Blog

Blogi

Jakie kroki podjąć w przypadku ataku ransomware?

Ransomware wciąż ewoluuje i pomimo rosnącej świadomości potrzeby poprawy cyberbezpieczeństwa wciąż nęka wiele organizacji. Co więcej, w ostatnich latach mamy do czynienia z coraz bardziej wyrafinowanymi technikami i odmianami tego wirusa. W artykule przyjrzymy się celom i typom ataków ransomware. Przedstawimy kilka natychmiastowych kroków, które można podjąć w sytuacji kiedy Twoja organizacja padła ofiarą ataku. Omówimy kwestie ochrony przed zagrożeniami ransomware i zapobieganiu im.

Czym jest ransomware?

 

Ransomware to złośliwe oprogramowanie, które blokuje dostęp do systemu komputerowego lub powoduje niemożność odczytu zapisanych w nim danych. Atakujący żąda w tym przypadku okupu w zamian za odszyfrowanie danych. Płatność jest zwykle wymagana w kryptowalutach. Nawet jeśli okup zostanie zapłacony, nie ma gwarancji, że dane zostaną przywrócone.

 

 

W przeszłości oprogramowanie ransomware ograniczało się do szyfrowania pojedynczego punktu końcowego. Obecne warianty mają zaawansowane mechanizmy dystrybucji, które pozwalają im rozprzestrzeniać się na wiele punktów końcowych i unikać wykrycia. Nowoczesne oprogramowanie ransomware szyfruje swój własny kod, aby utrudnić reverse engineering (inżynierię wsteczną/odwrotną) i może wykorzystywać metody szyfrowania offline, takie jak Windows CryptoAPI, eliminując potrzebę komunikacji z centrum dowodzenia i kontroli.

 

Cele ataków ransomware

 

Duże organizacje, a także mniejsze firmy i użytkownicy domowi mogą być celem ataku ransomware. Oto szczególnie atrakcyjne cele dla atakujących ransomware:

 

  • Organizacje akademickie - zazwyczaj mają mniejsze zespoły IT, wysoki wskaźnik udostępniania plików w sieci oraz poufne dane, w tym dane badawcze, finansowe i HR

 

  • Agencje rządowe - mogą przechowywać ogromne ilości danych prywatnych obywateli, a napastnicy wiedzą, że muszą zatem szybko zareagować 

 

  • Instytucje opieki zdrowotnej - pilnie potrzebują danych pacjentów, a brak dostępu do danych może zagrażać życiu

 

  • Działy HR - przechowują dane osobowe i informacje finansowe, które są krytyczne dla organizacji, a także utrzymują kontakt ze stronami zewnętrznymi (kandydatami do pracy), co ułatwia atakującym penetrację

 

 

Rodzaje oprogramowania ransomware

 

Istnieje kilka odmian ransomware. Klasyczny typ to oprogramowanie ransomware szyfrujące, które blokuje dostęp do plików na punkcie końcowym. Inne odmiany obejmują oprogramowanie ransomware blokujące ekran, co powoduje zablokowanie użytkownikom dostępu do komputera.

 

Typowe zestawy złośliwego oprogramowania używane do przeprowadzania ataków ransomware

 

  • Cerber - platforma typu „ransomware as a service”, której atakujący mogą używać do przeprowadzania ataków, dzieląc okup z twórcą. Jest stosunkowo nowy rodzaj, ale dotknął już miliony użytkowników. Jest skierowany do użytkowników Office 365 pracujących w chmurze za pomocą technik phishingu.

 

  • Locky - oprogramowanie ransomware, które rozprzestrzenia się za pośrednictwem wiadomości e-mail, zazwyczaj pod postacią faktury. Użytkownik jest instruowany, aby włączyć makra, a jeśli są zgodne, oprogramowanie ransomware zaczyna szyfrować pliki.

