Amerykańska DHS CISA nazywa ransomware “największym cybernetycznym czynnikiem ryzyka” dla systemów informatycznych administracji Stanów Zjednoczonych. Wystarczy jeden zainfekowany użytkownik z najwyższym poziomem uprawnień, aby wyłączyć tysiące serwerów i spowodować tygodnie utrudnień dla milionów obywateli.
W mediach ciszej o zagrożeniach ransomware. Tymczasem stają się coraz bardziej wyrafinowane, czego dowodzą zablokowane ostatnio do poziomu offline organizacje sektora publicznego w USA. Atak ransomware dokonany w maju br. na infrastrukturę samorządu Baltimore doskonale ilustruje konsekwencje. Pojawiły się żądania okupu wielkości stu tysięcy dolarów i dwa tygodnie z okaleczonymi systemami. W sierpniu tego roku ponad dwadzieścia organizacji powiązanych z samorządem lokalnym w Teksasie stało się celem podobnego ataku.
Przyjęty przez cyberprzestępców model rozwija się, zaś granice geograficzne nie stanowią dla niego przeszkody. Samorządy lokalne są na celowniku cyberprzestępców ponieważ są łatwym celem – bardzo rzadko przeznaczają na cyberochronę środki finansowe odpowiednie do wymaganego dziś poziomu zabezpieczeń.
Ransomware na poważnie
Gdy oprogramowanie ransomware uderzy, jest już w zasadzie za późno. Konsekwencje finansowe i wizerunkowe ataku są ogromne. Koszty naprawy i usunięcia ransomwarowej infekcji nie należą do niskich. Baltimore oszacowało straty wynikające z ww. ataku (z kosztami przywrócenia systemów włącznie) na 18 milionów USD.
Niezbędnik anty-ransomware dla JST:
Solidna strategia cyberochrony
Warto wdrożyć kulturę pracy opartą na zasadzie „najpierw bezpieczeństwo”. Koszt początkowy może się wydawać zniechęcający – szczególnie dla mniejszych jednostek, niemniej w porównaniu z kosztami ataku ransomware jest znikomy.
Uwierzytelnianie dla aplikacji sieciowych/internetowych
Ograniczenie możliwości logowania przez Internet solidną autoryzacją wieloskładnikową jest pierwszym krokiem w zapobieganiu atakom ransomware. Działania minimum: należy się upewnić, że hasła domyślne i uwierzytelnianie, o którym wiadomo, że zostało naruszone (np. wyciek hasła, loginu), zostaną natychmiast usunięte.
Przeczytaj także:
Szkolenia pracowników
Uzbrojenie zespołu w wiedzę o konsekwencjach ataków ransomware i przejawów ich występowania, na które należy zwrócić uwagę jest niezbędne. Wzrost świadomości technik pishingowych (podszywania się hakerów pod instytucje, firmy) powinien być priorytetem. Pracownicy powinni zwyczajowo poddawać w wątpliwość bezpieczeństwo załączników i linków z podejrzanych maili. Przestępcy najczęściej podszywają się pod marki takie jak Facebook, Microsoft Office Exchange, and Apple, ale równie dobrze mogą podawać się za dużego dostawcę energii elektrycznej czy spółkę komunalną.
Skanowanie i filtrowanie ruchu internetowego
Postaw na widoczność i kontekst szyfrowanego ruchu internetowego. Gdy złośliwe strony, załączniki czy ruch C&C (komunikacja z serwerami Command&Control) jest widoczny, można go automatycznie zablokować zanim nastąpi infekcja. Większość złośliwego – szkodliwego oprogramowania jest hostowana na doskonale znanych (zaufanych) stronach, więc kluczowe jest deszyfrowanie ruchu SSL/TLS dla zapewnienia widoczności i możliwości sprawdzenia treści przez narzędzia ochrony.
Tworzenie kopii zapasowych ważnych plików
Backup musi obejmować krytyczne systemy i obszary związane z danymi osobowymi. Kopie zapasowe powinny także być przechowywane offline dla ochrony przed atakiem ransomware. Wskazane są także symulacje odzyskiwania systemów po awarii, aby uniknąć scenariusza jak w Baltimore.
Separacja sieci
Najgroźniejsze malware i ransomware swobodnie łączą się z każdym dostępnym systemem, w chwili połączenia ich z siecią. Dlatego warto unikać płaskich struktur sieciowych, co oznacza, że zainfekowany system należy przepuszczać przez filtr czy dodatkowe punkty dostępu zanim wyjdzie z lokalnej grupy zasobów.
Pogłębiona ochrona
Warto wprowadzić kilka różnych z natury, zazębiających się o siebie narzędzi (blokad-zapór), które mogą spowalniać i zatrzymywać wszystkie znane rodzaje ataków hakerskich.
Pierwszą linią obrony jest zatrzymanie ataku zanim dotrze on do któregokolwiek systemu. Bezpośrednie koszty spowolnienia lub zatrzymania działań operacyjnych trudno ignorować – dlatego inwestycję związaną z kontrolerami bezpieczeństwa ransomware łatwo uzasadnić.
Dotychczas ataki ransomware uderzały w fizyczne komputery przeznaczone do ogólnych zadań, ale to tylko kwestia czasu, zanim staną się dużym problemem dla urządzeń IoT, smartfonów a także systemów chmurowych.
Źródło: F5