Dziś kontynuujemy serię o cyberzagrożeniach. Będzie o szyfrowaniu dysków i okupach. Słowem, będzie o ransomware. Jesteście gotowi? No to zaczynamy.
Ransomware -prosta definicja
Jak sama nazwa wskazuje jest to oprogramowanie, którego celem działania jest uzyskanie okupu. Jest to kategoria złośliwego oprogramowania. Jego podstawowym celem jest wyłudzenie przez przestępcę pieniędzy. Służy do tego popularny szantaż – jeśli nie zapłacisz nie uzyskasz hasła do odszyfrowania dysku i utracisz dane. Kto ma najwięcej do stracenia? Innymi słowy – kogo warto szantażować? Firmy oczywiście. To właśnie przedsiębiorstwa są celami cyberzbójów.
Ransomware – jak wygląda atak?
Przychodzi e-mail z załącznikiem, klikasz i już masz złośnika na dysku. Znajdujesz na ulicy pendrive, zabierasz do domu, podłączasz do laptopa i bach – złośnik już się chowa między Twoimi plikami. Najczęściej ransomware infekujemy komputer sami.
Ok, komputer zainfekowany, co dalej? Nasz złośnik się aktywuje i zaczyna przeszukiwać lokalne i sieciowe magazyny danych, czyli foldery (w ten sposób zainfekowany jeden komputer może doprowadzić do paraliżu całej firmy). Eksploruje foldery w poszukiwaniu plików z określonymi rozszerzeniami, z reguły będą to rozszerzenia popularnego pakietu biurowego (tak najczęściej firmy tworzą dokumenty). Następnie dochodzi do zaszyfrowania wybranych zasobów. Czasem pomijany jest etap przeszukiwania i szyfrowana jest cała zawartość dysków. Szyfrowanie odbywa się w sposób symetryczny lub asymetryczny, a najnowsze ataki łączą obydwie metody. Skoro dane ofiary zostały już zaszyfrowane to pozostaje wysłać żądanie okupu i oczekiwać na płatność (w kryptowalucie oczywiście).
Jak się bronić przed atakiem?
Jak zawsze – najsłabszym ogniwem jest człowiek. Najprościej powiedzieć, że trzeba uczulać pracowników na podłączanie do komputerów nośników nieznanego pochodzenia czy otwieranie załączników z nieznanych źródeł. Drugą kwestią jest systematyczne robienie kopii zapasowych. Nota bene – czy testowaliście kiedyś proces robienia kopii zapasowej? Jeśli nie to spróbujcie – nie zawsze można z takiej kopii odzyskać dane.
Innym sposobem jest uniemożliwienie pracownikom wchodzenia na podejrzane strony (znajdujące się na czarnej liście) poprzez filtrowanie zawartości poprzez DNS. Filtrowanie podejrzanych łączy czy załączników na poczcie elektronicznej i np. poddawanie takich plików kwarantannie też może podnieść nasz poziom bezpieczeństwa.
Kolejnym sposobem jest używanie oprogramowania antywirusowego, które jest w stanie wykryć malware zanim zadomowi się w naszej sieci. Pamiętać musimy o tym, by program był systematycznie aktualizowany, bo cyberzbóje nie próżnują i wciąż tworzą nowe warianty złośliwego oprogramowania.
Ubezpieczenie na wszelki wypadek?
Dopełnieniem naszej polityki antyransomware może być zakup ubezpieczenia od ryzyk cybernetycznych. Ale pamiętajcie – to tylko ostatni etap ochrony i zadziała tylko wtedy, kiedy zawiodły nas inne procedury. O ubezpieczeniu od ryzyk cybernetycznych przeczytacie więcej w osobnym artykule (https://www.unovalab.com/ubezpieczenie-cyber/).
