Plaga ransomware

Plaga ransomware

Opublikowano 1 września 2020 o 16:57


Czym jest ransomware

Ransomware jest rodzajem złośliwego oprogramowania, które ogranicza użytkownikowi dostęp do komputera, w celu wymuszenia okupu za jego przywrócenie. Nazwa ransomware pochodzi z języka angielskiego, od słów “ransom” – okup oraz “software” – oprogramowanie. Najprostsze ataki programami tego typu wyłącznie blokują system poprzez np. założenie dodatkowego hasła, jednak tego typu ataki nie stanowią poważnego zagrożenia, a do usunięcia ich skutków wystarczy antywirus i nieco wiedzy na temat działania komputera. Dużo bardziej niebezpieczne są ataki, w wyniku których dane na komputerze ofiary zostają zaszyfrowane. Obecnie stosowane algorytmy szyfrujące są na tyle mocne, że odszyfrowanie danych i przywrócenie komputera do poprzedniego stanu bez klucza deszyfrującego w praktyce jest niewykonalne.

Skąd właściwie bierze się takie oprogramowanie? Zazwyczaj tworzone jest przez grupy profesjonalistów, a następnie umieszczane na komputerze (lub w sieci) ofiary przez hakera (lub częściej grupę hakerów) poprzez wykorzystanie różnych technik obchodzenia lub łamania zabezpieczeń. Atakujący zwykle wykorzystują technologie związane z BitCoinem w celu uzyskania okupu, a po jego uzyskaniu przesyłają ofierze klucz, który pozwala na odszyfrowanie danych i przywrócenie systemu do stanu sprzed ataku. Należy jednak bardzo uważać, ponieważ nigdy nie ma gwarancji, że atakujący nie zniknie z okupem, pozostawiając nas z zablokowanym komputerem. Z tego względu zdecydowanie odradzamy płacenie okupu hakerom. Jeśli padniemy ofiarą ataku ransomware w pierwszej kolejności powinniśmy zasięgnąć porady profesjonalnej firmy zajmującej się cyberbezpieczeństwem i/lub odzyskiwaniem danych - w takim wypadku oczywiście zachęcamy do skorzystania z usług Kodum.

Wakacje 2020

Podczas tegorocznych wakacji (okres czerwiec-lipiec 2020) mogliśmy obserwować plagę ataków ransomware. Co ciekawe, ataki te nie uderzały wcale z zwykłych użytkowników, a w olbrzymie korporacje, które (wydawałoby się) powinny być przed takimi atakami dobrze zabezpieczone. Praktyka pokazała jednak coś zupełnie innego. Przede wszystkim chcielibyśmy poruszyć kwestię 3 ataków, wymierzonych w firmy Garmin (międzynarodowa korporacja dostarczająca technologie związane z GPS), Canon (jeden z największych producentów aparatów fotograficznych) oraz CWT (gigant w branży turystycznej).

Garmin padł ofiarą ataku pod koniec lipca, kiedy to nagle większość serwisów internetowych firmy przestało działać. Jak się szybko okazało, Garmin padł ofiarą ataku ransomware, za którym stała rosyjska grupa hakerów, znana pod nazwą Evil Corp. Oprogramowanie na tyle skutecznie sparaliżowało sieć, że firma postanowiła zapłacić niebotyczną kwotę 10 milionów dolarów okupu w zamian za klucz szyfrujący. Warto w tym miejscu wspomnieć, że w Stanach Zjednoczonych transakcje takie są nielegalne - pokazuje to tylko, że firma wolała narazić się na sankcje prawne i dodatkowo zaryzykować okup (nie miała gwarancji, że hakerzy nie znikną wraz z kluczem po otrzymaniu pieniędzy), niż pozostać uziemiona przez dłuższy okres.

