturze przedsiębiorstwa, po zastosowanie odpowiednich, właściwych technologii dla organizacji. Każdy z tych elementów może być wdrażany etapowo, stopniowo zwiększając poziom zabezpieczeń lub kompleksowo.
Opisane metody ochrony dostarcza T-Mobile. Operator oferuje stały monitoring zespołów bezpieczeństwa Security Operations Center (SOC) we własnych DC przez 24 godziny na dobę wykrywając i reagując na zagrożenia non stop. Usługi oferowane w ramach SOC pozwalają ekspertom od bezpieczeństwa „połączyć kropki” uwzględniając korelacje zdarzeń i alarmów mogących wskazywać na ransomware, co pozwoli uchronić organizację przed skutkami ataku.
W obecnych czasach sam backup niestety nie jest wystarczającą metodą ochrony. Weryfikację zabezpieczeń organizacji, na przykład poprzez regularne pentesty, należy przeprowadzać cyklicznie, bo zmienia się zarówno technologia IT, sama organizacja, jak i jej otoczenie. Cały czas pojawiają się nowe zagrożenia, które należy brać pod uwagę. Zespół przeprowadzający audyt i pentesty musi posługiwać się najnowszą metodologią i technologiami, którymi posługują się przestępcy. Takim warsztatem i kompetencjami legitymują się najbardziej znane podmioty na rynku audytu i pentestów, m.in. T‑Mobile.
Podsumowanie
Przypomnijmy najważniejsze informacje dotyczące ataków ransomware w ostatnim roku:
- Utworzona została koalicja Ransomware Task Force (RTF), do której dołączają nowe firmy i instytucje, w tym Microsoft, Amazon, CISA, FBI i National Crime Agency.
- W połączeniu z ransomware stosowany jest coraz częściej doxing, polegający na publicznym ujawnianiu prywatnych danych osobowych osoby lub organizacji, zwykle za pośrednictwem Internetu
- Techniki ataku z wykorzystaniem metod doxing przynoszą przestępcom najwięcej korzyści. Z danych Covewarewynika, że w przypadku najaktywniejszej w ostatnim czasie grupy stosującej te metody ataku, czyli CL0P aż 43% ofiar pochodziło z kraju będącego sąsiadem Polski – z Niemiec.
- Coveware podaje, że w pierwszym kwartale 2021 już 77% ataków ransomware wiązało się z zagrożeniem wyciekiem danych, co oznacza wzrost o 10% w porównaniu do Q4 2020.
- Według odnoszącego się do naszego kraju badania firmy Sophos „State of Ransomware 2021” atak ransomware kosztuje polską firmę średnio 1,5 mln zł.
- Sam backup przestał być wystarczającą metodą ochrony.
- Do zagrożenia, jakie niesie ze sobą ransomware, należy podejść w sposób kompleksowy. Działania ze strony przedsiębiorstwa powinny mieć jak najszerszy zasięg, począwszy od testów socjotechnicznych poprzez analizy środowiska IT poprzez pentesty, wdrożenia metod i technik ochrony łatających „dziury” w infrastrukturze przedsiębiorstwa, po zastosowanie odpowiednich, właściwych technologii dla organizacji. Każdy z tych elementów może być wdrażany etapowo, stopniowo zwiększając poziom zabezpieczeń lub kompleksowo.
- Opisane metody ochrony dostarcza T-Mobile. Operator oferuje stały monitoring zespołów bezpieczeństwa Security Operations Center (SOC) we własnych DC przez 24 godziny na dobę.
1https://www.bbc.com/news/technology-56933733
2https://securityandtechnology.org/ransomwaretaskforce/
3https://www.computerworld.pl/news/Hakerzy-zaatakowali-irlandzki-system-opieki-zdrowotnej,427874.html
4https://sekurak.pl/ransomware-probowalo-zaszyfrowac-dane-irlandzkiego-ministerstwa-zdrowia/
5 https://drive.google.com/file/d/1MI8Z2tBhmqQ5X8Wf_ozv3dVjz5sJOs-3/view
6https://www.coveware.com/blog/ransomware-attack-vectors-shift-as-new-software-vulnerability-exploits-abound
7https://sekurak.pl/operatorzy-ransomware-darkside-publikujemy-65gb-danych-z-wlamania-do-firmy-pekaes/
8https://www.fireeye.com/blog/threat-research/2021/02/accellion-fta-exploited-for-data-theft-and-extortion.html
9https://www.coveware.com/blog/2021/2/18/q4-doxxing-victim-trends-industrial-sector-emerges-as-primary-ransom
10https://unit42.paloaltonetworks.com/clop-ransomware/
11https://www.rp.pl/FIRMA-Biznes/305109981-Ransomware–ataki-kosztuja-polskie-firmy-coraz-wiecej.html
Data publikacji: 23.06.2021