Pojedynek z ransomware — jak wyjść z niego zwycięsko? Trzy najważniejsze wskazówki

Liczba ataków typu ransomware, czyli mających na celu wyłudzenie pieniędzy, wzrosła na przestrzeni ostatnich paru lat w sposób lawinowy. Zagrożenie to jest znane w kilku postaciach, a dwie najważniejsze formy to: szyfrowanie plików użytkownika na dysku komputera oraz szyfrowanie całej maszyny wraz z otoczeniem sieciowym.

Coraz powszechniejszy dostęp do narzędzi pozwalających na zbudowanie takiego wirusa bez najmniejszego problemu, nawet zupełnie początkującym przestępcom, skutkuje stałym wzrostem ilości zagro-żeń. Koniecznie trzeba zaznaczyć, że w związku z niskim poziomem wiedzy specjalistycznej przestępcy niekiedy sami nie potrafią naprawić tego, co zepsuli. W tej sytuacji obietnica, że po uiszczeniu opłaty (najchętniej w walucie wirtualnej) nasze dane wrócą do nas, jest niestety nie do spełnienia.

Wobec takich działań polecamy trzy podstawowe kroki, których należy się trzymać, aby maksymalnie zmniejszyć ryzyko zainfekowania ransomware.

1. Edukacja i zwiększenie świadomości użytkowników.

Trudno w to uwierzyć, ale nasza największa siła jest przy okazji naszą największą słabością. Wielu z użytkowników nigdy nie słyszało o atakach typu phishing lub man-in-the-middle i hakerzy doskonale o tym wiedzą. Ogromne znaczenie ma tutaj edukacja pracowników w zakresie najczęstszych metod ataku i sposobów ich unikania, czyli:

a. Nie klikamy bezpośrednio odnośników otrzymanych w e-mailach

Wpisz lub skopiuj adres do przeglądarki, aby zapobiec nieświadomemu otwarciu zamaskowa-nego odnośnika, prowadzącego do fałszywej strony internetowej.

b. Zwracamy szczególną uwagę na załączniki dodane do e-maili

To najczęstsza metoda zarażania przez oprogramowanie mające na celu wymuszenie okupu. Niespodziewane faktury, wezwania do zapłaty, zdjęcia pochodzące od nieznanych nadawców — to niestety bardzo często spotykane pułapki.

c. Przeglądając strony internetowe, zwracamy uwagę na ich adres URL

Adresy WWW składające się bezpośrednio z adresu IP, które nie zawierają protokołu HTTPS, są najlepszym przykładem nadciągających kłopotów. Jeśli nie mamy 100% pewności co do takiego adresu, najlepiej go nie odwiedzać.

d. Fałszywe adresy e-mail są kolejnym sposobem zdobycia poufnych informacji

Nigdy nie wysyłaj danych osobowych przez e-mail. Znacznie lepiej i bezpieczniej jest zadzwonić i upewnić się o konieczności podania takich danych. Jeśli to rzeczywiście wymagane, znacznie bezpieczniej jest je podyktować.

e. Pod żadnym pozorem nie udostępniamy jakiegokolwiek hasła drogą poczty e-mail

Wiarygodne firmy nigdy nie żądają uwierzytelnienia poprzez podanie hasła w zwrotnej wiado-mości e-mail.

2. Kopia zapasowa.

Zapobieganie atakom i zagrożeniom jest doskonałym sposobem ochrony, trzeba jednak zawsze mieć plan awaryjny. W przypadku ataku na nasze pliki systematycznie wykonywana kopia systemu i plików pozwoli nam szybko pozbyć się problemu. Oto kilka wskazówek dotyczących tworzenia kopii zapasowych:

a. Kopie zapasowe przeprowadzone w trybie offline są kluczowe. Nowoczesne programy żądające okupu mogą znaleźć i zaszyfrować sieciowe pamięci masowe.

b. Maksymalnie uprość wykonywanie kopii bezpieczeństwa

Stwórz globalny zasób pozwalający zachować wszystkie istotne informacje. Co najmniej raz w miesiącu wykonuj kopię na zewnętrznym nośniku.

c. Jeśli tylko to możliwe, zautomatyzuj wykonywanie kopii zapasowych.

