W poprzednim artykule omówiliśmy sobie zjawisko jakim jest PHISHING, przejdźmy zatem do omówienia kolejnego zagrożenia, jakim jest Ransomware.
Tak więc do dzieła! 😉
Według słownikowej definicji:
RANSOMWARE – To nic innego jak rodzaj szkodliwego, złośliwego oprogramowania (malware), powodującego utratę dostępności informacji, za przywrócenie której atakujący żąda od zaatakowanego okupu.
To złośliwe oprogramowanie, przejmuje kontrolę nad systemem i zaszyfrowuje dane, czasami atakuje pojedyncze pliki. Próba uzyskania dostępu do zaszyfrowanych plików wygląda następująco: wyświetla się powiadomienie, że będą one zablokowane, dopóki nie zapłacisz okupu.
Nie ma co owijać w bawełnę – w tym ataku chodzi głownie o zysk! Głównym cel to jak zarobić na tych, którzy uruchomili niebezpieczne oprogramowanie.
Nie da się ukryć również, że głównym czynnikiem infekcji jest błąd ludzki: uruchomienie złośliwego załącznika (w którym kryje się złośliwe oprogramowanie) np. z poczty czy otwarcie dokumentu tekstowego.
Bowiem, częstą formą ataku jest plik Worda/Excela. Tak naprawdę, sam tekst nie stanowi zagrożenia, tylko złośliwy kod przygotowany przez programistę, który może zostać uruchomiony po otwarciu pliku – a wydarzy się to w momencie, gdy użytkownik potwierdzi taką operacje.
Zwyczajowo ataki typu ransomware kojarzone były z blokowaniem dostępu do danych. Pomimo, że nie jest to „nowość”, to coraz częściej trafiamy na nowe techniki wykorzystywane przez przestępców. Obecnie cyberprzestępcy stosują bardziej wyrafinowane sposoby działania. Coraz częściej zaszyfrowane dane trafiają na serwery cyberprzestępców, a ofiary są szantażowane ich ujawnieniem lub sprzedażą na czarnym rynku. Atakujący żądają okupu, a w DarkNecie (ukryta część Internetu nazywana również „ciemną strona Internetu”, gdzie handluje się m.in. nielegalnymi produktami) tworzą się firmy specjalizujące się w negocjacjach z hakerami. Wniosek: Zmieniła się nie tylko forma, ale również cel ataków ransomware.
Na kogo są kierowane tego typu ataki?
RANSOMWARE ATAKUJE WSZYSTKICH, ZARÓWNO UŻYTKOWNIKÓW INDYWIDUALNYCH, JAK I BIZNES CZY STRUKTURY ADMINISTRACJI PAŃSTWOWEJ.
W prozie życia codziennego, często zabiegani, zapominamy o odbytym szkoleniu w pracy, które właśnie dotyczyło zagrożeń związanych z cyberbezpieczeństwem, o radiowej edycji, którą słuchaliśmy w drodze do domu, a która dotyczyła złośliwego oprogramowania, czy czasami rozmawiając ze swoimi domownikami, których sami zapewne nie raz uczulamy, żeby np. nie klikali w podejrzany link czy zasłaniali kamerki w laptopach (jeśli nie wykonujemy w tym momencie spotkań online) bo przecież ktoś nas może podejrzeć.
Różne zagrożenia pojawiają się w naszych głowach, ale po chwili…..no właśnie… oddajemy się prozie życia.
Żeby to sobie zwizualizować, wyobraźmy sobie taką sytuację: Jesteś Prezesem Spółki, mówiąc kolokwialnie Szefem Organizacji i przychodzi do Ciebie księgowa, z informacją, że wszystkie dane finansowe „znikły”- mówiąc dokładniej zostały zaszyfrowane – czyli z jednej strony są ale tak jakby ich nie było.
Jak do tego doszło?
Główną przyczyną jest czynnik ludzki, w tym przypadku wystarczy tylko kliknięcie.
Nie mówcie proszę: „Ja na pewno bym nie otworzył/otworzyła takie dokumentu” jesteś tego pewien/na?
