Płacić okup czy nie płacić – oto jest pytanie
Poniedziałek rano, godzina 9, początek kolejnego tygodnia pracy. Pracownicy zasiadają do komputerów, gdy nagle okazuje się, że kluczowe firmowe systemy oraz stacje robocze pracowników właśnie zostały zaszyfrowane. Stoi produkcja, stoi sprzedaż, stoi obsługa klienta – cała firma zostaje unieruchomiona przez atak złośliwego oprogramowania. Napastnik zostawił po sobie żądanie okupu – za kilkadziesiąt tysięcy euro, przesłane w formie anonimowej kryptowaluty, przekaże narzędzia umożliwiające odzyskanie danych. Kierownictwo firmy staje przed trudną decyzją – płacić czy nie płacić? Przyjrzyjmy się temu problemowi.
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Gdy nie ma kopii bezpieczeństwa
Oczywiście w świecie idealnym dział IT przedsiębiorstwa potwierdza posiadanie kopii bezpieczeństwa , scenariusze odtwarzania są regularnie testowane i wiadomo, że w ciągu 48 godzin firma będzie mogła podjąć normalną działalność. Rzeczywistość pokazuje jednak, że świat czasem bywa daleki od idealnego, kopie są w najlepszym wypadku sprzed miesiąca, części nie można znaleźć, a klienci dzwonią i pytają, co z ich zamówieniami. Co robić w takiej sytuacji?
Po pierwsze – kontakt ze specjalistami
Przy podejmowaniu decyzji istotne jest ich oparcie na zweryfikowanym stanie faktycznym, zatem najważniejsze jest rozpoczęcie od rzetelnej oceny sytuacji. Eksperci zajmujący się reagowaniem na incydenty i odzyskiwaniem danych będą w stanie stwierdzić, czy informacje zostały faktycznie zaszyfrowane i czy istnieje prosty sposób na ich odzyskanie (np. z kopii plików tworzonych automatycznie w systemie Windows). Fachowcy powinni także pomóc w identyfikacji rodzaju złośliwego oprogramowania, które zostało użyte podczas ataku hackerskiego. Jest to niezbędny krok w procesie, ponieważ na rynku istnieją setki różnych rodzajów ransomware.
Gdy wiadomo już, że dane zostały skutecznie zaszyfrowane, nie odnaleziono żadnych użytecznych kopii bezpieczeństwa a w sieci do tej pory nie opublikowano narzędzi umożliwiających darmowe odzyskanie utraconych informacji, czas zastanowić się nad wyborem dalszego sposobu postępowania. Możliwości jest kilka.
Po drugie – analiza kosztów, priorytetów i ryzyka
Na tym etapie w podejmowaniu decyzji istotną rolę grają takie czynniki jak istotność utraconych danych, możliwość, czas i koszt ich odtworzenia oraz zasady etyczne, jakimi kieruje się organizacja. Są firmy, które twardo trzymają się reguły mówiącej, że nigdy nie zapłacą okupu. Taką postawę należy pochwalić, ponieważ przekazywanie pieniędzy atakującym finansuje kolejne ataki i zachęca ich do kontynuowania procederu, przez co negatywnie wpływa na bezpieczeństwo nas wszystkich. Firmy te wolą poświęcić dużo większe nakłady na odbudowę swojego środowiska i danych, niż zapłacić przestępcom. Czasem jednak mamy do czynienia z sytuacją, gdzie nieodstępność systemów i zawartych w nich danych może oznaczać koniec istnienia firmy. Co wtedy?
