Można przypuszczać, że ostatnie cyberataki z wykorzystaniem ransomware WannaCry i Petya/NonPetya to początek nowego trendu w obszarze cyfrowego bezpieczeństwa. W 2016 roku odnotowywano 4 tysiące ataków ransomware każdego dnia, a suma opłaconych okupów sięgnęła 850 milionów dolarów. Co w takim razie może przynieść nam przyszłość? Według analizy specjalistów z FortiGuard Labs firmy Fortinet co trzecia organizacja doświadczyła aktywności botów ransomware. W ostatnim czasie cyberprzestępcy przeprowadzili też wiele ataków na globalną skalę, takich jak WannaCry i Petya/NonPetya.
Oczywiście ataki na taką skalę nie są niczym nowym. W przeszłości mieliśmy do czynienia choćby z takimi przypadkami jak ILOVEYOU, Code Red czy Nimda, które dotykały większej liczby organizacji niż podczas najnowszych ataków. Rozprzestrzenianie się WannaCry i Petya/NonPetya było bowiem szybko ograniczone. Nie chodzi jednak tylko o skalę tych ataków. We współczesnej gospodarce cyfrowej dane są dla organizacji zarówno kluczowymi zasobami, jak i podstawowym źródłem dochodów. Dlatego nowe ataki są i będą bardziej wyrafinowane niż kiedykolwiek.
Nadchodzi era ransomworm?
WannaCry zainicjował nowy rodzaj ransomware, który specjaliści z firmy Fortinet nazwali ransomworm. – Zamiast zwykłej metody ransomware, polegającej na wybraniu określonego celu,
funkcjonalność robaka WannaCry pozwalała mu rozprzestrzeniać się szybko na całym świecie, atakując tysiące urządzeń i organizacji – wyjaśnia Jolanta Malak, regionalna dyrektor sprzedaży Fortinet na Polskę, Białoruś i Ukrainę.
Niedawno byliśmy świadkami pojawienia się kolejnego ransomworm nazwanego Petya, któremu następnie nadano przydomek NonPetya. Ten nowy rodzaj złośliwego oprogramowania działa w podobny sposób jak WannaCry, nawet z wykorzystaniem tej samej luki, ale ze znacznie większą złośliwością. Petya/NonPetya jest w stanie np. skasować dane z systemu lub nawet modyfikować sektor rozruchowy urządzenia, uniemożliwiając korzystanie z niego. Ponieważ ten atak nie okazał się szczególnie dochodowy, można przypuszczać, że celem przestępców nie tyle były zyski z okupu, co odłączenie urządzeń od sieci.
Wygląda na to, że ataki WannaCry i Petya/NonPetya są częścią nowej strategii cyberprzestępców, którzy będą obierali jako cel globalnych ataków nowo odkryte luki w zabezpieczeniach masowych. To tylko wierzchołek góry lodowej i potencjalnie początek nowej fali ataków ransomworm.
Jak zapobiegać?
Skala i zakres tych ataków sprawia, że świat poważnie się niepokoi. Co możemy więc zrobić w tej nowej rzeczywistości? Z pewnością nie warto popadać w panikę, zwłaszcza że istnieje kilka sposobów, dzięki którym można się bronić przed ransomworm.
Jednym z nich jest dbanie o odpowiednią higienę sieci i podłączonych do niej urządzeń, które są obecnie najbardziej zaniedbanymi elementami bezpieczeństwa. WannaCry wykorzystał luki w zabezpieczeniach, które Microsoft załatał dwa miesiące wcześniej. Pomimo nagłośnienia tematu miesiąc później Petya/NonPetya był w stanie z powodzeniem uderzyć w tysiące organizacji dzięki dokładnie tej samej podatności. Ponieważ Petya/NonPetya wykorzystuje dodatkowe wektory ataku, sama aktualizacja systemu operacyjnego nie wystarcza do całkowitej ochrony. Oznacza to, że oprócz aktualizowania oprogramowania konieczne są odpowiednie praktyki i narzędzia zabezpieczające. Z kolei urządzenia, dla których aktualizacje nie są już dostępne, muszą zostać wymienione.
Drugim sposobem jest pełna kontrola nad urządzeniami podłączonymi do lokalnej sieci. Warto zainwestować czas i technologię, aby zidentyfikować każde z nich, określić, jaka jest jego funkcja i jaki ruch przez nie przechodzi. Ważne jest też, aby wiedzieć, kto ma do niego dostęp, na jakim systemie operacyjnym jest uruchomione i czy są na nim ustawione automatyczne aktualizacje.
Biorąc pod uwagę, że nasze sieci obejmują obecnie szeroką gamę urządzeń, użytkowników i aplikacji wdrażanych w wielu sieciowych ekosystemach, pojedyncze narzędzia monitorujące ruch, który przechodzi przez jeden punkt w sieci, nie są już odpowiednie. Dlatego też należałoby wdrożyć skuteczne narzędzia zabezpieczające, które mogą wyświetlać i zatrzymywać najnowsze zagrożenia w wielu miejscach w sieci
Kolejnym wymogiem jest segmentacja sieci. Nie jest to nowe zalecenie, ale większość organizacji niestety tego nie robi. W ich przypadku złośliwe oprogramowanie może dokonać prawdziwego spustoszenia.
Organizacje decydujące się na wprowadzenie segmentacji powinny mieć na uwadze, że powinna ona zapewniać bezpieczeństwo nawet najbardziej złożonym środowiskom sieciowym. Niezbędne jest, aby strategia segmentacji była w stanie zobaczyć, skontrolować i zatrzymywać złośliwe oprogramowanie oraz nieautoryzowanych użytkowników i aplikacje, które próbują przekroczyć segmenty.
Segmentacja musi być zautomatyzowana, obsługiwać ruch pionowy, jak i poziomy, być w stanie zidentyfikować i odizolować niebezpieczne i zainfekowane urządzenia, a także obejmować środowiska sieciowe.
Osoby zarządzające organizacjami muszą zrozumieć, że w obecnej sytuacji należy wprowadzić strategię bezpieczeństwa i przeznaczyć na jej realizację odpowiednie środki. Jest to niezbędne w naszej nowej rzeczywistości.