Proste przykłady z życia codziennego:
Przykład I: Przyszedł mail, w temacie „niezapłacona faktura”, następnie w treści wyświetla się informacja: „PROSIMY O UREGULOWANIE PŁATNOŚCI, SZCZEGÓŁY W ZAŁĄCZNIKU” I jak w tym przypadku postąpisz? Jaka będzie twoja reakcja? Przecież co miesiąc płacisz fv i jest szansa, że w ferworze pracy i zadań życia codziennego zapomniałeś/aś zapłacić, więc… Klikasz w dokument – przecież nie chcesz mieć zaległości.
Przykład II: Jaki pracownik nie otworzy pliku Excel o nazwie „Premia miesięczna”? Niespodzianka! Załączony plik Excel okazuje się być oprogramowaniem typu ransomware, które skutecznie zaszyfruje komputer, a atakującemu pozwoli uzyskać szansę na otrzymanie okupu w zamian za odszyfrowanie maszyny😊
Przykład III: Na twoją skrzynkę mailową przychodzi wiadomość, np. newsletter reklamujący niesamowitą promocję na torebki czy buty. Ewentualnie coś dla panów np. jakiś gadżet. I co robisz? Oczywiście szybko go otwierasz i nie dowierzasz w to co widzisz – ktoś uzyskał dostęp do Twojej kamery w laptopie i ma nagrania z całego tygodnia – nagrał wszystko co robiłeś/aś. Jaka by była Twoja reakcja w tym przypadku?
Popatrzmy na to z boku: przestępca wyśle takiego maila do miliona użytkowników, to zapewne znajdzie się jakiś procent osób, które nie będą pewne swoich poczynań i wpłaci odpowiednią kwotę. Przecież co roku różne „bazy” padają ofiarami wycieków twoich haseł, żeby uwiarygodnić wiadomość, haker w wiadomości wpisze twoje hasło (które być może teraz albo kiedyś używałeś)
Niestety ale można tak sypać przykładami jak z przysłowiowego rękawa 😉
Pierwsze pytanie, które się nasuwa na myśl: I co teraz, płacić czy nie?
Chociaż w przypadku ataku ransomware niektórym firmom/osobom może wydawać się, że zapłacenie okupu to łatwiejsze rozwiązanie, konieczne jest uwzględnienie kilku czynników. Przede wszystkim, współpraca z cyberprzestępcami nie gwarantuje ustania zagrożenia. Co więcej, stanowi wyraźny sygnał, że w przyszłości ofiara również będzie gotowa do zapłacenia okupu. Możliwe jest też, że pewna część danych została już ujawniona, co będzie skutkować długofalowymi problemami.
W mojej opinii, lepszym rozwiązaniem będzie wykonanie kilku kroków:
- Nie resetuj komputera
- Odizoluj komputer od sieci np. router
- Zrób zdjęcie ekranu z wymuszeniem okupu
- Zawiadom organy ścigania o popełnieniu przestępstwa, szyfrowanie danych może mieć podstawę prawną w art. 268a Kodeksu karnego, a w przypadku żądania okupu — jest to przestępstwo określone w art. 287 Kodeksu karnego.
- Zgłoś incydent do CERT Polska https://incydent.cert.pl/. Można również poinformować Prezesa UODO o zgłoszeniu takiego incydentu.
Moim zdaniem, być może nietypowo, ale warto jest, aby czasem zastanowić się i pomyśleć tak, jak myślą przestępcy i nie kierować się oraz nie podejmować zbyt szybkich decyzji w momencie silnych emocji, które na pewno towarzyszą we wskazanych powyżej przykładach.
Dobrze, już wiemy czym jest ransomware, znamy przykłady tego typu ataków i wiemy co zrobić w razie takiego zdarzenia.
Teraz chciałabym wskazać Państwu kilka zasad, dzięki którym być może zwiększy się zapobieganie czy też ograniczanie wpływu ataków Ransomware.
1. Zawsze miej kopie zapasowe
Tworzenie kopii zapasowych niezbędnych plików, umożliwi nam przywrócenie danych.
Zatem dbaj o regularne tworzenie kopii zapasowych danych. Zapisuj je również offline.
