Bezpieczeństwo IT

Ransomware – czym jest, jak się chronić i co zrobić, kiedy atak już trwa?

Dominik Szkudlarek - Security Operations Center L1
Dominik Szkudlarek

Powiązane usługi

Tagi

Jest takie powiedzenie: pieniądze rządzą światem. Okazuje się, że tym cyfrowym także. Najczęstszym powodem, dla którego hakerzy wykorzystują coraz więcej rodzajów złośliwego oprogramowania jest oczekiwany zysk. Jak działa ransomware? Czy można się przed nim zabezpieczyć? Sprawdź podpowiedzi naszych ekspertów.

Obecnie ransomware jest liderem w dziedzinie ataków. A czym dokładnie jest? Ransomware to złośliwe oprogramowanie, które szyfruje dane w systemie ofiary. Po zakończeniu szyfrowania oprawca żąda okupu w zamian za ponowne udostępnienie danych. Ransomware często wykorzystuje algorytm kryptograficzny do zaszyfrowania plików i danych systemowych. Taka blokada dostępu powoduje, że praktycznie jedyną opcją odzyskania danych, oczywiście poza przywróceniem kopii zapasowych, jest zapłacenie okupu. Płatności są zazwyczaj dokonywane w Bitcoinach, ponieważ ich użytkownicy mogą zachować anonimowość. Z opłacaniem żądań cyberprzestępców jest tak jak z każdym innym szantażem – nigdy nie ma pewności, czy druga strona dotrzyma warunków i faktycznie odszyfruje nasze zasoby, czy może zażąda kolejnych danin…

Głośne przykłady ataków z ostatnich tygodni

Uniwersytet Zielonogórski padł ofiarą ataku ransomware przeprowadzonego przez grupę Akira, który spowodował wyłączenie stron Uniwersytetu takich jak poczta czy studnet, elektroniczny system wydawania kluczy, czy systemy współpracujących z UZ instytucji i klubów sportowych. Zostały również zaszyfrowane dane studentów. Analiza logów nie dostarczyła dowodów wytransferowania/pobrania danych z zaatakowanych serwerów.

Kolejną ofiarą ransomware ostatnimi czasy został producent gier komputerowych Insomniac Games. Hakerzy zażądali 2 mln dolarów, których firma nie zapłaciła, w wyniku czego wyciekły dane pracowników oraz przedpremierowe informacje o grach, nad którymi pracuje producent.

Jak zabezpieczyć się przed ransomware?

Jest kilka sposobów, aby się zabezpieczyć:

  • Wykonuj kopie bezpieczeństwa – pozwoli to przywrócić zaszyfrowane dane. Warto mieć na uwadze to, że automatyczne wykonywanie kopii zapasowych nie gwarantuje bezpieczeństwa, ponieważ również kopia zapasowa może zostać zaszyfrowana.
  • Aktualizuj oprogramowanie – Ważne jest, aby być na bieżąco z atakami zero-day. Jeśli nie są wprowadzane, mogą stanowić furtkę dla cyberprzestępców. Atak oparty na takich podatnościach polega na wykorzystaniu luk w oprogramowaniu, które są nieznane producentowi lub znane od niedawna i jeszcze nie dostarczył on odpowiedniej aktualizacji W takich sytuacjach można znaleźć tymczasowe zabezpieczenie i czekać na łatkę oprogramowania.
  • Zapisuj wszystko w logach systemowych oraz monitoruj ruch w sieci – tutaj pomocne może okazać się Security Operations Center, które ma za zadanie monitorować ruch w sieci 7 dni w tygodniu 24/7/365 używając technologii SIEM. SIEM to technologia stosowana w przedsiębiorstwach w celu zapewnienia raportowania w czasie rzeczywistym oraz długoterminowej analizy zdarzeń związanych z bezpieczeństwem. W dużym stopniu ułatwia analizowanie logów, dzięki którym możemy szybko zareagować na atak, jak i oszacować straty nim spowodowane.

Pomocne w analizie są reguły bezpieczeństwa, które wyłapują nietypowy ruch w sieci. Na ich bazie zakłada się incydent, dzięki któremu jesteśmy w stanie wykryć atak w jego wczesnej fazie.

Operatorzy SOC są w stanie z poziomu SIEM ograniczyć postęp wirusa poprzez:

  • zablokowanie zainfekowanych kont domenowych lub komputerów,
  • zabicie procesu, w którym ukrył się wirus,
  • zablokowanie portów lub IP, którymi oprawca przedostał się do środka naszej organizacji.

Co zrobić po wykryciu ataku ransomware?

Po wykryciu ransomware należy:

  • wyizolować zainfekowane systemy, odłączając je od sieci, a jeśli nie jest to możliwe konieczne może okazać się odłączenie internetu w całej infrastrukturze firmy;
  • przełączyć systemy w tryb uśpienia lub hibernacji, nie wyłączając ich, po to aby później móc przeanalizować zgromadzone dane;
  • zresetować hasła użytkowników.

Jeśli szybko wykryjemy malware i wykonamy powyższe kroki możemy zdążyć zablokować atakującego przed rozpoczęciem szyfrowania lub przerwać szyfrowanie kolejnych danych

Ochrona przed ransomware to proces który wymaga ciągłego monitorowania, analizy i doskonalenia strategii obronnej. Stosowanie najlepszych zabezpieczeń i praktyk oraz świadomość zagrożeń są kluczowymi elementami skutecznej obrony przed atakami ransomware.

Więcej o cyberzagrożeniach

Jutro w Krakowie bardzo ważne wydarzenie poświęcone cyberbezpieczeństwu w Europie @CYBERSECEU
Nasz zespół zaprasza na stoisko W27, gdzie służymy naszą wiedzą i doświadczeniem w zakresie budowy odporności cybernetycznej organizacji przez cały czas wydarzenia

💬Zagrożenia w cyberprzestrzeni są zróżnicowane. Mogą obejmować zarówno próby blokowania dostępu do usług, jak i działania obcych służb specjalnych, których celem jest destabilizacja, dezinformacja oraz kradzież informacji - powiedział @PawelOlszewski w @radiopik.

Około godziny 15:00 Telewizja Polska odnotowała atak DDOS przeprowadzony z adresów IP zlokalizowanych na terenie Polski. Po niecałej minucie zaczęliśmy działania przy współpracy z operatorami krajowymi, które doprowadziły do mitygacji ataku. Służby IT przywróciły usługi.

⚠️ Krytyczna luka w Outlooku. Po otwarciu maila atakujący ma możliwość wykonania poleceń na komputerze użytkownika. Jest to podatność typu zero-click, niewymagająca od użytkownika interakcji z treścią złośliwej wiadomości, co czyni ją niezwykle niebezpieczną. ⬇️

Rosyjska grupa hakerska odpowiada za atak na Uniwersytet Zielonogórski i rozgłośnię Radia Zachód. Poinformowała dziś prokuratura okręgowa w Zielonej Górze, która prowadzi śledztwo w tej sprawie. Do zdarzenia doszło na początku roku.

Wczytaj więcej
Chcesz zadbać o cyberbezpieczeństwo?

Skontaktuj się z nami!

Zostaw dane - oddzwonimy

Nasz specjalista odezwie się do Ciebie najpóźniej kolejnego dnia roboczego. Nie musisz wypełniać pola wiadomości, ale krótka informacja o interesującym Cię temacie rozmowy będzie dla nas cenną wskazówką.

Powiązane tematy

Powiązane usługi