Ransomware ochrana ve veřejném sektoru

17 května, 2022

Co je to ransomware?

Ransomware (nazývaný také jako CryptoLocker, CryptoDefense nebo CryptoWall) je skupina malware, která omezuje uživatelům přístup k počítačům. Malware obvykle uzamkne obrazovku počítače nebo zašifruje soubory, přičemž současné typy ransomware známé jako crypto-ransomware pak vydírají uživatele k zaplacení výkupného, za které nabízejí zaslání dešifrovacího klíče. Útoky se nevyhýbají ani společnostem ve veřejném sektoru, do kterého spadají školská zařízení, zdravotnické instituce i místní úřady.

Klíčové body ransomware:

Většina ransomware útoků je rychlá. V době, kdy si všimnete zašifrovaných souborů, je již po útoku.
Když malware dokončí šifrování souborů, smaže se a zanechá pouze zašifrované soubory a pokyny k zaplacení výkupného.
Velká část útoků je definována jako tzv. trojské koně, nikoli viry. To znamená, že se nebudou šířit po celé síti, ale budou pouze na konkrétním počítači, který se používá k šifrování souborů ve vaší síti.
Zašifrované soubory a pokyny k zaplacení výkupného nejsou nijak škodlivé a většina antivirových produktů tyto soubory nezjistí ani nevyčistí.
Naprostou většinu souborů zašifrovaných moderním ransomware nelze dešifrovat a bude potřeba obnovit data ze zálohy.

Nejlepším a nejspolehlivějším řešením, jak se vyhnout ransomware útoku je prevence.

Jak probíhá ransomware útok?

1) Podvodný e-mail

Nejpoužívanější a nejrozšířenější metodou šíření ransomwaru je spamový e-mail se škodlivou přílohou. Spamové kampaně používané při těchto útocích jsou obvykle ve velmi velkých objemech a často využívají techniky social engineering k získání důvěry uživatele. To znamená, že e-mail vypadá přesně jako od doručovací společnosti, který posílá přílohu informující o zmeškaném doručení balíku.

Běžně používané přílohy končí: .doc, .docx, .docm, .xls, .xlsx, .xlsm, .ppt, .pptx, .pptm, .pdf, .js a .lnk. Tyto soubory jsou v archivním souboru, například .zip, .rar nebo .7z.

Po otevření proběhne stažení a následná instalace ransomware přímo do vašeho počítače.

2) Škodlivé webové stránky

Dalším rozšířeným způsobem, jak může začít ransomware útok je, když uživatel navštíví legitimní web, který byl infikován exploit kitem. Nezabezpečená webová stránka tak může nevědomky být hostitelem ransomware útoků.

3) RDP útok

Útoky přes rozhraní RDP (Remote Desktop Protocol) , kde jsou servery RDP chráněny pouze uživatelským jménem a heslem a mnoho z těchto hesel jsou jednoduše napadnutelné. Pokud používáte RDP server, zvažte uzavření standardního portu 3389 zvenčí.

Po stažení ransomware do systému proběhnou následující akce:

Útočníkův server Command & Control je kontaktován za účelem zaslání informací o infikovaném počítači a stažení individuálního veřejného klíče.
Konkrétní typy souborů (které se liší podle typu ransomware), jako jsou dokumenty Office, databázové soubory, PDF, CAD dokumenty, HTML, XML atd., zašifrují lokální počítač, vyměnitelná zařízení a všechny dostupné síťové jednotky.
Automatické zálohy operačního systému Windows (stínové kopie) jsou odstraněny, aby se zabránilo obnově dat.
Na ploše se zobrazí časově omezená zpráva s návodem, jak lze výkupné zaplatit (obvykle v bitcoinech).

Zdroj: sophos.com

5 důvodů, proč je ransomware ochrana zásadní pro všechny typy společností

Moderní podnikové infrastruktury jsou složité, se spoustou vzájemně propojených částí a koncových bodů. Obnova systémů a dat prostřednictvím záloh nebo dešifrování po úspěšném útoku je náročný a velmi nákladný krok, což je hlavním důvodem, proč se investice do řešení ochrany proti ransomware vyplatí. Jaké jsou další důvody?

