Ransomware 2024: jak walczyć z cybergangami

Ubiegły rok był owocny dla gangów ransomware. Natomiast wielu szefów odpowiedzialnych za bezpieczeństwo IT chciałoby o nim jak najszybciej zapomnieć. Co zrobić, aby na koniec 2024 roku mieli oni więcej powodów do radości?

Choć oprogramowanie ransomware nie jest nowym zagrożeniem (jego początki sięgają 1989 roku), nieustannie destabilizuje funkcjonowanie szpitali, hoteli, stacji benzynowych, sklepów spożywczych, a nawet linii lotniczych. Dane napływające od dostawców systemów bezpieczeństwa IT nie napawają optymizmem. Według raportu „Cyberbezpieczeństwo w liczbach” w 66% badanych firm pracownicy wskazali, że ich praca została zakłócona przez działania związane z atakami ransomware.

Obraz przedstawiający dane statystyczne dotyczące ataków ransomware

Jednak takie zestawienia nie oddają skali problemu, bowiem ofiary ataków starają się, aby informacje o incydentach nigdy nie ujrzały światła dziennego. Co gorsza, większość ofiar płaci okup za odszyfrowanie danych. Jak wynika z badania Splunk aż 4 na 5 przyznało się do zapłacenia haraczu cyberprzestępcom.
Napastnicy, aby zwiększyć skuteczność, sięgają nowe metody. W ubiegłym roku były to ataki na łańcuchy dostaw. Szczególnie dokuczliwy okazał się MoveIt. Gang ransomware Clop znalazł lukę w aplikacji do przesyłania plików zarządzanych przez oprogramowanie Progress Software. Na liście ofiar znalazły się agencje rządowe USA, BBC, British Airways czy władze kanadyjskiej prowincji Nowa Szkocja. Analitycy oszacowali, że MoveIt był odpowiedzialny za ponad 600 naruszeń.

Gangi ransomware nie omijają Polski. Pod koniec ubiegłego roku miał miejsce jeden z najgroźniejszych incydentów – wyciek danych pacjentów ALAB Laboratoria, jednej z największych ogólnopolskich sieci laboratoriów medycznych. Do sieci dostały się wyniki badań przeprowadzonych przez laboratorium w ciągu ostatnich kilku lat. Przestępcy, którzy twierdzą, że zdobyli ponad 230 GB danych, udostępniali dane w kilku próbkach – w listopadzie opublikowali dane z trzech przychodni, następnie dane pacjentów z innych przychodni, w kolejnym kroku pojawiły się dane nawet z listopada 2015, a z końcem roku nadano tym informacjom bardziej uporządkowaną formę. Dane podzielono na katalogi, których czterocyfrowa nazwa była początkiem numeru PESEL, co umożliwia sprawdzenie pojedynczej osoby bez konieczności pobierania gigabajtów danych. Wyciek objął nie tylko dane medyczne, ale także osobowe pracowników ALAB Laboratoria. Pozyskane przez cyberprzestępców informacje mogą posłużyć do przeprowadzenia spersonalizowanych ataków socjotechnicznych.

Robert Dziemianko - Marketing Manager

Jeśli przekazywaliśmy dane firmie, w której doszło do ataku ransomware, najbezpieczniej jest założyć, że nasze dane wyciekły i wzmożyć czujność w następnych latach. Kiedy otrzymamy telefon, bądź informację, która ma na celu zweryfikowanie czy potwierdzenie naszych danych, bądź skłonienie do innych natychmiastowych działań, warto wziąć głęboki oddech i nie działać pod wpływem impulsu. Jednym ze sposobów weryfikacji jest wyszukanie oficjalnej strony kontaktującej się z nami instytucji i wykonanie telefonu, bądź napisanie e-maila na dane podane na jej stronie.

Robert Dziemianko
PR & Marketing Manager G DATA Software.

Gangi ransomware uderzą jeszcze mocniej 

Dostawcy systemów bezpieczeństwa IT przy współpracy z organami rządowymi deklarują działania mające na celu powstrzymanie fali ataków ransomware. Pewnego rodzaju pocieszeniem może być spadająca liczba unikalnych rodzin oprogramowania ransomware. W 2022 roku było ich 95, a rok później już tylko 45. Niemniej część specjalistów twierdzi, że nie ma się z czego cieszyć, ponieważ hakerzy postawili na najbardziej sprawdzone i najskuteczniejsze rozwiązania. 

