Ransomware – czym jest, jak się chronić i co zrobić, kiedy atak już trwa?

Jest takie powiedzenie: pieniądze rządzą światem. Okazuje się, że tym cyfrowym także. Najczęstszym powodem, dla którego hakerzy wykorzystują coraz więcej rodzajów złośliwego oprogramowania jest oczekiwany zysk. Jak działa ransomware? Czy można się przed nim zabezpieczyć? Sprawdź podpowiedzi naszych ekspertów.

Czym jest atak ransomware?

Ransomware to złośliwe oprogramowanie, które szyfruje dane w systemie ofiary. Sam atak polega na wykorzystaniu
go do późniejszego żądania okupu w zamian za ponowne udostępnienie cennych danych.

Obecnie ransomware jest liderem w dziedzinie ataków. Często wykorzystuje algorytm kryptograficzny do zaszyfrowania plików i danych systemowych, co czyni go wyjątkowo skutecznym.

Głośne przykłady ataków z ostatnich tygodni

Uniwersytet Zielonogórski padł ofiarą ataku ransomware przeprowadzonego przez grupę Akira, który spowodował wyłączenie stron Uniwersytetu takich jak poczta czy studnet, elektroniczny system wydawania kluczy, czy systemy współpracujących z UZ instytucji i klubów sportowych. Zostały również zaszyfrowane dane studentów. Analiza logów nie dostarczyła dowodów wytransferowania/pobrania danych z zaatakowanych serwerów.

Kolejną ofiarą ransomware ostatnimi czasy został producent gier komputerowych Insomniac Games. Hakerzy zażądali 2 mln dolarów, których firma nie zapłaciła, w wyniku czego wyciekły dane pracowników oraz przedpremierowe informacje o grach, nad którymi pracuje producent.

Jak odzyskać dane po ataku ransomware?

Jeśli stałeś się ofiarą, a Twoje dane zostały zaszyfrowane oto co możesz zrobić:

• Odzyskać dane przywracając ich kopię zapasową, zakładając, że takową posiadasz. Jeśli nie – zrób ją jak najszybciej,
  to dobra praktyka, którą doceniamy dopiero po incydencie.
• Zapłacić okup, płatności są zazwyczaj dokonywane w Bitcoinach, ponieważ ich użytkownicy mogą zachować anonimowość. Pamiętaj jednak, że nigdy nie ma pewności, czy druga strona dotrzyma warunków i faktycznie odszyfruje nasze zasoby, czy może zażąda kolejnych danin… to zwyczajny szantaż.

Dlatego lepiej podjąć działania prewencyjne i zadbać, aby nasze dane pozostały bezpieczne jak najdłużej.

Jak zabezpieczyć się przed ransomware?

Korzystaj z dobrych praktyk, które przede wszystkim ograniczą ryzyko ataku:

• Wykonuj kopie bezpieczeństwa – pozwoli to przywrócić zaszyfrowane dane. Warto mieć na uwadze to, że automatyczne wykonywanie kopii zapasowych nie gwarantuje bezpieczeństwa, ponieważ również kopia zapasowa może zostać zaszyfrowana.
• Aktualizuj oprogramowanie – Ważne jest, aby być na bieżąco z atakami zero-day. Jeśli nie są wprowadzane, mogą stanowić furtkę dla cyberprzestępców. Atak oparty na takich podatnościach polega na wykorzystaniu luk w oprogramowaniu, które są nieznane producentowi lub znane od niedawna i jeszcze nie dostarczył on odpowiedniej aktualizacji W takich sytuacjach można znaleźć tymczasowe zabezpieczenie i czekać na łatkę oprogramowania.
• Zapisuj wszystko w logach systemowych oraz monitoruj ruch w sieci – tutaj pomocne może okazać się Security Operations Center, które ma za zadanie monitorować ruch w sieci 7 dni w tygodniu 24/7/365 używając technologii SIEM. SIEM to technologia stosowana w przedsiębiorstwach w celu zapewnienia raportowania w czasie rzeczywistym oraz długoterminowej analizy zdarzeń związanych z bezpieczeństwem. W dużym stopniu ułatwia analizowanie logów, dzięki którym możemy szybko zareagować na atak, jak i oszacować straty nim spowodowane.

Pomocne w analizie są reguły bezpieczeństwa, które wyłapują nietypowy ruch w sieci. Na ich bazie zakłada się incydent, dzięki któremu jesteśmy w stanie wykryć atak w jego wczesnej fazie.

Operatorzy SOC są w stanie z poziomu SIEM ograniczyć postęp wirusa poprzez:

• zablokowanie zainfekowanych kont domenowych lub komputerów,
• zabicie procesu, w którym ukrył się wirus,
• zablokowanie portów lub IP, którymi oprawca przedostał się do środka naszej organizacji.

Co zrobić po wykryciu ataku ransomware?

Po wykryciu ransomware należy:

• wyizolować zainfekowane systemy, odłączając je od sieci, a jeśli nie jest to możliwe konieczne może okazać się odłączenie internetu w całej infrastrukturze firmy;
• przełączyć systemy w tryb uśpienia lub hibernacji, nie wyłączając ich, po to aby później móc przeanalizować zgromadzone dane;
• zresetować hasła użytkowników.

Jeśli szybko wykryjemy malware i wykonamy powyższe kroki możemy zdążyć zablokować atakującego przed rozpoczęciem szyfrowania lub przerwać szyfrowanie kolejnych danych

Ochrona przed ransomware to proces który wymaga ciągłego monitorowania, analizy i doskonalenia strategii obronnej. Stosowanie najlepszych zabezpieczeń i praktyk oraz świadomość zagrożeń są kluczowymi elementami skutecznej obrony przed atakami ransomware.