Náklady na nápravu po útoku

V současnosti jsou průměrné náklady na obnovu po útoku ransomware asi 84 000 dolarů (zhruba 2 miliony Kč), včetně nového hardware, prostojů, ztráty produktivity a v některých případech i platby výkupného. Odborníci na kybernetickou bezpečnost nedoporučují platit výkupné, ale některé organizace to i přesto zaplatí v naději, že získají svá data zpět. Přestože průměrná výše platby výkupného v 1. čtvrtletí 2020 byla 111 605 dolarů (zhruba 2,6 milionů Kč), neexistuje žádná záruka, že útočník dodrží svůj slib a dostanete data zpět, takže můžete přijít o peníze za výkupné i o finanční náklady na obnovu.

Zajímavost Americká vláda nedávno začala pokutovat společnosti i jednotlivce, kteří platí výkupné určitým útočníkům ransomware, jako je WastedLocker, údajný pachatel ransomware útoku na společnost Garmin. Ve výsledku by se v případě vynucování sankcí mohlo zotavení po ransomware útoku dost prodražit.

Ztráta důvěry zákazníků

Pokud zákazníci nemají jistotu, že jejich data uchováváte v bezpečí, nenakoupí u vás. Nedávná studie zjistila, že 93 % respondentů si ověřuje důvěryhodnost organizace ještě před nákupem. Více než polovina respondentů také uvedla, že by vědomě nespolupracovala s organizací, která se v posledním roce stala obětí kybernetického útoku.

Ztráta dat

Jaká je cena za ztracená data? Jakmile o data přijdete – ať už v důsledku krádeže, technického selhání nebo obyčejné lidské chyby a nemáte plán zálohování a obnovy po havárii, vaše společnost se nemusí už nikdy vzpamatovat. Implementace dobře formulované a rozsáhle testované strategie obnovy po havárii, která zahrnuje časté vzdálené zálohování v cloudu, je zásadní.

Zveřejnění dat

Novodobé útoky nejen zašifrují vaše firemní data, ale hrozí také jejich zveřejním. Odhalení citlivých údajů vás a vaši společnost může dostat do nemalých problémů.

Ztráta produktivity a tržeb

Napadení společnosti nejen ovlivní vaše prodeje, ale také produktivitu vašich zaměstnanců. Zavedení správného typu ochrany proti ransomware může pomoci předejít všem typům ztrát.

Zdroj: sophos.com

Jak se efektivně chránit před útoky?

Předpokládejte, že budete zasaženi

Ransomware je velmi rozšířený malware. Pamatujte, že vůči němu není imunní žádný sektor, země. Nerozhoduje ani zaměření společnosti. Proto se připravte na variantu, že vás může ransomware postihnout.

Zálohujte

Díky zálohování můžete nejrychleji a nejefektivněji obnovit svá data. V případě zaplacení výkupného však ve většině případů společnost nezíská zpět všechna svá data.

Nasaďte vícevrstvou ochranu

Tváří v tvář značnému nárůstu útoků založených na vydírání je důležitější než kdy jindy držet protivníky mimo vaše IT prostředí. Je tedy klíčové zabezpečit co největší počet bodů vaší infrastruktury.

Spojte expertní lidské zdroje s nejmodernějšími anti-ransomware technologiemi

Klíčem k zastavení ransomware útoku je hloubková obrana, která kombinuje specializovanou anti-ransomware technologii a lidsky řízené vyhledávání hrozeb. Technologie vám poskytuje rozsah a automatizaci, kterou potřebujete, zatímco lidští experti jsou nejlépe schopni odhalit prozrazující taktiky, techniky a postupy, které naznačují, že se do vašeho prostředí pokouší dostat zkušený útočník. Pokud nemáte vlastní dovednosti, podívejte se na získání podpory od specializované společnosti zabývající se kybernetickou bezpečností.

Neplaťte výkupné

Zaplacení výkupného je neefektivní způsob, jak získat svá data zpět. Pokud se rozhodnete výkupné zaplatit, nezapomeňte, že útočníci obnoví v průměru pouze dvě třetiny vašich souborů.

Mějte malware recovery plán

Nejlepší způsob, jak zabránit úplnému zničení po kyberútoku je příprava plánu. Organizace, které se staly obětí útoku vědí, že s plánem (incident response) se mohli se vyhnout spoustě nákladů a prostojů.

Zdroj: sophos.com

Chraňte se před útoky

Zabezpečte svou síť a koncové body proti útoku ransomware

Vyzkoušet

Novinky ze světa kyberbezpečnosti na váš e-mail

Co je nového v oblasti IT security? Buďte v obraze. Jednou měsíčně vám pošleme to nejzajímavější o bezpečnosti firemních sítí a dat.