 

  • WannaCry - pierwsze oprogramowanie ransomware wyposażone w mechanizm propagacji oparty na EternalBlue, exploicie protokołu plików systemu Windows. W ciągu jednego dnia zainfekował ponad 230 tys.  komputerów, w tym główne organizacje, takie jak brytyjska National Health Service.

 

  • CryptoLocker - rozprowadzany jako załącznik do wiadomości e-mail, rzekomo wysłany przez renomowaną firmę, zawierający plik wykonywalny zamaskowany jako plik PDF. CryptoLocker był również rozprzestrzeniany przy użyciu trojana Gameover ZeuS.

 

Istnieje wiele innych ransomware, w tym CryptoWall, FBI Virus i TeslaCrypt, a każdy z nich ma tysiące wariantów.

 

Czy możesz usunąć oprogramowanie ransomware?

 

To, czy można usunąć oprogramowanie ransomware zależy od typu, którym została zainfekowana firma. Większość oprogramowania ransomware można pokonać za pomocą jednego z trzech następujących podejść:

 

  • Wyczyść i przywróć - najskuteczniejszym sposobem usunięcia oprogramowania ransomware z systemu jest po prostu zastąpienie danych czystą kopią zapasową. Gdy upewnisz się, że wszystkie dane i ślady oprogramowania ransomware zniknęły, możesz przywrócić systemy z kopii zapasowej.

 

  • Odszyfruj dane - odszyfrowanie nie usuwa oprogramowania ransomware, ale neguje jego skutki. Narzędzia deszyfrujące przywracają dostęp i użyteczność danych i systemów oraz eliminują "dźwignię" wymaganą przez oprogramowanie ransomware do odniesienia sukcesu. Niestety, nie wszystkie algorytmy szyfrowania ransomware można odszyfrować za pomocą dostępnych narzędzi. Co więcej, narzędzia te nie zapobiegają również aktywowaniu dodatkowego złośliwego oprogramowania ani usuwaniu danych przez oprogramowanie ransomware.

 

  • Negocjuj - negocjacje są zazwyczaj ostatnią opcją dla firm, które nie mają innego sposobu na przywrócenie utraconego dostępu. Negocjacje zazwyczaj obejmują uiszczenie opłaty na rzecz atakujących ransomware w zamian za klucz szyfrowania. Po uiszczeniu opłaty nie ma gwarancji, że dostarczony klucz będzie działał, lub że atakujący nie zaszyfrują ponownie Twoich danych przy użyciu innego algorytmu.

 

 

Usuwanie ransomware: podejmij natychmiastowe kroki

 

Jeśli Twoja firma została zainfekowana złośliwym oprogramowaniem, oto kilka szybkich kroków, które możesz podjąć, aby je usunąć i zapobiec dalszym szkodom:

  • Izoluj systemy, których dotyczy problem - natychmiast odłącz wszystkie maszyny wykazujące oznaki infekcji z sieci Wi-Fi i przewodowych, aby zapobiec rozprzestrzenianiu się złośliwego oprogramowania w sieci lub komunikowaniu się z systemami dowodzenia i kontroli.

 

  • Zidentyfikuj infekcję - możesz skorzystać z bezpłatnego narzędzia, takiego jak Cyber ​​Sheriff, dostarczonego np. przez McAfee, aby zidentyfikować typ złośliwego oprogramowania, którym jesteś zarażony.

 

  • Zgłoś się do władz - ważne jest, aby zgłosić władzom swój atak ransomware, aby zapewnić organom ścigania więcej informacji o atakach i pomóc im w przeciwdziałaniu napastnikom.

 

  • Określ swoje opcje - w zależności od szczepu złośliwego oprogramowania, którym jesteś zarażony, mogą być dostępne programy odszyfrowujące lub narzędzia do usunięcia infekcji. Sprawdź, czy masz działającą kopię zapasową danych i jak jest aktualna. Ostatecznością jest zapłacenie okupu - nie jest to zalecane przez większość ekspertów ds. bezpieczeństwa, ponieważ zachęca to do przyszłych ataków i w wielu przypadkach dane nie zostaną faktycznie przywrócone.

