Prosimy o wyłączenie blokowania reklam i odświeżenie strony.
Ransomware 2024: jak walczyć z cybergangami?
Choć oprogramowanie ransomware nie jest nowym zagrożeniem (jego początki sięgają 1989 roku), nieustannie destabilizuje funkcjonowanie szpitali, hoteli, stacji benzynowych, sklepów spożywczych, a nawet linii lotniczych. Dane napływające od dostawców systemów bezpieczeństwa IT nie napawają optymizmem. Według raportu
„Cyberbezpieczeństwo w liczbach” w styczniu ubiegłego roku
na całym świecie 66% firm padło ofiarą ransomware.
Jednak takie zestawienia nie oddają skali problemu, bowiem ofiary ataków starają się, aby informacje o incydentach nigdy nie ujrzały światła dziennego. Co gorsza, większość ofiar płaci okup za odszyfrowanie danych. Jak wynika z badania Splunk
aż 4 na 5 przyznało się do zapłacenia haraczu cyberprzestępcom.
Hakerzy, aby zwiększyć skuteczność, sięgają nowe metody.
W ubiegłym roku były to ataki na łańcuchy dostaw. Szczególnie dokuczliwy okazał się
MoveIt. Gang ransomware
Clop znalazł lukę w aplikacji do przesyłania plików zarządzanych przez oprogramowanie
Progress Software. Na liście ofiar znalazły się agencje rządowe USA, BBC, British Airways czy władze kanadyjskiej prowincji Nowa Szkocja. Analitycy oszacowali, że
MoveIt był odpowiedzialny za ponad 600 naruszeń.
Gangi ransomware nie omijają Polski.
Pod koniec ubiegłego roku miał miejsce jeden z najgroźniejszych incydentów -
wyciek danych pacjentów ALAB Laboratoria, jednej z największych ogólnopolskich sieci laboratoriów medycznych.
Do sieci dostały się wyniki badań przeprowadzonych przez laboratorium w ciągu ostatnich kilku lat. Przestępcy, którzy twierdzą, że zdobyli ponad
230 GB danych, udostępniali dane w kilku próbkach - w listopadzie opublikowali dane z trzech przychodni, następnie dane pacjentów z innych przychodni, w kolejnym kroku pojawiły się dane nawet z listopada 2015, a z końcem roku nadano tym informacjom bardziej uporządkowaną formę. Dane podzielono na katalogi, których czterocyfrowa nazwa była początkiem numeru PESEL, co umożliwia sprawdzenie pojedynczej osoby bez konieczności pobierania gigabajtów danych. Wyciek objął nie tylko dane medyczne, ale także osobowe pracowników ALAB Laboratoria.
Pozyskane przez cyberprzestępców informacje mogą posłużyć do przeprowadzenia spersonalizowanych ataków socjotechnicznych.
- Jeśli przekazywaliśmy dane firmie, w której doszło do ataku ransomware, najbezpieczniej jest założyć, że nasze dane wyciekły i wzmożyć czujność w następnych latach. Kiedy otrzymamy telefon, bądź informację, która ma na celu zweryfikowanie czy potwierdzenie naszych danych, bądź skłonienie do innych natychmiastowych działań, warto wziąć głęboki oddech i nie działać pod wpływem impulsu. Jednym ze sposobów weryfikacji jest wyszukanie oficjalnej strony kontaktującej się z nami instytucji i wykonanie telefonu, bądź napisanie e-maila na dane podane na jej stronie.
- powiedział Robert Dziemianko, Marketing Manager w G DATA Software.
Gangi ransomware uderzą jeszcze mocniej
Dostawcy systemów bezpieczeństwa IT przy współpracy z organami rządowymi deklarują działania mające na celu powstrzymanie fali ataków ransomware.
Pewnego rodzaju pocieszeniem może być spadająca liczba unikalnych rodzin oprogramowania ransomware. W 2022 roku było ich
95, a rok później już tylko
45. Niemniej część specjalistów twierdzi, że nie ma się z czego cieszyć, ponieważ hakerzy postawili na najbardziej sprawdzone i najskuteczniejsze rozwiązania.
