Rok 2017 upłynął pod znakiem ataków ransomware. Ataki te wywołały niemałe zamieszanie na całym świecie wśród osób prywatnych, przedsiębiorstw i instytucji państwowych. Zgodnie z raportem opublikowanym przez Malwarebytes Labs, liczba ataków ransomware w 2017 roku, w porównaniu do roku 2015, wzrosła o 2000%, przy czym ataki przeprowadzone w ubiegłym roku były zdecydowanie bardziej szkodliwe.
Dwie najgorsze odmiany wirusa ransomware, z jakimi dotąd przyszło nam się zmierzyć, to WannaCry i NotPetya.
W maju 2017 roku WannaCry spowodował poważne szkody na całym świecie. Szacuje się, że zaatakował około 300 000 komputerów w 150 krajach. Wirus rozprzestrzeniał się na sprzętach z Windowsem, które nie miały zainstalowanych odpowiednich poprawek i nie były na bieżąco aktualizowane. Złośliwe oprogramowanie szyfrowało dane i żądało okupu w postaci bitcoinów. Więcej o ataku przeczytasz tutaj.
Miesiąc później zaatakował ransomware Petya, znany również jako NotPetya. Wirus szalał nie tylko na Ukrainie, jak początkowo sądzono, ale zainfekował także setki tysięcy komputerów w ponad 100 krajach na całym świecie w ciągu zaledwie kilku dni (w tym w Polsce). Straty odnotowane przez organizacje były ogromne – na przykład globalna firma farmaceutyczna Merck tylko w trzecim kwartale straciła ponad 300 milionów dolarów tylko w wyniku tego ataku.
Ransomware odnosi sukcesy
Firma Carbon Black, dostawca oprogramowania do zwalczania złośliwego oprogramowania, opublikowała w październiku ubiegłego roku badanie, które wykazało wzrost sprzedaży oprogramowania ransomware w darknecie na poziomie 2500% w latach 2016-2017. Według danych pochodzących z raportu ponad 6300 witryn oferuje obecnie rozwiązania do przeprowadzania własnych ataków.
Sophos Labs w swojej rocznej prognozie bezpieczeństwa na 2018 rok przewiduje wzrost liczby ataków ransomware. Według badaczy, Android i Windows wciąż będą łakomymi kąskami dla tego typu zagrożeń.
Według Kapersky Lab, w tym roku głównym celem cyberprzestępców będą firmy. W ubiegłym roku 26,2% ataków było wymierzonych w przedsiębiorstwa – jest to wzrost o 3,6% w porównaniu z rokiem 2016. Eksperci z Kapersky potwierdzają, że aż 65% firm poważnie ucierpiało na skutek utraty danych lub nie odzyskało już dostępu do swoich plików. Kaspersky nie przewiduje wyraźnego wzrostu ataków ransomware w tym roku, jednak ostrzega przed bardziej zaawansowanymi atakami na urządzenia mobilne i wzrostem tzw. ataków destrukcyjnych.
Czym jest wiper?
W zeszłym roku poznaliśmy kolejną odmianę ransomware. To wirus, który w rzeczywistości nie jest prawdziwym ransomware, ale raczej narzędziem szyfrującym dane na zawsze. ExPetr/NonPetya w ubiegłym roku pojawiły się jako ransomware, ale tak naprawdę miały na celu całkowite zniszczenie danych ofiary, a nie uzyskanie korzyści finansowych. Ofiara, nawet po wpłaceniu okupu, nie otrzymywała z powrotem odszyfrowanych danych. Według Kaspersky Lab w tym roku będziemy mieli do czynienia z atakami z wykorzystaniem programu wiper na większą skalę.
Jak skutecznie chronić się przed ransomware, złośliwym oprogramowaniem i innymi wirusami?
Z uwagi na to, że istnieje wiele różnych odmian wirusów, należy pamiętać o trzech głównych wskazówkach:
Bezpieczeństwo poczty elektronicznej
Według ekspertów z firmy Sophos, poczta elektroniczna pozostanie głównym celem ataków zagrażających cyberbezpieczeństwu, zwłaszcza w przypadku celowych ataków. Dlatego też zabezpieczenie tego „najsłabszego ogniwa” ma kluczowe znaczenie dla każdego, kto jest połączony z Internetem.
Pamiętaj: Większość ataków ransomware inicjowanych jest przez zwykły e-mail ze złośliwym załącznikiem, takim jak dokument, zdjęcie, wideo lub inny plik. Mając to na uwadze, absolutnie nie otwieraj i nie pobieraj załączników od nieznanych nadawców! Jeśli jesteś pewien, że e-mail nie jest adresowany do Ciebie, natychmiast go usuń.
Bezpieczeństwo sieci i środowiska IT
Sytuacja, w której jeden komputer zostanie zaszyfrowany przez ransomware, jest zdecydowanie negatywnym incydentem, jednak kiedy złośliwe oprogramowanie rozprzestrzeni się po całej sieci, może stać się to nie tylko koszmarem dla działu IT, ale zagrozić całemu przedsiębiorstwu.