 

  • Przywróć systemy - rozważ, czy usunąć oprogramowanie ransomware, jeśli jest to możliwe, czy wyczyścić systemy i przywrócić je z kopii zapasowej, bezpiecznych obrazów lub całkowicie ponownie zainstalować systemy operacyjne i aplikacje. Nowsze odmiany oprogramowania ransomware skutecznie omijają programy antywirusowe i inne środki bezpieczeństwa, więc najbezpieczniejszą metodą będzie wyczyszczenie i ponowne uruchomienie.

 

 

Ochrona i zapobieganie ransomware

 

Najlepszym sposobem radzenia sobie z oprogramowaniem ransomware jest zapobieganie infekowaniu systemów przez nie i przygotowanie środków zapobiegających uszkodzeniom w przypadku infekcji. Oto środki zapobiegawcze, które możesz podjąć, aby pomóc na każdym etapie ataku ransomware: przed wykonaniem, po wykonaniu, ale przed zniszczeniem, uszkodzeniem i po uszkodzeniu.

 

Przed uruchomieniem - jak zapobiegać ransomware

 

Aby całkowicie zapobiec ransomware, należy postępować zgodnie ze sprawdzonymi metodami:

 

  • Wdrażaj „gateway defenses” - firewall lub zaporę WAF, ochronę poczty e-mail i filtrowanie spamu oraz systemy zapobiegania włamaniom / wykrywania włamań (IPS / IDS).

 

  • Edukacja pracowników i testy antyphishingowe - warto szkolić pracowników w zakresie zagrożeń związanych z phishingiem i przeprowadzać regularne ćwiczenia, aby sprawdzić, czy Twój personel jest czujny i czy jest w stanie zidentyfikować i uniknąć ataków phishingowych.

 

  • Używaj oprogramowania antywirusowego nowej generacji (NGAV) - starsze oprogramowanie antywirusowe to absolutne minimum. Wykorzystaj program antywirusowy nowej generacji, który jest w stanie wykrywać i blokować złośliwe oprogramowanie, nawet jeśli nie pasuje do znanej sygnatury.

 

 

Pre Damage - zatrzymywanie ataków w czasie wykonywania

 

Aby odizolować atak ransomware, który już się rozpoczął, zapobiec rozprzestrzenianiu się i szyfrowaniu dodatkowych plików, postępuj zgodnie z najlepszymi praktykami:

 

  • Segmentuj dostęp do sieci - upewnij się, że cała sieć nie zostanie zagrożona podczas jednego ataku.

 

  • Używaj wykrywania i reagowania w punktach końcowych (EDR) - narzędzia EDR mogą wykrywać anomalne zachowanie na punkcie końcowym wskazujące na atak ransomware, poddawać kwarantannie punkt końcowy i blokować dostęp do sieci oraz automatycznie zatrzymywać złośliwe procesy.

 

  • Utwórz plan reakcji na incydenty - przygotuj plan reagowania na incydenty dostosowany do scenariusza ataku ransomware. Określ, kto jest odpowiedzialny i co należy zrobić w ciągu pierwszych kilku minut, godzin i dni po ataku. Przeszkol personel w zakresie planu i upewnij się, że wszyscy wiedzą, co zrobić, aby zminimalizować szkody spowodowane atakiem.

 

 

Post Damage - odzyskaj szybko bez płacenia okupu

 

Aby umożliwić szybkie odzyskiwanie danych po przyszłych atakach ransomware, pomocne będą następujące czynności:

 

  • Upewnij się, że kopia zapasowa działa  - każda organizacja powinna mieć system kopii zapasowych i upewnić się, że działa, a także tworzyć kopie zapasowe podstawowych danych w regularnych odstępach czasu.