Same deklaracje producentów czy osób odpowiedzialnych za cyberbezpieczeństwo to za mało, żeby zastopować gangi ransomware, tym bardziej, że w bieżącym roku nie zwolnią one tempa. Wręcz przeciwnie. Incydent MoveIt zachęci ich do intensyfikacji ataków na łańcuchy dostaw. Co gorsza, mamy do czynienia z bardzo dobrze zorganizowanymi grupami przestępczymi. Widać to chociażby na przykładzie Ransomware as a Service. Ten model pozwala cyberprzestępcom korzystać z platformy dostarczającej nie tylko niezbędny kod oprogramowania, ale również infrastrukturę operacyjną do realizacji kampanii 

Robert Dziemianko
Marketing Manager w G DATA Software

W 2024 roku poza kontynuacją ataków na łańcuchy dostaw, należy spodziewać się incydentów wykorzystujących luki w środowisku chmurowym oraz sieciach VPN. Wszystko wskazuje na to, że gangi ransomware coraz częściej będą wykorzystywać do swoich ataków generatywną sztuczną inteligencję. W praktyce oznacza to bardziej zaawansowane kampanie phishingowe, będące jednym z trzech wektorów najczęściej używanych do uzyskania dostępu w atakach ransomware, dwa pozostałe to wykorzystanie luk bezpieczeństwa oraz protokół Windows Remote Desktop. 

Wraz z rozwojem ataków ransomware ewoluują formy wymuszeń. W przeszłości gangi ograniczały się do szyfrowania informacji, a następnie żądały okupu za klucz deszyfrujący. Następnie pojawiło się tak zwane podwójne wymuszenie, polegające na tym, że napastnicy eksfiltrują dane do osobnej lokalizacji. Kolejnym krokiem jest potrójne wymuszenie, czyli groźba upublicznienia danych, jeśli ofiara odmówi zapłaty. Wiele kontrowersji wzbudza płacenie haraczu. Na ogół panuje przekonanie, że nie jest to dobra praktyka, między innymi dlatego, że znane są przypadki, kiedy ofiara zapłaciła okup, zaś napastnicy nie odszyfrowali danych. 

Jeśli ofiara zapłaci, szantażysta może skorzystać i ponownie zaszyfrować pliki, a po pewnym czasie ponownie aktywuje dobrze ukryte części złośliwego oprogramowania. Nie wspominając już o tym, że oszustwo pozostaje dochodowe dla napastników, a tym samym wzmacnia ich oraz zachęca do kolejnych działań

Robert Dziemianko
Marketing Manager w G DATA Software

Zasilane środkami z okupów gangi ransomware rozszerzają swój arsenał. W związku z tym firmy powinny robić to samo, inwestując w zaawansowane technologie ochrony. W przypadku średnich i dużych przedsiębiorstw warto rozważyć zakup systemów EDR (Endpoint Detection and Response) bądź XDR (Extended Detection and Response) Zastosowanie rozszerzonego wykrywania i reagowania może pomóc organizacjom zidentyfikować potencjalne ryzyko. Nie mniej ważną linią obrony jest backup. Specjaliści zalecają regularne tworzenie kopii zapasowych na dyskach sieciowych, zewnętrznych dyskach twardych lub w chmurze. Po każdej operacji trzeba pamiętać o rozłączeniu połączenia z nośnikiem danych lub dyskiem sieciowym – w przeciwnym razie istnieje ryzyko zaszyfrowania wszystkich kopii zapasowych. 

Nie można też zapominać o podstawowych czynnościach, takich jak aktualizacja oprogramowania oraz edukacja pracowników. Przy czym w tym drugim przypadku warto zastosować mniej konwencjonalne metody w postaci specjalistycznych szkoleń. Na przykład platforma edukacyjna Security Awareness firmy G DATA zawiera 36 opracowanych przez ekspertów materiałów z zakresu świadomości przestrzegania zasad bezpieczeństwa. Ich treść bazuje na realnych przykładach ataków oraz spotykanych zagrożeń i jest cały czas aktualizowana. 

Michał Łabęcki | P.o. Kierownika marketingu

Michał Łabęcki
P.o. kierownika marketingu
E-mail: [email protected]

Przeczytaj również ...