Ransomware is a form of malicious payload that best describes the malicious intent of threat actors who seek to extort a payment from the victim because they’ve successfully taken control of the victim’s data or systems. Do zapłaty okupu zazwyczaj wymagana jest kryptowaluta.
Atakujący może używać wielu wektorów ataku, a brak zapłaty może nieść ze sobą konsekwencje, w tym następujące zagrożenia:
Ogólnie rzecz biorąc, złowrodzy hakerzy będą starali się zdobyć środki finansowe, ponieważ ich działania mogą zagrażać systemom informatycznym i negatywnie wpływać na normalne działania ich ofiar. Chociaż złośliwe oprogramowanie jest jedną z głównych metod ataku, kilka incydentów ransomware miało miejsce bez użycia złośliwego oprogramowania – na przykład incydenty ransomware polegające na cyberwymuszeniach poprzez zagrożenie atakiem odmowy usługi (DoS) lub wandalizmem na witrynie internetowej. Pojawiło się również zagrożenie ransomware jako usługi (RWaaS), jako model biznesowy złowrogich hakerów służacy do ukierunkowanych ataków na osoby lub firmy w ramach opłacanej usługi.
Ransomware jest powszechnie dostarczane za pośrednictwem phishingowych wiadomości e-mail lub poprzez „poboczne” pobrania. Phishingowe wiadomości e-mail wyglądają na prawdziwe i godne zaufania, nakłaniając jednocześnie ofiarę do kliknięcia na złośliwy odnośnik lub otwarcia załącznika. Poboczne pobranie to program automatycznie pobrany z Internetu bez zgody i wiedzy użytkownika. Możliwe jest uruchomienie złośliwego kodu po jego pobraniu, bez jakiekolwiek interakcji ze strony użytkownika. Po uruchomieniu złośliwego kodu komputer użytkownika zostaje zainfekowany przez ransomware.
Ransomware następnie identyfikuje dyski w zainfekowanym systemie i zaczyna szyfrować pliki na każdym dysku. Szyfrowanie zazwyczaj stosuje unikalne rozszerzenie dla zaszyfrowanych plików, takie jak .aaa, .micro, .encrypted, .ttt, .xyz, .zzz, .locky, .crypt, .cryptolocker, .vault lub .petya. Po zakończeniu szyfrowania ransomware tworzy i wyświetla plik lub zestaw plików zawierających informacje i instrukcje dotyczące warunków ataku ransomware. Przykładowo, jeśli ofiara spełni warunki ransomware, złowrogi haker może jej przekazać klucz kryptograficzny dla ofiary pozwalający odblokować zaszyfrowane pliki.
Podstawowa higiena bezpieczeństwa i zdrowe praktyki operacyjne mogą pomóc organizacjom w zapobieganiu incydentom ransomware i ograniczaniu strat finansowych, przestojów oraz zaburzeń działania.
Każda organizacja musi się liczyć ze słabymi punktami wśród własnych użytkowników. Edukowanie indywidualnych użytkowników w zakresie bezpiecznego korzystania z poczty e-mail i praktyk przeglądania Internetu może mieć pozytywne skutki dla organizacji. Edukowanie na temat bezpiecznego korzystania z platform mediów społecznościowych jest również ważne, ponieważ uświadamia użytkowników o tym, że publicznie dostępne informacje na ich temat mogą zostać wykorzystane przez złowrogich hakerów przeciwko nim lub innym osobom w ich organizacji.
Aby wzmocnić stosowanie bezpiecznych praktyk, organizacje mogą wdrożyć kontrole techniczne różnych systemów używanych przez napastników do propagowania i uruchamiania szkodliwego oprogramowania. Przykłady kontroli technicznych obejmują:
Oprócz uruchamiania zaktualizowanych środków ochrony punktów końcowych, organizacje powinny stosować systemy zarządzania tożsamością i dostępem (IAM) z zerowym zaufaniem. Dzięki silnemu uwierzytelnianiu i egzekwowaniu zasad najniższych potrzebnych uprawnień organizacje mogą zachować ścisłą kontrolę nad najważniejszymi systemami i magazynami danych wrażliwych.
Oprócz ścisłej kontroli dostępu organizacje powinny narzucać ograniczenia narzędzi współpracy, zasobów udostępniania plików i innych powszechnie używanych systemów. Organizacje mogą zastosować dodatkowe wyzwania uwierzytelnienia w stosownych przypadkach. Wyeliminowanie anonimowych logowań, ogólnych kont i korzystania ze słabych uwierzytelnień, w połączeniu z ścisłą kontrolą nad uprzywilejowanymi kontami, takimi jak konto administracyjne lub root systemu operacyjnego lub konta administratorów bazy danych, jest kluczem do utrzymania silnego stanu zabezpieczeń.
Organizacje powinny określić i utrzymywać znane linie bazowe konfiguracji zabezpieczeń oraz wdrażać systemy zgodnie z wytycznymi dotyczącymi konfiguracji zabezpieczeń. Ponieważ złośliwe ładunki często wykorzystują znane luki w oprogramowaniu, ważne jest niezwłoczne wprowadzanie poprawek zabezpieczeń.
Ostatnią najlepszą praktyka, która pomoże organizacji przetrwać atak ransomware, jest przechowywanie kopii zapasowych oddzielnie i w innym systemie operacyjnym, uniemożliwiającdo nich dostęp z sieci.
Gdy organizacje odkryją ransomware, powinny próbować ograniczyć propagację szkodliwego ładunku poprzez:
Aby ograniczyć skutki ataku ransomware, plany naprawcze organizacji powinny zawierać zasady dotyczące wykonywania częstych i bezpiecznych kopii zapasowych z efektywnymi i zweryfikowanymi procedurami odzyskiwania. Przed przywróceniem systemów organizacje powinny określić z rozsądnym marginesem pewności, kiedy i w jaki sposób nastąpiło początkowe złamanie bezpieczeństwa. Bez odpowiedniego podejścia po fakcie, organizacje będące ofiarami ataku mogą nieumyślnie doprowadzić do ponownego złamania bezpieczeństwa i paraliżu systemu w trakcie początkowego odzyskiwania zdolności operacyjnych. Mając to na uwadze, w celu zminimalizowania zakłóceń w działalności konieczne być może przeprowadzenie analizy kosztów i korzyści przed podjęciem decyzji o przywróceniu starszego, ale znanego i bezpiecznego stanu lub przywróceniunowszego, ale prawdopodobnie zainfekowanego stanu. Organizacje muszą zapewnić skuteczną kontrolę nad plikami i zasobami kopii zapasowych, ponieważ niektóre typy złośliwego oprogramowania skupiają się na ich atakowaniu.