Ransomware: Připravte se na nebezpečné kybernetické hrozby

Ransomware není nový fenomén, ve skutečnosti, podle zprávy zveřejněné BSI (německý vládní orgán pro bezpečnost v IT), první zaznamenané vzorky ransomwaru pocházejí z roku 2010. Jako každá společnost, hackeři také využívají své zdroje k zlepšit jejich škálovatelnost a růst rychleji a efektivněji.

Ransomware je však stále sofistikovanější a hrozba, kterou pro podniky představuje, roste. V červenci 2016 společnost Symantec zveřejnila zprávu, která uvádí, že mezi lednem 2015 a dubnem 2016 bylo přibližně 43 % obětí ransomwaru zaměstnanci společnosti. Touto hrozbou byly nejvíce postiženy Spojené státy americké, které utrpěly 31 % infekcí po celém světě. Následovaly ji Itálie, Japonsko, Nizozemsko, Německo, Spojené království, Kanada, Belgie, Indie a Austrálie, rovněž mezi 10 zeměmi s největším počtem infekcí tohoto typu.

Ransomwarové útoky se často šíří prostřednictvím e-mailového spamu. Útočníci posílají e-maily na více e-mailových adres a snaží se přesvědčit uživatele, aby otevřeli lákavé přílohy. Tyto přílohy vypadají maskované jako faktury, naskenované dokumenty nebo potvrzení objednávek. Aby je uživatelé přiměli otevřít, zločinci často používají jména a adresy skutečných společností. Mají vypadat jako přesné kopie e-mailů, které často odesílají známé společnosti po celém světě.

Tajemství úspěchu ransomwarových útoků spočívá ve velké psychické zátěži, kterou mají na své oběti. Náklady na obnovu mohou být vyšší než výkupné, a proto je nakonec zaplatí oběti. Provedení platby samozřejmě neznamená žádnou záruku obnovení dat, proč je obnovovat, když již byly provedeny s vašimi penězi?

Bitcoin a kryptoměny mají zároveň stále větší odbytiště. Umožňují rychlejší a anonymní platby; což zase velmi ztěžuje vystopování zločinců.

BSI ve stejné zprávě uvádí, že od září 2015 hrozba ransomwaru značně vzrostla. Samotná CryptoWall způsobila alianci Cyber ​​​​Threat Alliance ekonomické škody ve výši přibližně 325 milionů dolarů. To však není jediná hrozba, existuje mnoho dalších variant jako TeslaCrypt, Locky, Padcrypt a TorrentLocker.

Nedávno jsme byli svědky dvou největších ransomwarových útoků v historii. V květnu 2017 jsme objevili WannaCrypt, typ ransomwaru, který se zaměřuje na systémy Windows XP a ovlivnil podniky po celém světě. Tento článek poskytuje přehled o tom, co je ransomware, a vysvětluje kroky, které mohou podniky podniknout, aby se v budoucnu ochránily před různými formami malwaru.

Ransomware je účinný pouze v případě, že se mu podaří dostat do vašich systémů, a akce uživatelů jsou bohužel stále nejběžnějším způsobem stahování ransomwaru

Typ ransomwaru přítomný ve WannaCrypt je pokročilejší než předchozí verze a umožňuje šíření infekce globálně. Kombinuje schopnosti ransomwaru s obvyklým chováním síťového červa. Když infikuje systém, WannaCrypt začne šifrovat místní soubory a hledá v síti zranitelné systémy, kam by se mohl rozšířit.

Schopnost společností obnovit práci zaměstnanců zasažených ransomwarem se liší v závislosti na odpovědi na tyto otázky:

• Jak rychle lze útok identifikovat? Útoky často nejsou okamžitě rozpoznatelné, ale je normální, že začnete být podezřelí, když věci začnou fungovat tak, jak mají. Dalším z nejčastějších signálů, které spouští alarm hrozby, je situace, kdy IT oddělení obdrží několik žádostí o podporu pro stejný problém, ale v té době je již příliš pozdě. Dobrou zprávou je, že ransomware si všimne a má tendenci velmi rychle odhalit svou přítomnost masám uživatelů.
• Jak rychle lze identifikovat postižená zařízení? Pro společnosti s různorodou infrastrukturou to může být docela problém. Zabezpečení koncových bodů a karanténa zařízení mohou být zásadní při hledání kompromitovaných zařízení a jejich izolaci od sítě.
• Jak staré jsou zálohy? Snímky a zálohy disku jsou obvykle velmi nedávné. To zvyšuje pravděpodobnost, že tyto kopie budou také infikovány. Je také možné, že se ransomware objeví ihned po provedení zálohy.
• Je IT oddělení obeznámeno s procesem obnovy dat ze záloh a dá se to udělat rychle?

