Jak zapobiegać atakom ransomware?
Ransomware to rodzaj złośliwego oprogramowania, które blokuje ofierze dostęp do jego urządzeń i systemów aż do momentu zapłaty okupu. Na ataki ransomware narażone są wszystkie organizacje: od małych firm, samorządów, poprzez organizacje rządowe aż po duże korporacje. Co zrobić, by ograniczyć ryzyko udanego ataku ransomware na firmową infrastrukturę? Na to pytanie odpowiemy w tym artykule.
Z TEGO ARTYKUŁU DOWIESZ SIĘ:
|
Według danych zawartych w raporcie Sophos „The State of Ransomware 2022”1 w zeszłym roku 66% organizacji doświadczyło próby ataku przez oprogramowanie ransomware. Jest to znaczący wzrost w porównaniu do 2020, w którym na atak wystawionych było 37% ankietowanych przedsiębiorstw. Analitycy Sophos są zdania, że rosnąca skala ransomware odzwierciedla sukces modelu Ransomware as a Service, dzięki któremu cyberprzestępcy mogą nabyć w sieci kompletną usługę pozwalającą im szantażować wybraną przez nich ofiarę. Popularyzacja RaaS w świecie przestępczym znacznie rozszerza zasięg działania oprogramowania ransomware, gdyż obniża się poziom umiejętności wymaganych do wykonania ataku. Cyberprzestępcy odnoszą także większe sukcesy w szyfrowaniu danych swoich ofiar. W 2021 r. atakującym udało się zaszyfrować dane w 65% przypadkach, co stanowi istotny wzrost wskaźnika szyfrowania w stosunku 2020, kiedy wyniósł on 54%. Wzrost liczby incydentów ransomware jest częścią szerszego zjawiska związanego ze wzrostem cyberzagrożeń. W ostatnim roku 57% ankietowanych przez Sophos zauważyło ogólny wzrost liczby ataków, natomiast 59% odnotowało wzrost ich złożoności.
Podobne obserwacje dotyczące zwiększenia zagrożenia ransomware dotyczą także naszego rynku. Badania Sophos2 w Polsce mówią, że 94% rodzimych firm, które stały się ofiarami ransomware odnotowało negatywny wpływ ataku na ich wyniki finansowe. Ponad połowa przedstawicieli średnich i dużych firm potwierdza, że cyberataków w 2021 r. było więcej niż w latach poprzednich, a w ocenie 57% cyberprzestępcy posługują się coraz bardziej zaawansowanymi technikami. Z kolei, autorzy raportu CERT NASK za 2021 rok mówią o 13% wzroście liczby incydentów dotyczących ransomware w porównaniu do 2020. „Największą aktywność odnotowaliśmy w podmiotach infrastruktury cyfrowej i wśród osób fizycznych oraz w administracji publicznej. Najczęściej atakującymi rodzinami [oprogramowania ransomware] były: REvil/Sodinokibi oraz Phobos, a następnie Lockbit 2.0, STOP/ DJVU, Makop, QLocker oraz Avaddon.” – czytamy w dokumencie NASK.3
Według MS-ISAC (Multi-State Information Sharing and Analysis Center ) atak ransomware następuje głównie poprzez4:
- Złośliwe załączniki/linki wysłane w wiadomości e-mail. Metoda ta znana jest pod nazwą „malspam”
- Włamanie do sieci przez słabo zabezpieczone porty i usługi, takie jak Remote Desktop Protocol (RDP) (np. w przypadku ransomware Phobos5).
- Z użyciem pomocniczego malware (np. początkowa infekcja TrickBotem prowadząca do ataku ransomware Ryuk)6
- Wormable i inne formy oprogramowania ransomware, które wykorzystują luki w sieci (np. warianty ransomware WannaCry)
Obrona przed oprogramowaniem ransomware wymaga kompleksowego podejścia do kwestii bezpieczeństwa całej organizacji. Poniżej podajemy kilka istotnych wskazówek pozwalających zapobiegać atakom ransomware. Nie wyczerpują one oczywiście wszystkich możliwości ochrony, pozwolą jednak znacząco obniżyć ryzyko wykonania przez cyberprzestępców skutecznego ataku i wyrządzenia szkód.
Dbaj o kopie zapasowe
Jeszcze do niedawna tworzenie kopii zapasowych postrzegane było nie tylko jako najskuteczniejszy sposób na odzyskanie sprawności organizacji po infekcji ransomware, ale także w sposób praktyczny zabezpieczające przed skutkami udanego ataku. Wraz z pojawieniem się ataków ransomware podwójnego wymuszania (double extortion) zabezpieczenie to okazuje się daleko niewystarczające. Podwójne wymuszenie to taktyka ataku rozpoczynająca się od wykradnięcia informacji przechowywanych na komputerach ofiary, zanim uruchomiona zostanie procedura szyfrowania. W tym przypadku ransomware także szyfruje dane ofiary i żąda w nocie okupu zapłaty w zamian za deszyfrator. Jednak cyberprzestępca posiada w tym przypadku dodatkowe możliwości szantażu grożąc, że dane ofiary zostaną udostępnione w Internecie.
Pomimo, że posiadanie kopii zapasowych nie chroni przed atakami podwójnego wymuszenia, wciąż jednak uważane jest za fundamentalne działanie, pozwalające ustrzec firmę przed najgorszym scenariuszem, jakim jest utrata danych firmowych. Należy przy tym pamiętać, by pliki kopii zapasowych były chronione i przechowywane także w trybie offline w taki sposób, by nie mogły stać się celem ataku. Konieczne jest także testowanie kopii zapasowych pod kątem skuteczności ich odzyskiwania z backupu.