CWT (wcześniej znane pod nazwą Carlson Wagonlit Travel) również padło ofiarą ataku ransomware pod koniec lipca. Firma natychmiast postanowiła zapłacić okup - co ciekawe, negocjator firmy po rozmowie z hakerami wynegocjował okup w wysokoći 4,5 miliona dolarów (na początku miało to być 10 milionów), który został błyskawicznie zapłacony. W tym wypadku, tak jak w wypadku Garmina, grupa odpowiedzialna za atak przekazała klucz szyfrujący po otrzymaniu pieniędzy.

Canon padł ofiarą ataku w sierpniu. Dane firmy zostały nie tylko zaszyfrowane złośliwym programem o nazwie Maze, ale także skopiowane i ukradzione. Firma prawdopodobnie odmówiła zapłaty okupu (Canon nadal nie wydał oficjalnego oświadczenia w tej sprawie), w wyniku czego w połowie sierpnia hakerzy ujawnili 2,2 GB danych z wycieku (według grupy odpowiedzialnej za atak, udało im się ukraść 10 TB danych). Na ten moment nie znamy więcej szczegółów.

Jak się zabezpieczać

W przypadku większości zwykłych użytkowników, zabezpieczenie się przed ransomware nie jest bardzo skomplikowane. W zupełności wystarczy przestrzegać poniższych zasad:

  • Na bieżąco aktualizuj swoją przeglądarkę i oprogramowanie
  • Nie klikaj w podejrzane linki, szczególnie w mailach
  • Używaj renomowanego antywirusa
  • Używaj mocnych haseł (co najmniej 12 znaków, małe i wielkie litery, co najmniej 1 cyfra i 1 znak specjalny)
  • Nie używaj tego samego hasła w wielu miejscach (zalecamy korzystanie z menadżera haseł)
  • Nie łącz się z publicznymi sieciami WiFi, których nie znasz

Sprawa jest bardziej złożona w przypadku sieci firmowych (dużych lub małych). W takiej sytuacji również mamy garść mocno technicznych porad skierowanych do administratorów takich sieci:

  • Wprowadź politykę zmiany haseł raz w miesiącu i wprowadź wymaganie ustawiania mocnych haseł
  • W polityce grupowej ustaw wartość WDigest na "0". Jeżeli wartość UseLogonCredential jest ustawiona na "0", WDigest nie będzie przechowywać danych logowania w pamięci
  • Nadając uprawnienia użytkownikom, nadawaj wyłącznie te niezbędne. Pozwalaj na uruchamianie przez użytkowników wyłącznie niezbędnych programów
  • Używaj oprogramowania EDR (Endpoint Detection and Response)
  • W wypadku dużych firm/korporacji zalecane jest, aby sieć była nadzorowana 24h na dobę (np. przez 3 administratorów pracujących na zmianę po 8h)

Dodatkowo, w obu wypadkach (zarówno dla zwykłych użytkowników jak i dla administratorów) bardzo dobrą praktyką będzie backup (kopia zapasowa). Jeżeli posiadamy kopię zapasową naszych plików, możemy łatwo uniknąć płacenia hakerom okupu, przy jednoczesnym zminimalizowaniu strat w naszych plikach/danych. Oczywiście im częściej robiona kopia zapasowa, tym mniejsze potencjalne straty.

Podsumowanie

Ransomware jest bardzo złośliwym i bardzo groźnym (szczególnie dla firm) oprogramowaniem. W przypadku wielkich ataków, które miały miejsce w czasie wakacji, hakerzy postąpili uczciwie (jeśli w ogóle można mówić tutaj o uczciwości) i przekazali klucze po zapłacie okupu. Należy jednak pamiętać, że mimo wszystko lepiej jest odmówić zapłaty, ponieważ nigdy nie mamy pewności, że naprawdę odzyskamy dostęp do naszych danych. Chociaż ryzyko padnięcia ofiarą takiego ataku może wydawać się niewielkie, lepiej pozostać na niego przygotowanym, korzystając z usług firm przeprowadzających audyt bezpieczeństwa IT i/lub testy penetracyjne. Warto także zadbać o kopie zapasowe swoich danych, tak jak już wspominaliśmy powyżej.