Hakerzy wiedzą, że większość firm ma kopię zapasową przechowywaną gdzieś w swojej sieci. Dlatego używają oprogramowania, które skanuje ich docelową sieć w poszukiwaniu plików kopii zapasowych. Najprostszym sposobem jest zapisanie kopii plików kopii zapasowych poza witryną. Korzystanie z usług w chmurze jest tutaj zwykle najlepszym wyborem. Przechowując ważne pliki i dane w chmurze, zazwyczaj zabezpieczasz swoje pliki przed oprogramowaniem ransomware i innymi naruszeniami bezpieczeństwa.
2. Użyj oprogramowania, aby wykryć ransomware.
Jednym ze sposobów walki z ransomware jest zainstalowanie oprogramowania, które wykrywa zagrożenie lub inne złośliwe oprogramowania. Aplikacje te powiadamiają system za każdym razem, gdy złośliwe oprogramowanie robi coś podejrzanego, na przykład zmienia nazwę wielu plików. Inne oprogramowanie chroni sieć przed innym złośliwym oprogramowaniem. Jest to jedna z tych aplikacji, które mogą wykryć ransomware, zanim będzie mogło je uruchomić.
3. Aktualizuj oprogramowanie
Rekomenduję, aby zwracać uwagę, na to, że zainstalowanie oprogramowania, które chroni firmę przed ransomware, nie wystarczy. Oprogramowanie lub aplikacje takie jak to, muszą być monitorowane, bo należy je zaktualizować. Te aktualizacje są ważne, ponieważ nowsza wersja może być bardziej wydajna w zapewnianiu bezpieczeństwa sieci i wsparcia. Dlatego aktualizowanie oprogramowania jest jednym z najlepszych narzędzi do zmniejszenia ryzyka ataku ransomware.
Pamiętaj! Jeśli nie masz czasu na ciągłe sprawdzanie dostępności aktualizacji, możesz włączyć automatyczne aktualizacje, aby te programy mogły się aktualizować.
4. Szkolenie uświadamiające
Ważnym aspektem w zakresie cyberbezpieczeństwa dla pracowników jest zwiększenie wiedzy cybernetycznej i zmniejszenie ryzyka włamania lub ataku. Żeby o to zadbać istotne są szkolenia uświadamiających dla pracowników. Jest to dobra inwestycja dla Twojej firmy. Biorąc pod uwagę, że to oni pracują dla Twojej firmy i często zajmują się poufnymi danymi, zawsze dobrą decyzją jest edukowanie pracowników na temat tego, co robić, na co zwracać uwagę oraz czego nie robić online.
Dostarczaj pracownikom aktualnych informacji o nowych typach ataków socjotechnicznych. Tylko odpowiednia wiedza pozwoli im zachować czujność.
Ważne: Ćwicz strategie reagowania na incydenty związane z bezpieczeństwem – upewnij się, że wszyscy pracownicy wiedzą, co powinni robić w przypadku ataku.
5. Regularnie monitoruj swoją sieć
Mimo, że ataki ransomware są dużym wyzwaniem, możesz zapobiec gorszym scenariuszom, jeśli wykryjesz je wystarczająco wcześnie.
Twoja strona www powinna być porządnie zabezpieczona i stale monitorowana, gdyż może być najsłabszym ogniwem Twojej firmy. Staraj się zawsze aktualizować aplikacje i system operacyjny, gdy to możliwe.
Postępując zgodnie z pięcioma wyżej wymienionymi praktykami i stale ucząc się więcej o tej przestrzeni, sprawiasz, że Twoje pliki i biznes są o wiele bezpieczniejsze.
Na koniec artykułu chciałam podzielić się z Państwem pewną myślą.
Coraz więcej mamy do wyboru różnego rodzaju oprogramowania, sprzętu IT itp. I może Nam się wydawać, że jesteśmy w pełni bezpieczni i już nic nam nie grozi.
Proszę pamiętajcie jednak, że bezpieczeństwo to podróż. To nie jest „paczka” a w niej wszystko, co Nam potrzeba na wszystkie lata, aby się ochronić przed cyberzagrożeniami.
Tak naprawdę to proces, to lekcje, i ciągłe doskonalenie.
Technologie tak szybko się zmieniają, że i My musimy się stale edukować.
Wiedza = narzędzie walki z nowymi formami ransomware’u.
Zamiast okupu – współpraca z organami ścigania.
Ewa Sobczyk | Kierownik Projektu w CompNet Sp. z o.o.