Ransomware jest uznawany za najbardziej niszczycielski rodzaj cyberataku. Jednak istnieją sposoby pozwalające się przed nim ochronić lub znacznie złagodzić jego skutki.
Jak wygląda typowy atak ransomware?
Uruchamiasz laptopa, a na ekranie pojawia się komunikat – dane na tym komputerze zostały zaszyfrowane. Masz nadzieję, że to żart i wykonujesz restart maszyny, ale to nie pomaga. Już wiesz, że sytuacja jest dość poważna, tym bardziej, że napastnicy w przesłanej wiadomości żądają opłaty za odszyfrowanie plików. Co gorsza, straszą, że jeśli nie zapłacisz im we wskazanym terminie, koszty wzrosną, a Twoje dane zostaną upublicznione bądź zniszczą klucz deszyfrujący i już nigdy nie odzyskasz zdjęć z wakacji w Egipcie, filmów z ostatnich imprez urodzinowych dzieci, czy prezentacji w Power Poincie, nad którą pracowałeś przez cały miesiąc.
To złośliwe oprogramowanie sieje strach w wielkich koncernach, instytucjach samorządowych, szpitalach, placówkach szkolnych, małych rodzinnych firmach. Napastnicy nie oszczędzają nawet użytkowników indywidualnych. Ransomware to zbitka słów ang. ransom „okup” i software „oprogramowanie”. Wprawdzie pierwszy taki atak odnotowano w 1989 roku, to jednak ich intensyfikacja nastąpiła dopiero w okresie pandemii. Od tego czasu firmy oraz instytucje mają duże trudności z powstrzymaniem rosnących w siłę gangów ransomware. Według Europejskiej Agencji ds. Cyberbezpieczeństwa jest to w ostatniej dekadzie najbardziej niszczycielski rodzaj cyberataku. Napastnicy potrafią bardzo szybko zaszyfrować dane – najlepsi robią to w tempie około 25 tysięcy plików na minutę. Poza wymienionym na wstępie scenariuszu, mogą wystąpić inne warianty – złośliwe oprogramowanie blokuje ekran, uniemożliwiając wykonanie jakiejkolwiek operacji lub szyfruje cały dysk, a tym samym system operacyjny, co skutkuje unieruchomieniem komputera.
W początkowej fazie gangi ograniczały swoje działania jedynie do szyfrowania plików, ale zwiększyły swój arsenał o kradzież, usunięcie lub przeniesienie danych z urządzenia ofiary. Napastnicy straszą ofiary, które nie chcą zapłacić okupu, upublicznieniem przejętych danych, a od niedawna również atakami DDoS paraliżującymi pracę serwerów. Szacuje się, że średnia wysokość okupu zapłaconego przez przedsiębiorstwa wyniosła w ubiegłym roku 3 miliony dolarów. W wyniku ataku ransomware firmy oraz instytucje ponoszą znaczne straty finansowe, a czasami zdarza się, że muszą po prostu zakończyć działalność.
Plan na ransomware
Mike Tyson powiedział kiedyś – każdy ma jakiś plan, dopóki nie zostanie trafiony. No właśnie – czy masz jakikolwiek plan na ransomware? Pomimo tysięcy artykułów, webinarów wiele organizacji wciąż nie wie, jak zatrzymać lub co przynajmniej złagodzić skutki tych ataków.
Wektory ataku
Podstawową kwestią jest ustalenie wektorów ataku używanych przez napastników. Gangi ransomware, aby dostać się do sieci ofiary, najczęściej wykorzystują phishing, luki w oprogramowaniu oraz zdalny pulpit (znany jako RDP, Remote Desktop Protocol).
