Krzysztof Dziemian

8 paź 20213 min

Ransomware – jak się przed nim chronić ?

Zacznijmy od definicji z Wikipedii:

Ransomware (zbitka słów ang. ransom „okup” i software „oprogramowanie”) – oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych (często poprzez techniki szyfrujące), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego.

Same ataki Ransomware dziś już ewoluowały, w związku z coraz częściej prawidłowo wdrożonymi zabezpieczanymi jakim są między innymi backupy, które pozwalają odworzyć zaszyfrowane środowiska.

Ewolucja polega na tym, że atakujący przed samym zaszyfrowaniem plików, dane wcześniej wyprowadzają z organizacji, celem ich późniejszego upublicznienia, aby mieć dodatkowy argument negocjacyjny, w celu wyłudzenia okupu.

W poradniku CERT POLSKA, wskazano najczęstsze źródła ataku, którymi są:

• podatności w publicznie dostępnych usługach – VPN, RDP, serwer pocztowy, itp. Często podatności są wykorzystywane już w ciągu godzin, lub dni po pojawieniu się publicznej informacji o ich istnieniu,

• niewystarczająco zabezpieczone (najczęściej słabe hasło) kanały zdalnego dostępu do infrastruktury oraz publicznych usług – RDP, VNC, FTP, bazy danych, itp.,

• maile nakłaniające do pobrania i uruchomienia załączonego lub umieszczonego w linku pliku.

W dzisiejszym artykule przyjrzymy się bliżej działaniom prewencyjnym:

1. BACKUPY

Powszechnie używane w obszarze cyberbezpieczeństwa powiedzenie:

„Organizacje dzielą się na tych, którzy robią kopie zapasowe i tych, którzy będą je robili”

i w tym przypadku jest jak najbardziej trafne i do zastosowania celem obrony przed Ransomware.

Samo wykonywanie kopii to jednak nie wszystko. Należy również pamiętać o tym :

- aby prawidłowo je weryfikować, co często nie jest realizowane i w momencie, w którym zachodzi potrzeba jej odtworzenia, okazuje się, że kopia nie działa;

- należy prawidłowo określić kopie jakich systemów i baz danych kopiujemy i jak często, tak aby odtworzyć prawidłowo całość naszej infrastruktury. Dla przykładu wskazujemy tutaj systemy, w których zmiany w bazie danych zachodzą np. raz na 1, 3 miesiące. W niektórych przypadkach próba przywrócenia danych, jeśli posiadamy jedynie kopię bazy z ostatnich 7 dni, może okazać się nieskuteczna;

- w kontekście do samego ataku ransomware należy zawsze pamiętać, aby kopia zapasowa nie była podłączona jako zasób w sieci, w przeciwnym razie również zostanie ona zaszyforwana.

Podsumowując należy zapamiętać zasadę 3,2,1, 0 – 3 kopie, na co najmniej 2 różnych nośnikach, 1 w odizolowanym środowisku, 0 błędów przy odtwarzaniu.

2. Regularna aktualizacja oprogramowania i wykorzystywanych narzędzi

Brak niektórych łatek, powoduje, że luki w naszych narzędziach mogą być widoczne z sieci dla atakujących i są niezwłoczne przez nich wykorzystywane.

3. Segmentacja sieci

Odpowiednie odseparowanie sieci, pozwoli w przypadku skutecznego ataku, na wyrządzenie szkód jedynie w części zasobów.

4. Inwentaryzacja publicznie dostępnych usług

Jak wskazuje CERT POLSKA

Obecnie, infekcje złośliwym oprogramowaniem ransomware najczęściej są zapoczątkowane poprzez niezabezpieczone lub podatne usługi dostępne z poziomu internetu.

Dlatego tak ważne jest zinwentaryzowanie, spisanie usług udostępnionych w sieci, a następnie określenie aktualnego stanu oprogramowania, które udostępniają te usługi w sieci.

Dzięki inwentaryzacji można upewnić się czy:

• dana usługa rzeczywiście powinna być dostępna z poziomu internetu ?

• oprogramowanie udostępniające usługę jest odpowiednio zaktualizowane lub czy są zaaplikowane najnowsze łatki bezpieczeństwa ?

• zastosowana jest odpowiednia polityka haseł, oraz jeśli to możliwe, uwierzytelnianie wieloskładnikowe ?

5. Zabezpieczenie użytkowników:

- odpowiednie filtrowanie poczty oraz zasobów, w zakresie rozszerzeń

- szkolenia pracowników z cyberbezpieczeństwa.

6. Wdrożenie polityki logowania zdarzeń, konfiguracja monitoringu i SIEM.

7. Wdrożenie rozwiązań identyfikujących i ograniczających ataki (IDS, IPS, WAF, NGFW, NAC).

8. Wdrożenie rozwiązań Endpoint Security i DLP.

9. Konfiguracja honeypotów, celem wykrycia atakującego w naszych zasobach.

10. Wpisanie w bazę, „fałszywych” rekordów, aby potwierdzić prawdziwość wyprowadzonych danych w przypadku negocjacji z atakującymi.

Osoby zainteresowane przykładem procesu negocjacji okupu, zapraszamy do artykułu niebezpieczenika:

https://niebezpiecznik.pl/post/negocjowanie-okupu-ransomware/

Na koniec chcemy podkreślić, że oczywiście powyższe działania prewencyjne, nie uchronią nas w 100% przed atakiem, natomiast ich większa liczba, powoduje, że sito, a raczej liczba sit wzrasta, a zatem same dziury w naszych systemach, przez które może przedostać się atakujący jest mniejsza.

A, co zrobić jeśli już zostaliśmy zaatakowani, opiszemy Państwu w kolejnym artykule.

Pozdrawiamy,

Zespół rodo.pl

Źródła:

https://pl.wikipedia.org/wiki/Ransomware

https://cert.pl/uploads/docs/CERT_Polska_Poradnik_ransomware.pdf

    72
    0