Ransomware kontratakuje

Co to jest ransomware?

Ransomware – (zbitka słów ransom „okup” i software „oprogramowanie”) – typ szkodliwego oprogramowania, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych (często poprzez techniki szyfrujące), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. Zależnie od skuteczności najprostsze typy programów-szantażystów jedynie zakładają blokadę na system, która jest stosunkowo łatwa do zlikwidowania dla doświadczonych użytkowników komputera, natomiast bardziej zaawansowane formy takiego działania stosują technikę zwaną kryptowirusowym wymuszeniem – szyfrują pliki ofiary, uniemożliwiając ich normalny odczyt i żądają okupu w zamian za deszyfrację.

Kilka przykładów skali problemu:

WannaCry – największy incydent cybernetyczny w 2017 r., z udziałem ponad 300 000 ofiar w ponad 150 krajach, był formą oprogramowania ransomware najprawdopodobniej uruchomionego przez Koreę Północną (wkrótce potem NotPetya, najprawdopodobniej próba służb rosyjskich, spowodowała spustoszenia na Ukrainie, które szybko rozprzestrzeniło się poza granice naszego wschodniego sąsiada).

Na początku 2019 roku zaatakował ransomware LockerGoga. Znany od niedawna. Zdobył sławę w styczniu dzięki atakowi na francuską firmę Altran Technologies. W marcu zaatakował w norweskim Norsk Hydro, powodując wielomilionowe straty.

Dokładnie w tym samym czasie autorzy jednego szczepu ransomware ogłosili, że przechodzą na emeryturę, ponieważ zarobili już 2 miliardy dolarów. „Udowodniliśmy, że dokonując złych uczynków, kara nie nadchodzi” – powiedzieli wtedy.

Ale tak naprawdę ataki nasiliły się w kończące się właśnie lato. Dziesiątki małych miasteczek i miast w całych Stanach Zjednoczonych zostało dotkniętych oprogramowaniem ransomware; wielu zostało zmuszonych do zapłacenia dziesiątek lub setek tysięcy dolarów okupu.

Pojawiają się głosy, że ransomware to nieunikniona konsekwencja obsesji świata korporacyjnego na gromadzeniu jak największej ilości danych o wszystkim i każdym, oraz jego „zrelaksowanego podejścia” do zapewnienia bezpieczeństwa tych danych.

Firmy gromadzą wszystkie dane, o każdym zaangażowaniu klienta, każdej interakcji z dostawcą, w nadziei, że może to być przeszukane przez sztuczną inteligencję i technologie dużych zbiorów danych, aby dostarczyć informacji by podejmować trafne decyzje biznesowe. Jednak dla wielu organizacji bezpieczeństwo tych danych pozostaje w najlepszym razie zaadresowanym ryzykiem. To pozostawia wielu w sytuacji posiadania ogromnej ilości wrażliwych informacji, bez wytycznych dla ich bezpieczeństwa. Jeśli organizacje nie są pewne dlaczego zbierają dane, nie wiedzą dlaczego muszą je chronić.

Organizacje przeciw rasomwerowe

Państwa dostrzegają zagrożenia. Właśnie minęło 3 lata od uruchomienia zacnej inicjatywy. Witryny NO MORE RANSOMWARE. Portal, pierwotnie wydany w języku angielskim, jest obecnie dostępny w 35 innych językach. Jest to pierwsze tego typu partnerstwo publiczno-prywatne oferujące ofiarom oprogramowania ransomware alternatywę dla płacenia okupu. 42 organy ścigania, 5 agencji UE i 101 podmiotów publicznych i prywatnych tworzą tą inicjatywę. Portal pomógł bezpłatnie ponad 200 000 ofiarom ransomware odzyskać swoje pliki. Teraz może odszyfrować 109 różnych typów infekcji ransomware – liczba ta stale rośnie.

Jak się bronić przed ransomware?

Pod pewnymi względami ochrona przed ransomware jest stosunkowo prosta. Podstawowa higiena bezpieczeństwa w Internecie zapobiegnie znacznej większości ataków. Kilka najbardziej oczywistych kroków do podjęcia:

• Trenuj personel, aby rozpoznawał podejrzane e-maile
• Zastosuj poprawki oprogramowania, aby aktualizować systemy
• Zmień domyślne hasła we wszystkich punktach dostępu
• Użyj uwierzytelniania dwuskładnikowego
• Poznaj najważniejsze dane i stwórz skuteczną strategię tworzenia kopii zapasowych
• Zaplanuj, jak zareagować na atak ransomware – i przetestuj ten plan
• Monitoruj w firmie aktywności użytkowników na kontach oraz na zasobach plikowych – blokuj podejrzane aktywności
• Chroń konta uprzywilejowane (konta o zwiększonych uprawnieniach do systemu/aplikacji)
• Wykonuj regularnie backupy danych, dzięki czemu będziesz mógł je szybko odtworzyć
• Chroń dostęp do najbardziej wrażliwych danych w firmie

Niestety, nadal będą istniały duże i małe organizacje, które padają i będą padać ofiarą ransomware, gdyż przestępcy stają się bardziej wyrafinowani. Szczególnie pamięć masowa podłączona do sieci znalazła sobie duże upodobanie wśród twórców złośliwych ransomware.