Zapobieganie atakom ransomware

Wśród ekspertów od cyberbezpieczeństwa zdania na temat tego, czy powinno się płacić okup, są podzielone. FBI odradza płacenie okupu. Niektóre ofiary po zapłacie odzyskują dostęp do swoich plików. Inne jednak i tak nie dostają klucza. Na przykład twórcy programu Petya w ogóle nie przewidzieli metody rozszyfrowywania danych.

Dlatego generalnie eksperci zalecają odradzają płacenie okupu w ramach minimalizacji strat. Z drugiej strony utrata danych może wywrzeć gigantyczny wpływ na organizację, a liczba hakerów próbujących wymuszać okupy stale rośnie. Początkowo twórcy programu Petya żądali 300 dolarów w bitcoinach. Nowsze wersje oprogramowania żądają setek tysięcy dolarów w kryptowalucie. Model biznesowy oparty na ransomware istnieje tylko dlatego, że przestępcy wciąż dostają zapłaty. Gdyby wykluczyć możliwość otrzymania okupu, ta branża błyskawicznie by upadła.

Zapłacenie okupu nie gwarantuje otrzymania klucza prywatnego pozwalającego odzyskać dane. Dlatego pliki należy chronić przez włączenie odpowiednich środków bezpieczeństwa do codziennych operacji. Dzięki temu w razie ataku można przywrócić ich pierwotny stan. To oznacza, że kopie zapasowe są nie do przecenienia.

Środki ochrony

• Kopie zapasowe
• Szkolenie użytkowników
• Wysyłanie podejrzanych wiadomości e-mail do kwarantanny
• Filtrowanie treści

Odpowiednie przeszkolenie użytkowników znacznie zmniejsza ryzyko infekcji, ponieważ większość ataków typu ransomware zaczyna się od złośliwej wiadomości e-mail. Każdego można nauczyć rozpoznawania różnych rodzajów cyberzagrożeń, takich jak ransomware, phishing czy podstępy wykorzystujące wiedzę z zakresu inżynierii społecznej. Użytkownicy przeszkoleni w zakresie rozpoznawania złośliwych wiadomości rzadziej otwierają zainfekowane załączniki.

Czasami hakerzy stosują w swoich atakach inżynierię społeczną. Techniki te są wykorzystywane w atakach na konkretnych użytkowników sieci, posiadających wysokie uprawnienia. Haker zakłada, że taka osoba ma w swoim komputerze bardzo ważne dane lub posiada dostęp do systemów i infrastruktury o krytycznym znaczeniu dla firmy. To zwiększa szansę na to, że dana organizacja zapłaci okup.

Zawsze instaluj wszystkie najnowsze łaty bezpieczeństwa oprogramowania układowego, aplikacji antywirusowych, systemów operacyjnych i innych programów. Nowe oprogramowanie typu ransomware pojawia się regularnie, a aktualizacje oprogramowania dają pewność, że program antywirusowy będzie umiał je wykryć.

Przykładem zagrożenia dla systemu operacyjnego jest WannaCry. To malware wykorzystujący exploit EternalBlue stworzony przez amerykańską agencję National Security Agency (NSA). Wykorzystuje on lukę w protokole SMB (Server Message Block) systemu operacyjnego Windows. Firma Microsoft opublikowała łaty powstrzymujące WannaCry na 30 dni przed infekcjami. Bez nich system operacyjny Windows jest bezbronny.

Niedawno obserwowaliśmy, jak w atakach typu ransomware wykorzystywano lukę ZeroLogon.

Najlepszym sposobem na powrót do normalności po ataku ransomware jest przywrócenie danych z kopii zapasowej. Kopie zapasowe są dodatkowym magazynem danych, który pozwala uniknąć płacenia okupu za ich rozszyfrowanie. Hakerzy wiedzą o ich istnieniu i dlatego w swoich programach implementują skanery sieci poszukujące plików kopii zapasowych. Po przywróceniu danych z kopii zapasowej nadal trzeba usunąć ransomware z sieci.

Aby skutecznie ochronić kopię zapasową plików przed zaszyfrowaniem, najlepiej jest ją przechowywać w innym miejscu. Większość firm wybiera do tego celu magazyny chmurowe. Przechowywanie kopii zapasowych w chmurze chroni je przed ransomware i innymi cyberzagrożeniami.