Firmy, które jeszcze tego nie zrobiły, powinny rozważyć wdrożenie oprogramowania zabezpieczającego dane, które zostało zaprojektowane specjalnie do sprawdzania wszystkich wiadomości przychodzących, przed dostarczeniem ich z serwera do docelowego odbiorcy. Dzięki takiemu rozwiązaniu ryzyko rozprzestrzenienia się wirusa wewnątrz sieci firmowej może zostać zdecydowanie zmniejszone. Co więcej, administratorzy IT powinni rozważyć wdrożenie oprogramowania, które automatycznie monitoruje sieć i jej pliki. Takie rozwiązanie wysyłałoby alarm, gdyby wirus próbował zaszyfrować pliki w sieci. Rozwiązania takie często sprawdzają również ruch wychodzący na zewnątrz, więc gdy ransomware próbowałby połączyć się z zewnętrznym serwerem, aby rozpocząć proces szyfrowania, proces ten mógłby zostać zakończony jeszcze we wczesnej fazie.
Pamiętaj: Zawsze na bieżąco aktualizuj oprogramowanie i systemy operacyjne.
Edukacja pracowników
O ransomware i złośliwym oprogramowaniu pisaliśmy już na naszym blogu wielokrotnie, ale wciąż widzimy, że w przypadku ataku szyfrującego, nawet najbardziej doświadczeni użytkownicy wpadają w panikę. Dlatego każdy pracownik w firmie powinien dokładnie wiedzieć, co robić, kiedy padnie ofiarą ransomware.
Proste wskazówki jak na przykład…
- odłączyć urządzenie od Internetu i sieci wewnętrznej,
- spróbować prawidłowo wyłączyć urządzenie,
- niezwłocznie poinformować osoby odpowiedzialne w firmie za bezpieczeństwo IT,
… powinien mieć w małym palcu każdy pracownik. Zwłaszcza pracownicy działu bezpieczeństwa i administracji IT powinni być zawsze najlepiej poinformowani o wydarzeniach i trendach w dziedzinie cyberbezpieczeństwa.
Co zrobić, jeśli jednak Twoje dane zostaną zaszyfrowane przez ransomware?
Jeżeli wirus zaszyfrował Twoje dane, powinieneś wykonać następujące czynności:
Pod żadnym pozorem nie płać okupu. Nigdy nie masz gwarancji, że cyberprzestępcy odszyfrują Twoje dane. W wielu przypadkach (np. ranscam bądź wiper) nie odzyskasz swoich danych, a jedynie stracisz pieniądze.
Nie próbuj samodzielnie odszyfrowywać swoich danych, jeśli nie wiesz, jak to zrobić. Jest to bardzo ryzykowne – jeśli coś pójdzie nie tak, możesz stracić dane na zawsze.
Lepiej skontaktować się ze specjalistyczną firmą dostarczającą usługi odzyskiwania danych taką jak Ontrack, która dysponuje wszystkimi niezbędnymi narzędziami do ratowania danych. A kiedy przypadek nie jest zbyt skomplikowany, odzyskiwanie danych nie trwa długo i jest o wiele tańsze niż utrata danych po raz drugi.
Jak eksperci ds. odzyskiwania danych mogą pomóc w takiej sytuacji?
Z perspektywy specjalisty ds. odzyskiwania danych każdy przypadek ataku ransomware jest inny. Istnieje nie tylko duża różnica w sposobie, w jaki różne warianty złośliwego oprogramowania szyfrują dane i rozprzestrzeniają się poprzez sieć, ale także w ich celach, np. w środowisku komputerowym lub sieciowym. Dla atakującego obojętne jest, jaki system zostanie zaszyfrowany, jeżeli atak się powiedzie, a ofiara zapłaci okup. Dla eksperta w zakresie odzyskiwania danych nie jest to jednak bez znaczenia. Niektóre systemy i struktury danych są bardziej wymagające i potrzebują więcej czasu na naprawę niż inne. Czas to pieniądz – zwłaszcza w kwestii odzyskiwania danych.
Bez względu na to, czy cyberprzestępca ma na celu zaatakowanie urządzenia osoby prywatnej, czy też chce zniszczyć infrastrukturę firmy, znajdzie braki w sieci, systemie operacyjnym lub procesach bezpieczeństwa danych. Najlepszą obroną jest wdrożenie odpowiedniej procedury tworzenia kopii zapasowych, aby Twoja infrastruktura nawet po infekcji mogła znowu działać tak szybko, jak to tylko możliwe.
W przypadku niedziałającej kopii zapasowej lub zaszyfrowania jej wirusem ransomware najlepiej skontaktować się z profesjonalnym dostawcą usług odzyskiwania danych, który będzie w stanie odzyskać zarówno szyfrowane, jak i uszkodzone kopie zapasowe.
Od ponad 30 lat Ontrack specjalizuje się w odzyskiwaniu danych ze wszystkich najważniejszych rozwiązań do tworzenia kopii zapasowych, jak również danych zaszyfrowanych przez ransomware. W ciągu ostatnich lat nasi specjaliści opracowali autorskie narzędzia do odzyskiwania danych zaszyfrowanych przez 225 różnych odmian wirusa. Stale rozwijamy nowe narzędzia i metody dla nowo tworzonych i bardziej zaawansowanych typów złośliwego oprogramowania.