- Same deklaracje producentów czy osób odpowiedzialnych za cyberbezpieczeństwo to za mało, żeby zastopować gangi ransomware, tym bardziej, że w bieżącym roku nie zwolnią one tempa. Wręcz przeciwnie. Incydent MoveIt zachęci ich do intensyfikacji ataków na łańcuchy dostaw. Co gorsza, mamy do czynienia z bardzo dobrze zorganizowanymi grupami przestępczymi. Widać to chociażby na przykładzie Ransomware as a Service. Ten model pozwala cyberprzestępcom korzystać z platformy dostarczającej nie tylko niezbędny kod oprogramowania, ale również infrastrukturę operacyjną do realizacji kampanii
- tłumaczy Robert Dziemianko.
W 2024 roku poza kontynuacją ataków na łańcuchy dostaw, należy spodziewać się incydentów wykorzystujących luki w środowisku chmurowym oraz sieciach VPN. Wszystko wskazuje na to, że gangi ransomware coraz częściej będą wykorzystywać do swoich ataków generatywną sztuczną inteligencję. W praktyce oznacza to bardziej zaawansowane kampanie phishingowe, będące jednym z trzech wektorów najczęściej używanych do uzyskania dostępu w atakach ransomware, dwa pozostałe to wykorzystanie luk bezpieczeństwa oraz protokół Windows Remote Desktop.
Wraz z rozwojem ataków ransomware ewoluują formy wymuszeń.
W przeszłości gangi ograniczały się do szyfrowania informacji, a następnie żądały okupu za klucz deszyfrujący. Następnie pojawiło się tak zwane podwójne wymuszenie, polegające na tym, że napastnicy eksfiltrują dane do osobnej lokalizacji. Kolejnym krokiem jest
potrójne wymuszenie, czyli
groźba upublicznienia danych, jeśli ofiara odmówi zapłaty.
Wiele kontrowersji wzbudza płacenie haraczu. Na ogół panuje przekonanie, że nie jest to dobra praktyka, między innymi dlatego, że znane są przypadki, kiedy ofiara zapłaciła okup, zaś napastnicy nie odszyfrowali danych.
- Jeśli ofiara zapłaci, szantażysta może skorzystać i ponownie zaszyfrować pliki, a po pewnym czasie ponownie aktywuje dobrze ukryte części złośliwego oprogramowania. Nie wspominając już o tym, że oszustwo pozostaje dochodowe dla napastników, a tym samym wzmacnia ich oraz zachęca do kolejnych działań
- ostrzega Robert Dziemianko.
Zasilane środkami z okupów gangi ransomware rozszerzają swój arsenał.
W związku z tym firmy powinny robić to samo, inwestując w zaawansowane technologie ochrony. W przypadku średnich i dużych przedsiębiorstw warto rozważyć zakup systemów
EDR (Endpoint Detection and Response) bądź
XDR (Extended Detection and Response) Zastosowanie rozszerzonego wykrywania i reagowania może pomóc organizacjom zidentyfikować potencjalne ryzyko. Nie mniej
ważną linią obrony jest backup. Specjaliści zalecają regularne tworzenie kopii zapasowych na dyskach sieciowych, zewnętrznych dyskach twardych lub w chmurze. Po każdej operacji trzeba pamiętać o rozłączeniu połączenia z nośnikiem danych lub dyskiem sieciowym – w przeciwnym razie istnieje ryzyko zaszyfrowania wszystkich kopii zapasowych.
Nie można też zapominać o podstawowych czynnościach, takich jak aktualizacja oprogramowania oraz edukacja pracowników. Przy czym w tym drugim przypadku warto zastosować mniej konwencjonalne metody w postaci specjalistycznych szkoleń. Na przykład
platforma edukacyjna Security Awareness firmy G DATA zawiera 36 opracowanych przez ekspertów materiałów z zakresu świadomości przestrzegania zasad bezpieczeństwa. Ich treść bazuje na realnych przykładach ataków oraz spotykanych zagrożeń i jest cały czas aktualizowana.
Materiał chroniony prawem
autorskim - wszelkie prawa zastrzeżone. Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy.