Ransomware jest często spotykanym atakiem i dotyczy nie tylko użytkowników domowych ale coraz częściej również firmy. Mogłoby się wydawać, że duże firmy są zabezpieczone przed tego typu atakami natomiast okazuje się, że problem ten dotyka również gigantów – głównie dlatego, że pracownicy nie są odpowiednio przeszkoleni. Ransomware jest rodzajem złośliwego programowania które uniemożliwia dostęp do naszych danych poprzez zaszyfrowanie ale również przestępcy wymuszają okup w zamian za ich odblokowanie. W tym artykule przyjrzymy się szczegółowo jak działa ten typ oprogramowania, jakie techniki stosują przestępcy,jak się chronić przed takimi atakami oraz oczywiście co zrobić jeśli już jesteśmy ofiarą takiego ataku.
Czym jest ransomware?
Nazwa pochodzi od słów ang. ransom „okup” i software „oprogramowanie. Jest to złośliwe oprogramowanie, które przy szyfruje dane w naszym systemie czy systemach komputerowych. Dane są zaszyfrowane, a więc żeby uzyskać do nich dostęp potrzebujemy klucz deszyfrujący. Klucz deszyfrujący znają tylko przestępcy i wykorzystują to zmuszając ofiary do zapłacenia okupu w zamian za otrzymanie takiego klucza. Niestety, fakt opłacenia okupu nie gwarantuje nam otrzymania takiego klucza. Mało tego, nawet jeśli opłacimy okup, dostaniemy klucz i odszyfrujemy nasze dane to może okazać się, że atakujący zostawili sobie furtkę do ponownego ataku i po jakimś czasie ponownie doświadczymy takiej samej sytuacji.
Jak działa ransomware?
Cały proces przebiegu ataku można podzielić na kilka kroków:
- Dystrybucja – aby dane zostały zaszyfrowane oprogramowanie musi w jakiś sposób znaleźć się na naszym komputerze. Najczęściej jest ono dostarczane poprzez phishing czyli złośliwe maile zawierające albo załączniki albo linki prowadzące do fałszywych stron. Oprogramowanie może być dostarczone również poprzez złośliwe reklamy, po których kliknięciu jesteśmy przekierowani do strony wymagającej pobranie od nas jakiegoś pliku, który okazuje się być zainfekowany.
- Infekcja – kiedy już oprogramowanie szyfrujące jest na naszym komputerze jest ono uruchamiane w celu zaszyfrowania plików. Aby zmaksymalizować straty, co pozwoli na uzyskanie większego okupu często atakujący przeszukują również inne komputery w sieci.
- Kradzież danych – „korzystając z okazji”, przestępcy mając dostęp do danych wykradają je. Dane są przechwytywane między innymi po to aby w kolejnych krokach móc żądać większej kwoty okupu. Firmy są szantażowane, że jeśli nie opłacą okupu to ich dane zostaną opublikowane w sieci.
- Szyfrowanie danych – na tym etapie nasze pliki są szyfrowane, a po ukończeniu procesu ofiara otrzymuje wiadomość z instrukcją jak można dokonać opłaty w zamian za odszyfrowanie plików.
- Opłacenie okupu – tego kroku należy unikać, nie warto negocjować z przestępcami. Zdarza się że pomimo zapłacenia okupu przestępcy nie dostarczają klucza deszyfrującego, więc nie mamy gwarancji, że odzyskanie danych jest możliwe. Zamiast płacić okup warto wcześniej zabezpieczyć się na wypadek takich sytuacji.
Jak zatem możemy się zabezpieczyć przed tego typu atakami?
- Kopie zapasowe – jest to kluczowy punkt aby zabezpieczyć się na wypadek szyfrowania danych. Samo posiadanie kopii zapasowych to jednak nie wszystko. Warto te kopie wykonywać regularnie i co najważniejsze testować ich przywrócenie, bo może okazać się, że mamy mnóstwo kopii, z których żadna nie nie nadaje się do przewrócenia.
- Aktualizacje oprogramowania – bardzo ważny punkt aby utrzymywać zarówno system operacyjny, aplikacje użytkowe i oprogramowanie antywirusowe w jak najnowszej wersji. To pomoże nam jeszcze bardziej zminimalizować ryzyko wejścia przestępców na nasze urządzenie
- Silne hasła i 2FA (2-Factor-Authentication) – kolejny ważny punkt to ustawienie silnych i unikalnych haseł oraz włączenie dwuskładnikowego uwierzytelniania najlepiej przy użyciu klucza sprzętowego wszędzie tam gdzie jest to możliwe.
- Edukacja – co jakiś czas pojawiają się nowe metody ataków. Warto być na bieżąco, warto śledzić nowe trendy a jeśli chodzi o firmy to niezbędne jest szkolenie pracowników z rozpoznawania phishingu i bezpiecznego korzystania z Internetu. W ramach edukacji warto też przeprowadzać symulacje phisingowe czyli kontrolowane wysyłki podstawionych maili tak aby uczulić naszych pracowników na zagrożenie i nauczyć ich je rozpoznawać.
A co w przypadku kiedy podejrzewasz atak lub zostałeś zainfekowany?
- Odłącz urządzenie o sieci – urządzenie zainfekowane powinno być natychmiast odłączone od sieci tak aby nie komunikowało się z serwerami przestępców oraz aby zagrożenie nie rozniosło się na inne komputery w sieci.
- Nie wyłączaj komputera – wyłączenie komputera spowoduje zatarcie śladów infekcji i utrudni specjalistom identyfikacje zagrożenia.
- Zgłoś incydent na przykład na incydent.cert.pl
- Sprawdź czy istnieje narzędzie deszyfrujące – istnieje serwis z deszyfratorami dla niektórych przypadków ransomware – https://www.nomoreransom.org/ , które udało się przygotować specjalistom. Więcej dowiesz się w tym wpisie: Pomoc po zaszyfrowaniu plików przez ransomware
- Przywróć system z kopii zapasowej – po przywróceniu warto upewnić się czy nasz system nadal nie jest zainfekowany i użyć kopii która jest odpowiednio wcześniej zrobiona.
- Wzmocni zabezpieczenia – w miarę możliwości oceń co było przyczyną dostępu przestępców do Twojej sieci i sprzętu, i podejmij kroki w celu usunięcia tego problemu.
- Szkolenie – przeprowadzić dodatkowe szkolenie z zakresu cyberbezpieczeństwa był uniknąć podobnych problemów w przyszłości.
- Monitoring sieci – zainwestuj w oprogramowanie które pomoże monitorować sieć firmową pod kątem anomalii, co pomoże szybciej wykryć przyszłe zagrożenie i podjąć odpowiednie kroki.
Ransomware to poważne zagrożenie, które może mieć katastrofalne skutki szczególnie dla firm. Kluczem do ochrony jest edukacja, proaktywne podejście do zabezpieczeń oraz regularne kopie zapasowe. W przypadku ataku zachowanie spokoju i przestrzeganie opisanych wyżej kroków może pomóc zminimalizować szkody i zapobiec powtórzeniu się sytuacji.
Czy padłeś w przeszłości ofiarą ataku ransomware?
