Ransomware - jak chronić się przed atakami?
Najgorętszy temat tego miesiąca to atak na CD Project Red. Tydzień temu firma ogłosiła, że padła ofiarą cyberataku, dane na dyskach współdzielonych na serwerze zostały zaszyfrowane. Tym razem atakujący ukradli niezaszyfrowane kod źródłowy Cyberpunk 2077, Wiedźmina 3, Gwinta i niewydanej wersji Wiedźmina 3. Do ataku przyznała się grupa o uroczej nazwie Hello Kitty.
Technika, którą w tym przypadku posłużyli się przestępcy to double-extortion czyli ‘podwójne wymuszenie”. Zagrozili oni również, że w przypadku nie zapłacenia okupu, sprzedadzą lub opublikują skradzione treści. CD Projekt postanowił nie poddawać się szantażowi i nie spełniło żądań przestępców, zamiast tego przywrócił dane z kopii zapasowych, które zostały nienaruszone.
Po oświadczeniu CD Project na nielegalnym forum Exploit.in pojawiła się aukcja ze skardzionymi dokumentami i kodami źródłowymi Cyberpunk 2077, Wiedźmina 3, Wojny Krwi i niewydanej jeszcze wersji Wiedźmina 3 z ray tracingiem. Cena wywoławcza aukcji ustalona została na 1 mln dolarów natomiast kwota ‘kup teraz” opiewała na 7 mln. Dla uwiarygodnienia aukcji opublikowano plik tekstowy zawierający wykaz katalogu z kodu źródłowego Wiedźmina 3. Dzień później KELA, organizacja zajmująca się monitoringiem Dark Webu, poinformowała, że dane CD Projekt RED zostały sprzedane za “satysfakcjonującą kwotę”.
Oczywiście firma zgłosiła tę sprawę odpowiednim służbom a w efekcie nie straciła danych bo udało się je odzyskać z backupu. Jednak sprzedaży kodów źródłowych może spowodować, że możliwe będzie szybsze wykrywanie luk i atak na te popularne tytuły.
Jak chronić się przed atakami ransomware?
Zabezpieczenia przed tym złośliwym oprogramowaniem nie polegają jedynie na posiadaniu najnowocześniejszych rozwiązań w dziedzinie ochrony. Ważnym elementem są tutaj dobre praktyki bezpieczeństwa IT oraz regularne szkolenie pracowników.
Na co warto w szczególności zwrócić uwagę:
1. Wykrywanie luk w systemie i ich łatanie.
oprogramowanie malware swoją szansę przedostania się dostaje dzięki lukom w zabezpieczeniach w popularnych aplikacjach. Im szybciej i skuteczniej załatamy te luki w naszych urządzeniach końcowych, serwery, urządzenia mobilne i aplikacje tym mniej pozostaje miejsca na luki, która złośliwe oprogramowanie może wykorzystać.
2. Regularne wykonywanie zapasowej kopii danych.
Tak jak w przypadku CD Projectu, 56% badanych managerów IT, których firmy padły ofiarą ataków a dane zostały zaszyfrowane, było w stanie je przywrócić dzięki kopiom zapasowym. Dane zapasowe należy przechowywać zaszyfrowane oraz w wersji offline, ważne jest również by znajdowały się one poza siedzibą firmy. Dobrą praktyką jest wdrożenie planu działania na wypadek ataku, obejmującego przywracanie danych.
3.Włączenie rozszerzeń plików.
Pliki, które znajdują się na naszych komputerach zazwyczaj domyślnie mają ukryte rozszerzenie plików (np. Docx, xlsx, jpg) co oznacza, że jeśli chcemy je zidentyfikować musimy polegać na ich miniaturach. Kiedy włączymy rozszerzenie dużo łatwiej zauważyć pliki, których na co dzień ani nie wysyłamy ani ich nie otrzymujemy np. JavaScript.
4.Pliki JavaScript otwieraj w notatniku.