E-maile – załączniki i linki
Najbardziej rozpowszechnioną formą phishingu jest wysyłanie wiadomości za pośrednictwem e-maila. I właśnie po tę technikę sięgają gangi ransomware. Teoretycznie jest to pułapka, której najłatwiej możesz uniknąć. Niestety, nadal wielu użytkowników poczty elektronicznej daje się nabrać na sztuczki stosowane od prawie trzydziestu lat – wystarczy nie otwierać załączników pochodzących od nieznanych nadawców, a także nie reagować na przesyłane przez nich linki.
Luki w oprogramowaniu
Luki w oprogramowaniu to kolejna furtka dla cyberprzestępców, chcących zainstalować na urządzeniu ofiary ransomware. Jak często aktualizujesz oprogramowanie? Czy kiedy dostawca informuje o konieczności pobrania nowej wersji aplikacji, zawsze stosujesz się do jego zaleceń? Mniejsze aktualizacje zazwyczaj naprawiają błędy lub usuwają luki w zabezpieczeniach. Natomiast większe, poza wymienionymi powyżej, dostarczają nowe funkcje i ulepszenia.
Aktualizowanie oprogramowania należy do najlepszych praktyk w zakresie cyberbezpieczeństwa, dlatego nie możesz bagatelizować tego procesu.
Pulpit zdalny
Pulpit zdalny jest narzędziem pozwalającym na uzyskanie dostępu do komputera z dowolnego urządzenia. Bardzo często korzystają z niego serwisanci do rozwiązywania problemu technicznych, bowiem nie muszą udawać się z wizytą do klienta. Ale to też bardzo przydatne rozwiązanie dla pracowników spędzających większość czasu poza biurem. Pomimo niezaprzeczalnych zalet zdalny pulpit ma jeden poważny mankament – nieodpowiednio zabezpieczony jest łatwym celem dla hakerów, którzy mogą przejąć kontrolę nad komputerem.
Backup – jak zrobić go mądrze?
Co się stanie, jeśli napastnik jednak dostanie się do Twojego urządzenia i zaszyfruje pliki? Często się słyszy, że ostatnią deską ratunku jest backup. W przypadku ataków ransomware sytuacja jest bardziej złożona – samo tworzenie kopii zapasowych nie zapewni Tobie spokojnego snu. Jedną z pierwszych czynności wykonywanych przez napastników po dostaniu się do systemu jest zniszczenie backupu. W związku z tym eksperci rekomendują zastosowanie metody 3-2-1, czyli tworzenie trzech kopii zapasowych, wykorzystując co na najmniej dwa różne rodzaje nośników oraz jedną lokalizacją znajdującą się poza głównym centrum przetwarzania danych.
Poza ubezpieczeniem w postaci backupu, istnieje również możliwość wykupienia polisy od ryzyk cybernetycznych, zapewniającej ochronę przede wszystkim przed skutkami ataków hakerskich (w tym ransomware i zwrot kosztów okupu) na infrastrukturę ubezpieczonego, włączając w to również utracone korzyści i zwiększone koszty prowadzonej działalności.
Co robić po ataku ransomware?
Gdy złośliwe oprogramowanie zostanie uruchomione na urządzeniu, szanse na odzyskanie danych są niewielkie, o ile nie masz odpowiednio przechowywanych kopii zapasowych.
Wprawdzie napastnicy obiecują, że po uiszczeniu opłaty odszyfrują pliki, ale musisz się liczyć z tym, że są to horrendalne koszty. Poza tym gangi ransomware nie zawsze dotrzymują słowa i pomimo zainkasowania ustalonej kwoty, czasami nie odszyfrowują plików. Napastnicy często też wychodzą ze słusznego założenia, że skoro ofiara zapłaciła raz, dlaczego nie miałyby tego uczynić ponownie.
Ogólnie rzecz biorąc eksperci ds. cyberbezpieczeństwa i organy ścigania zalecają ofiarom powstrzymanie się od płacenia okupu. Choć w wielu przypadkach dotknięte atakiem organizuje decydują się zapłacić, aby odzyskać dane lub dostęp do urządzenia.