 

  • Solidny system odzyskiwania danych po awarii - oprócz tworzenia kopii zapasowych zdecydowanie zaleca się posiadanie pełnej repliki środowiska produkcyjnego w chmurze lub w geograficznie oddalonym centrum danych. Pozwoli to w pełni odzyskać systemy produkcyjne poprzez odrzucenie zainfekowanych maszyn i przełączenie operacji na replikę.

 

  • Narzędzia do odszyfrowywania i usuwania złośliwego oprogramowania - przygotuj z wyprzedzeniem narzędzia, które pomogą Ci usunąć oprogramowanie ransomware z zainfekowanych komputerów. Dostępne są deszyfratory dla wielu odmian oprogramowania ransomware. Wybierz rozwiązanie do usuwania oprogramowania ransomware i przećwicz, aby mieć pewność, że będziesz mógł z niego korzystać szybko i skutecznie w przypadku ataku.

 

 

Kompleksowa ochrona przed oprogramowaniem ransomware dzięki Cynet

 

Cynet 360 to platforma zaawansowanego wykrywania i reagowania na zagrożenia, która zapewnia ochronę przed cyber-atakami, w tym oprogramowaniem ransomware, atakami typu zero-day, zaawansowanymi trwałymi zagrożeniami (APT) i trojanami, które mogą ominąć środki bezpieczeństwa oparte na sygnaturach. Cynet zapewnia wielowarstwowe podejście do powstrzymywania ransomware przed wykonywaniem i szyfrowaniem danych:

 

  • Stosuje wiele mechanizmów przeciwko exploitom i bezplikowemu złośliwemu oprogramowaniu, które zwykle służy jako metoda dostarczania ładunku ransomware, zapobiegając przede wszystkim przedostaniu się do punktu końcowego.

 

  • Zapobieganie przed wykonaniem - stosuje analizę statyczną opartą na uczeniu maszynowym w celu zidentyfikowania wzorców oprogramowania ransomware w plikach binarnych przed ich wykonaniem.

 

  • W czasie wykonywania - stosuje analizę behawioralną w celu zidentyfikowania zachowania podobnego do oprogramowania ransomware i zabicia procesu, jeśli wykazuje takie zachowanie.

 

  • Informacje o zagrożeniach - wykorzystuje przekaz na żywo zawierający ponad 30 źródeł informacji o zagrożeniach do identyfikacji znanego oprogramowania ransomware.

 

  • Fuzzy detection - służy do wykrywania automatycznych wariantów znanego oprogramowania ransomware.

 

  • Sandbox - uruchamia dowolny załadowany plik w sandbox’ie i blokuje wykonanie po zidentyfikowaniu zachowania podobnego do oprogramowania ransomware.

 

  • Pliki wabików - umieszcza pliki danych wabików na hostach i stosuje mechanizm zapewniający, że są one pierwszymi zaszyfrowanymi w przypadku oprogramowania ransomware. Gdy Cynet wykryje, że te pliki przechodzą przez szyfrowanie, likwiduje proces ransomware.

 

  • Blokowanie propagacji - identyfikuje sygnaturę aktywności sieciowej generowaną przez hosty podczas automatycznego rozprzestrzeniania się oprogramowania ransomware i izoluje hosty od sieci.

 

Cynet 360 chroni organizacje przed oprogramowaniem ransomware, a także przed innymi zaawansowanymi zagrożeniami.

 

Więcej wpisów w blogu

Jak sztuczna inteligencja zmienia firmy?

Obecnie ilość gromadzonych i przetwarzanych informacji jest większa niż kiedykolwiek wcześniej. Fakt ten w pewien sposób rewolucjonizuje sposób działania organizacji. Firmy wykorzystują zaawansowaną analitykę, aby uzyskać przewagę konkurencyjną na swoich rynkach, nieustannie zmieniając modele biznesowe w miarę rozwoju technologii w tym obszarze. Przyjrzyjmy się, w jaki sposób oprogramowanie oparte na sztucznej inteligencji i machine learningu zmienia analitykę biznesową i czego możemy się spodziewać po AI w kontekście przyszłości.