Jeśli już dostaniesz tego typu pliki zawsze otwieraj je w Notatniku, zablokujesz w ten sposób szkodliwe działanie i sprawdzisz zawartość pliku.
5.Nie włączanie makr w dokumentach wysyłanych mailem jako załącznik.
W trosce o bezpieczeństwo Microsoft już jakiś czas temu wyłączył domyślne, automatyczne wykonywanie makr w otwieranych dokumentach. Wielu atakujących liczy właśnie na to, że makro zostanie uruchomione. Jeśli więc nie jesteś na 100% pewien źródła pochodzenia dokumentu to nigdy nie uruchamiaj makr.
6.Sprawdzanie załączników niewiadomego pochodzenia.
Cyberprzestępcy wykorzystują naszą nieuwagę. Niby wiem, że nie należy otwierać linków lub załączników z niewiadomego źródła ale czasem nie mamy jak sprawdzić, czy jest on szkodliwy do momentu otwarcia go. Unikaj otwierania załączników jeśli masz JAKIEKOLWIEK wątpliwości.
7.Monitorowanie praw administratora.
Warto nieustannie monitorować i analizować prawa administratorów. Musimy wiedzieć kto takie prawa posiada i odbierać tym, którzy tych praw nie potrzebują. Posiadając takie prawa nie należy pozostawać zalogowanym dłużej niż jest to konieczne. Będąc zalogowanym jako użytkownik z prawami administratora warto wykonywać tylko te prace, które są niezbędne do osiągnięcia celu – zwłaszcza na serwerach nie należy przeglądać stron, otwierać dokumentów lub robić innych pozornie normalnych prac.
8.Sprawdzanie aktualizacji w aplikacjach biznesowych.
Należy cyklicznie sprawdzać czy systemy operacyjne i aplikacje, którymi się posługujemy są w najnowszej możliwej wersji – producenci oprogramowania regularnie wypuszczają aktualizacje dzięki czemu zwiększają ich stabilność i bezpieczeństwo.
Wielu producentów oferuje w funkcję automatycznej aktualizacji oprogramowania i warto z tego korzystać zwłaszcza w mniejszych organizacjach. W firmach gdzie środowisko jest bardziej złożone warto sięgnąć do rozwiązań, które pozwolą na automatyzację takich zadań np. w przypadku środowiska Microsoft będzie to aplikacja WSUS a w środowiskach bardziej heterogenicznych sprawdzi się z pewnością oprogramowanie Desktop Central firmy ManageEngine.
9.Kontrolowanie dostępu do sieci z zewnątrz.
Należy zamknąć wszystkie porty łączące Twoją firmę ze światem zewnętrznym – dobrą praktyką jest zamknięcie dostępu do Twojej organizacji poprzez Pulpit Zdalny lub inne protokoły zdalnego zarządzania gdyż stanowią one zagrożenie i otwieranie ich tylko na krótki okres czasu pod nadzorem. Oczywiście do dostępu zdalnego do firmy w dzisiejszych czasach wymagany jest VPN + dodatkowo należy stosować uwierzytelnianie dwustopniowe przy logowaniu się z jego wykorzystaniem.
10.Generowanie silnych haseł.
Wydaje się być to oczywiste ale zdarza się nam o tym zapominać. Słabe dające się przewidzieć hasła umożliwiają szybki dostęp do całej naszej sieci kontaktów. Zaleca się by hasła były bezosobowe, miały co najmniej 12 znaków, wykorzystywały kombinację małych i wielkich liter oraz były losowo urozmaicone znakami przestankowymi. Nie musimy ich zmieniać aż tak często ale najlepiej kiedy do różnych serwisów mamy różne hasła – z tego względu warto by były dla nas łatwe do zapamiętania ale trudne do odgadnięcia przez atakującego. Bardzo dobrze sprawdza siej metoda haseł frazowych opisana tutaj.
Nie oszukujmy się jednak ransomware jest i będzie ciągły zagrożenie a jego forma będzie ewoluować. Jednak stosowanie wyżej wymienionych praktyk zdecydowanie utrudni hakerom ataki.