Jak ransomware funguje?

Ransomwarový útok začíná, když uživatel klikne na odkaz nebo přílohu e-mailu. Uživatel je poté přesměrován na škodlivý web, který jej nutí stáhnout si zdánlivě legitimní software nebo soubor, který po otevření nainstaluje ransomware do počítače.

Jakmile ransomware zašifruje soubory uživatele, útočník požaduje finanční částku (výkupné) výměnou za obnovení zašifrovaných souborů. Uvedené výkupné je obvykle požadováno v bitcoinech a kryptoměnách, protože upřednostňují anonymitu útočníka a ztěžují jeho dohledání.

Jak se chránit před hrozbami, jako je ransomware?

Pokud jde o bezpečnost, je důležité, abychom měli co nejúplnější vizi. Dává smysl důkladně vyvinout obranný přístup k ochraně uživatelů před malwarem obecně, který povede k eliminaci hrozby ransomwaru. Robustní ochrana koncového bodu, izolace sítě a povolení karantény pro potenciální ohniska vám umožní reagovat a zadržet je, pokud k nim dojde. Nejlepším způsobem, jak dostat svá firemní data zpět online a obnovit produktivitu zaměstnanců, je zvolit přístup založený na datech spíše než přístup založený na zařízení.

Zaměřte se na hlavní aspekty

Základní principy zabezpečení dat se v průběhu let nezměnily. Doporučuje se začít s tím podstatným: záplatovat zranitelné systémy, aktualizovat komplexní systémy a investovat do modernizace IT. Všechny tyto akce jsou nezbytné při vytváření infrastruktury schopné se bránit.

To vše je třeba spojit s bezpečnostním školením zaměstnanců, abychom se pokusili zabránit tomu, aby klikali na e-maily s malwarem. Ransomware je účinný pouze v případě, že se mu podaří dostat do vašich systémů, a akce uživatelů bohužel zůstávají nejběžnějším způsobem stahování ransomwaru do vaší sítě.

Pomáhá předcházet počáteční infekci

Ransomware zanechává velmi výraznou stopu aktivity na infikovaném systému, když je prezentován uživatelům. V takové situaci je prioritou použití spolehlivého antiviru pro koncové body, který chrání systémy. Přestože antivirový software není spolehlivý, zabrání většině malwarových virů infikovat vaše systémy. Kromě toho může použití agresivního e-mailového filtru výrazně zabránit tomu, aby uživatelé dostávali phishingové e-maily. Naštěstí se antivirová řešení rychle přizpůsobují a dokážou ransomware detekovat a odstranit.

Omezte boční pohyby ve vaší síti

Mnoho společností je strukturováno do plochých sítí, které umožňují snadné propojení jednoho systému s druhým. To znamená, že ransomware se může rychle šířit díky schopnosti těchto systémů propojit se navzájem. Aby bylo možné odhalit ransomware při průchodu sítí, je velmi důležité, aby tyto společnosti měly možnosti antivirového skenování, které zabrání jeho dalšímu šíření. Izolace sítě nebo rozčlenění dává podnikům určitý čas na identifikaci ransomwaru a jeho odstranění ze systémů, aniž by ztratily obrovské množství dat.

IT oddělení, zejména ta ve společnostech, které mají horizontální síť, by také měla myslet na své možnosti karantény. Rychlé převedení postižených počítačů do režimu offline může zabránit ransomwaru skenovat a infikovat více systémů v síti.

Zvolte přístup založený na datech

Ransomware je mezi malwarem jedinečný v tom, že útočí na uživatelská data. Abyste omezili své vystavení útokům, měli byste ideálně systém často zálohovat. Pokud dokážete rychle obnovit infikované soubory, máte možnost zvrátit jakékoli potenciální poškození a ransomware ztratí svou účinnost.

Cloudové služby nabízejí neustálou a transparentní synchronizaci souborů vaší společnosti, i když na nich vaši zaměstnanci pracují. Dropbox například nabízí funkci udržování historie verzí souborů všech souborů, které jsou uloženy na jednom z vašich účtů. Pomocí této funkce lze obnovit jakýkoli soubor, který byl zašifrován ransomwarem, a vrátit jej do předchozího stavu.

WannCrypt odráží významný vývoj, který se odehrává v ransomwaru. Stejně jako u jakékoli jiné trestné činnosti jsou útoky stále sofistikovanější, a proto je obtížnější se z nich vzpamatovat. To je důvod, proč podniky musí začít podnikat správné kroky, aby se ochránily před touto neustále se vyvíjející hrozbou.