Opracuj plany i polityki bezpieczeństwa
Stwórz plan reagowania na incydenty w taki sposób, by zespół ds. bezpieczeństwa IT wiedział, co należy robić podczas zdarzenia ransomware. Plan powinien zawierać zdefiniowane role i komunikaty, które będą przekazywane innym podczas ataku. Należy również dołączyć listę kontaktów, takich jak partnerzy lub dostawcy, których należy powiadomić o incydencie. Elementem koniecznym posiadania polityk bezpieczeństwa jest przeszkolenie pracowników w zakresie ich stosowania.
Kontroluj ustawienia portów i utwardzaj systemy pod kątem bezpieczeństwa
Wiele wariantów oprogramowania ransomware korzysta z portu 3389 i protokołu Remote Desktop Protocol (RDP) oraz portu 445 wykorzystywanego do przekazywania komunikatów serwera SMB (np. ransomware WannaCry7). Zamykanie portów i ograniczenie połączeń tylko do zaufanych hostów dla środowisk lokalnych, jak i chmurowych jest praktyką, która pozwala ograniczyć ryzyko rozprzestrzeniania się ransomware. Dodatkowo, zabezpieczenie konfiguracji (hardening) pomaga w ograniczeniu powierzchni zagrożenia i zabezpieczaniu luk w konfiguracjach.
Dbaj o aktualizacje systemów
Dbałość o aktualizacje aplikacji i systemów pod kątem zabezpieczeń to także jedna z fundamentalnych zasad ochrony odnosząca się nie tylko do ransomware, ale do wielu innych zagrożeń zewnętrznych. Zastosowanie najnowszych aktualizacji pomoże wyeliminować luki w zabezpieczeniach, które atakujący chcą wykorzystać.
Zaimplementuj IDS
System wykrywania włamań (IDS) wyszukuje złośliwą aktywność w firmowej sieci porównując dzienniki ruchu sieciowego z sygnaturami, które wykrywają znane złośliwe działania. Aktualizowany IDS będzie w stanie reagować odpowiednio szybko na zagrożenia wykrywając potencjalną aktywność złośliwego oprogramowania.
Skorzystaj z pomocy ekspertów i zadbaj o wsparcie ze strony zewnętrznego SOC
Rośnie złożoność ataków typu ransomware i organizacjom coraz trudniej jest samodzielnie stawiać czoła zagrożeniom i reagować zarówno na próby ataku jak i zmitygować sam atak. Korzystanie z podmiotów zewnętrznych świadczących opisane w powyższych punktach wszechstronne usługi monitoringu bezpieczeństwa i szybkiego reagowania na zagrożenie wydaje się być w tej sytuacji rozwiązaniem optymalnym. Opisane metody ochrony dostarcza T-Mobile.
Operator oferuje stały monitoring zespołów bezpieczeństwa Security Operations Center (SOC). Centra Operacji Bezpieczeństwa bazują na nowoczesnych technologiach i procedurach. T-Mobile świadczy te usługi non stop we własnych Data Center przez 24 godziny na dobę wykrywając i reagując na zagrożenia. Mocną stroną wparcia ze strony zewnętrznych SOC jest korzystanie z najbardziej wykwalifikowanych specjalistów działających w wybranych obszarach cybersecurity. Monitorując stan bezpieczeństwa z wykorzystaniem najnowszych narzędzi, eksperci uwzględniają korelacje miedzy zdarzeniami i alarmami mogącymi wskazywać na ransomware i zapobiegają w ten sposób atakowi oraz minimalizują jego skutki.
Podsumowanie
Przypomnijmy najważniejsze informacje dotyczące zapobieganiu ransomware:
- Według badania Sophos 94% firm w Polsce, które stały się ofiarami ransomware odnotowało negatywny wpływ ataku na ich wyniki finansowe
- Wprawdzie posiadanie kopii zapasowych nie chroni przed atakami podwójnego wymuszenia, wciąż jednak uważane jest za fundamentalne działanie, pozwalające ustrzec firmę przed utratą danych firmowych
- Należy stworzyć plan reagowania na incydenty, dzięki którym zespół ds. bezpieczeństwa IT będzie wiedział, co należy robić podczas zdarzenia ransomware
- Blokowanie portów i ograniczenie połączeń tylko do zaufanych hostów jest praktyką, która pozwala ograniczyć ryzyko rozprzestrzeniania się ransomware
- Aktualizacja aplikacji i systemów pod kątem zabezpieczeń to jedna z fundamentalnych zasad ochrony odnosząca się nie tylko do ransomware
- Security Operations Center (SOC) umożliwia wykrywanie i reagowanie na zagrożenia24 przez godziny na dobę
1 https://assets.sophos.com/X24WTUEQ/at/4zpw59pnkpxxnhfhgj9bxgj9/sophos-state-of-ransomware-2022-wp.pdf
2 https://crn.pl/aktualnosci/pogrom-polskich-firm-przez-ransomware-94-proc-mialo-straty/
3 https://cert.pl/uploads/docs/Raport_CP_2021.pdf
4 https://www.cisecurity.org/insights/white-papers/security-primer-ransomware
5 https://blog.malwarebytes.com/threat-spotlight/2020/01/threat-spotlight-phobos-ransomware-lives-up-to-its-name/
6 https://www.hhs.gov/sites/default/files/trickbot-ryuk-and-the-hph-sector.pdf
7 https://www.giac.org/paper/grem/5549/reverse-engineering-wannacry-worm-anti-exploit-snort-rules/165237
Data publikacji: 28.06.2022