Ransomware to jedno z głównych zagrożeń, przed którym obecnie stoją firmy i osoby prywatne. Według niedawnego badania przeprowadzonego przez Fortinet, aż 85% przedsiębiorstw obawia się takiego ataku bardziej niż jakiegokolwiek innego zagrożenia. Może on zostać z łatwością zainicjowany przez nieostrożnego użytkownika, który np. kliknie w link prowadzący do nieodpowiedniej strony lub otworzy złośliwy plik. Chociaż ofiary często mogą czuć się zdesperowane i chcą zapłacić okup, aby odzyskać dostęp do ważnych danych, jest to decyzja, którą należy bardzo dokładnie rozważyć.
Dla zaatakowanej firmy stawka jest wyższa niż dla prywatnego użytkownika. W ekstremalnych przypadkach przetrwanie przedsiębiorstwa może zależeć od uzyskania od cyberprzestępców klucza, który umożliwi odszyfrowanie i odzyskanie skradzionych danych. Jednak dylematy ofiar należących do obu grup wydają się zaskakująco podobne.
Co robić w przypadku ataku ransomware?
Gdy atak powiedzie się, firmy mogą ograniczyć szkodliwy wpływ oprogramowania ransomware, podejmując szybkie działania. W pierwszej kolejności należy odizolować urządzenie, na którym uruchomiony jest proces szyfrujący dane – najlepiej po prostu go wyłączyć. Następnie należy odłączyć wszystko, co łączy zaatakowany sprzęt z siecią lub innymi urządzeniami w jej obrębie. W ten sposób zapobiega się atakom horyzontalnym, w których ransomware rozprzestrzenia się poprzez sieć z jednego urządzenia na drugie.
– Wyciągając po prostu wtyczkę z gniazdka, można powstrzymać dalsze rozprzestrzenianie się ransomware’u. Warto też wcześniej podzielić sieć na segmenty. Wdrożenie takiego modelu okazuje się naprawdę przydatne, gdy konieczne jest szybkie, łatwe i skuteczne odłączenie części sieci od pozostałej infrastruktury – wyjaśnia Aamir Lakhani z FortiGuard Labs firmy Fortinet.
Następnie należy zidentyfikować typ złośliwego oprogramowania, które zainfekowało system. Zazwyczaj nie jest to wyłącznie zaszyfrowanie danych przez ransomware – proces ten jest zwykle ostatnim aktem większego ataku. Zrozumienie jakiego rodzaju złośliwe oprogramowanie zostało użyte może pomóc w opracowaniu rozwiązania lub – w niektórych przypadkach – w użyciu klucza deszyfrującego, który może być już dostępny dla określonego typu ransomware’u.
Odzyskiwanie danych
Aby skutecznie odzyskać dane, firma musi wdrożone odpowiednie procedury, zakładające przede wszystkim systematyczne tworzenie kopii zapasowych (backup). Jeśli operacja ta odbywa się kilka razy dziennie, usuwanie skutków ataku ransomware może kosztować tylko kilka godzin pracy. Dla sukcesu tej operacji nie ma znaczenia, czy do tworzenia kopii danych wykorzystywane będą usługi backupu w chmurze czy repozytorium ulokowane w siedzibie firmy. Najważniejsze jest, że firma będzie mogła uzyskać dostęp do plików z kopii zapasowej, korzystając z urządzenia nienarażonego na atak.
Czy należy płacić za odszyfrowanie plików?
Ofiary ataku ransomware często słusznie obawiają się, że po zapłaceniu nie odzyskają danych. Trudno jest bowiem pokładać wiarę w dobrą wolę cyberprzestępców. Może się więc okazać, że nawet gdy okup zostanie zapłacony, firma straci i dane, i pieniądze. W dodatku otrzyma łatkę łatwego celu i „płatnika”, którego można w prosty sposób i często zastraszyć.
– Co oczywiste, żadna firma nie chce mieć takiej reputacji, ponieważ może to być równoznaczne z namalowaniem tarczy strzelniczej na jej plecach stanowiącej zachętę do przyszłych ataków. Chociaż rozumiem, że niektóre podmioty mogą nie mieć innego wyjścia, jak tylko zapłacić atakującym za ransomware, to jednak zalecam, aby tego nie robić – zwraca uwagę Aamir Lakhani.
Ofiary ataków ransomware, które czują się zmuszone do zapłacenia cyberprzestępcom, często zastanawiają się, czy jest to legalne. Nie ma przepisów zabraniających płacenia okupu w sytuacji, gdy dane i/lub systemy są zablokowane przez przestępców. Jednak władze i przedstawiciele branży cyberbezpieczeństwa zdecydowanie odradzają płacenie okupu. Zapłata nie gwarantuje bowiem odzyskania plików. W dodatku może ośmielić hakerów do atakowania kolejnych firm, zachęcić inne podmioty przestępcze do zaangażowania się w dystrybucję oprogramowania ransomware lub sfinansować nielegalne działania innego rodzaju.
Jak zapobiegać atakom ransomware?
Najlepszą praktyką dla firm i osób prywatnych w celu uniknięcia ataku ransomware jest stosowanie się do poniższych zaleceń.
- Poważnie traktuj szkolenia z zakresu cyberbezpieczeństwa i zachęcaj do tego innych pracowników.
- Unikaj klikania podejrzanych hiperłączy i dbaj o znajomość zasad cyberhigieny.
- Pobieraj pliki tylko z zaufanych źródeł.
- Skanuj wiadomości e-mail w poszukiwaniu złośliwego oprogramowania.
- Stosuj zapory ogniowe (firewall) i produkty zabezpieczające urządzenia końcowe zintegrowane z mechanizmami analizy zagrożeń.
- Twórz kopie zapasowe ważnych danych.
- Korzystaj z VPN podczas połączenia z publicznymi sieciami Wi-Fi.
- Opracuj plan reagowania na incydenty.