Dzięki temu nie musisz pamiętać o tej procedurze ani martwić się o dostępną przestrzeń.

3. Uruchomiona precyzyjna, wielowarstwowa ochrona.

Zagrożenia typu ransomware starają się wykorzystać wszelkie możliwości do ataku. W związku z tym im więcej warstw zabezpieczeń zaimplementujesz w swoim środowisku, tym większe stworzysz szanse na zatrzymanie ataku. Trzeba pamiętać, że tego typu ataki zupełnie nie są zauważalne przez systemy wykorzystujące sygnatury, dlatego warto posiadać unikalne systemy bezpośrednio i na-tychmiastowo reagujące na bieżące działania. Oto tylko kilka krytycznych warstw zabezpieczeń, które w każdej organizacji powinny być zastosowane:

a. Chroń swoją sieć

Ransomware korzysta z sieci nie tylko po to, aby podłączyć się do niebezpiecznego serwera lub wyłudzić dane, np. klucze szyfrujące, ale również po to, aby rozprzestrzenić atak na całą organizację.

b. Stosuj środowisko typu Sandbox w celu sprawdzenia podejrzanych plików

Uruchomienie nieznanego pliku w sztucznym środowisku testowym doskonale sprawdza się dla wszelkiego typu zagrożeń zwanych atakami dnia zerowego.

c. Uzyskaj wgląd w urządzenia końcowe

Ataki ransomware najczęściej zaczynają się na urządzeniach końcowych, dlatego należy zwracać na nie szczególną uwagę. Aby można było szybko zareagować, zastosuj systemy ostrzega-jące o niepożądanych zmianach w plikach urządzeń końcowych.

d. Kojarz fakty — kontroluj, co się dzieje między siecią a urządzeniem końcowym

Korelowanie danych o zdarzeniach z sieci i urządzeń końcowych zapewnia kompleksową ocenę ogólnego krajobrazu zagrożeń. Z powyższych ustaleń wynika, że najsłabszym ogniwem naszej ochrony jest człowiek. To właśnie on często bezwiednie ściąga na siebie i przy okazji na współpracowników zagrożenia, o których nie ma pojęcia. Dlatego też tak ważne jest szkolenie pracowników. Oczywiście oprócz procedur musimy posiadać także narzędzia do aktywnej obrony. Jednym z dobrych przykładów takiej wielopoziomowej ochrony przed wszelkimi negatywnymi zjawiskami płynącymi z Sieci jest system ochrony WatchGuard Firebox wraz z zaimplementowanym modułem Total Security Suite.

W skład takiego systemu wchodzą:

• podstawowa zapora sieciowa — Stateful Firewall,

• koncentrator VPN dla połączeń mobilnych,

• koncentrator VPN dla połączeń oddziałowych,

• silnik sprawdzeń bazujący na proxy aplikacyjnym,

• system zapobiegania włamaniom — IPS,

• kontrola aplikacji,

• filtrowanie stron WWW,

• filtr antyspamowy,

• sieciowy filtr antywirusowy,

• ochrona reputacyjna — RED,

• skaner sieciowy służący do rozpoznawania elementów sieciowych,

• Threat Detection and Response, unikatowy mechanizm ochrony punktów końcowych — TDR,

• ochrona przed zagrożeniami typu „dzień zerowy” — APT blocker,

• ochrona przed wyciekiem danych — DLP,

• monitoring zdarzeń i zarządzanie — Dimension Command.

Total Security Suite to pierwsza oferta usług UTM, która nie tylko umożliwia organizacjom różnej wiel-kości wykrywanie i naprawianie ataków, ale w rzeczywistości pozwala zapobiegać atakom. Łącząc po-szczególne funkcjonalności wraz natychmiastową analizą logów, otrzymujemy wielowarstwową ochro-nę przed ransomware. WatchGuard zapewnia najbardziej kompleksowy zestaw usług bezpieczeństwa w jednej ofercie. Więcej informacji można znaleźć na stronie dystrybutora rozwiązania: https://bakotech.pl/vendor/watchguard/.

Źródło: Bakotech