Płacenie okupu przestępcom wiąże się z ryzykiem utracenia przelanych środków bez możliwości odzyskania danych, jednak najczęściej atakujący dbają o swoją reputację i faktycznie po uiszczeniu okupu przez ofiarę przekazują jej narzędzia umożliwiające odszyfrowanie plików. Czasem zdarza się jednak, tak jak w niedawnym przypadku ataku z wykorzystaniem ransomware JNEC.a1 , że sami przestępcy popełniają błędy powodujące bezpowrotną utratę zaszyfrowanych plików. Może także dojść np. do zablokowania serwera przestępców przez organy ścigania, przez co atakujący tracą dostęp do kluczy szyfrujących i nie są w stanie odszyfrować danych. Z tego powodu przed podjęciem decyzji o zapłaceniu okupu należy upewnić się, że przestępcy faktycznie dysponują możliwością odzyskania danych, prosząc ich o odszyfrowanie kilku wybranych plików. Co ciekawe, atakujący czasami są skłonni także negocjować kwotę okupu.
Po trzecie – odzyskiwanie
Inną z możliwych strategii odzyskania zaszyfrowanych plików jest oczekiwanie na pojawienie się narzędzi umożliwiających odszyfrowanie danych. W przypadku informacji, które są wartościowe, ale nie ma konieczności ich natychmiastowego wykorzystania (np. dane archiwalne) można zaryzykować strategię „na przeczekanie”. W części przypadków praca organów ścigania i ekspertów bezpieczeństwa doprowadza do opublikowania narzędzi umożliwiających ofiarom darmowe odzyskanie zaszyfrowanych danych. Nie ma jednak nigdy gwarancji, że taki efekt uda się osiągnąć – zatem jest to strategia obarczona sporym ryzykiem bezpowrotnej utraty informacji.
W przypadku zapłacenia okupu i otrzymania od przestępców narzędzia służącego do odzyskania danych należy pamiętać, by używać go w odizolowanym środowisku i na kopii zaszyfrowanych danych. Nigdy nie wiadomo, czy przekazane przez przestępców narzędzie do odzyskiwania plików nie ma ukrytych funkcji ani czy nie uszkodzi plików, jedynie pogarszając naszą sytuację.
Po czwarte – porządki
Warto także pamiętać, że mamy do czynienia z pozbawionymi skrupułów przestępcami, których nic nie powstrzyma przed ponownym zaatakowaniem tej samej firmy. Z tego powodu niezwykle istotne jest ustalenie sposobu, w jaki doszło do incydentu i odpowiednie dostosowanie mechanizmów i procedur bezpieczeństwa, by wyeliminować lub chociaż obniżyć ryzyko ponownej infekcji firmowych systemów.
Drugim bardzo ważnym elementem prawidłowej reakcji jest zapewnienie, że nawet w przypadku ponownego incydentu dostępne będą kompletne, aktualne i zweryfikowane kopie bezpieczeństwa, dzięki którym nawet w przypadku powtórzenia się najgorszego scenariusza ataku będzie można uniknąć tytułowych dylematów w przyszłości. Dobry backup to jeden z najlepszych sposobów ochrony przed cyberatakami.
Podsumowanie
Najprostszą ochroną przed skutkami ataku ransomware jest dysponowanie aktualnymi kopiami bezpieczeństwa i przetestowanymi procedurami ich odtwarzania. Gdy jednak dojdzie do zaszyfrowania cennych danych bez możliwości ich prostego odtworzenia, należy pamiętać o czterech zasadach:
- Przed podjęciem jakichkolwiek decyzji trzeba dysponować rzetelną analizą sytuacji i oceną szans odzyskania plików własnymi siłami lub z pomocą specjalistycznych firm,
- Decyzja o płaceniu lub niepłaceniu okupu powinna być oparta o szeroką analizę kosztów, priorytetów oraz ryzyka,
- Ewentualne odszyfrowywanie danych należy przeprowadzać w izolowanym środowisku, przy użyciu kopii zaszyfrowanych danych,
- Bardzo ważne jest wyciągnięcie wniosków z incydentu i wdrożenie procesów obniżających szanse jego zaistnienia w przyszłości oraz zapewnienie dostępności użytecznych kopii bezpieczeństwa.
1https://twitter.com/demonslay335/status/1107749601229107200
Data publikacji: 06.04.2019