2017 rokiem ransomware?

O tym, że w ostatnim czasie zÅ‚oÅ›liwe oprogramowanie typu ransomware jest szczególnie aktywne, wiadomo nie od dziÅ› – jednak dokÅ‚adne wyliczenia dotyczÄ…ce tego problemu sÄ… wrÄ™cz zatrważajÄ…ce. Z analiz firmy SonicWall wynika, że w minionym roku aktywność takich „szkodników” zwiÄ™kszyÅ‚a siÄ™ (w porównaniu z rokiem 2015)… 167-krotnie. PrzestÄ™pcy siÄ™gajÄ… po ransomware, ponieważ to dla nich skuteczne narzÄ™dzie do zarabiania – poprzez wymuszanie „okupu” od użytkowników zainfekowanych komputerów. Co gorsze, z zagrożeniem tym trudno skutecznie walczyć – na szczęście istniejÄ… jednak efektywne metody minimalizowana skutków ataku ransomware.

Zasada dziaÅ‚ania klasycznej aplikacji tego typu jest dość standardowa – po zainfekowaniu komputera (do którego aplikacja dociera podszywajÄ…c siÄ™ np. pod dokument, aktualizacjÄ™ czy infekujÄ…c go z poziomu strony WWW) ransomware bÅ‚yskawicznie szyfruje wybrane pliki, bo czym blokuje użytkownikowi dostÄ™p do nich. NastÄ™pnie na ekranie pojawia siÄ™ komunikat, z którego wynika, że dostÄ™p do danych może zostać przywrócony, ale wyÅ‚Ä…cznie za odpowiedniÄ… opÅ‚atÄ….

To wyjÄ…tkowo podÅ‚y, ale jednoczeÅ›nie skuteczny mechanizm – przestÄ™pcy doskonale zdajÄ… sobie sprawÄ™ z tego, że w przypadku firmy brak dostÄ™pu do krytycznych dla jej funkcjonowania danych może oznaczać przestój i gigantyczne straty finansowe. Dlatego też przedsiÄ™biorcy chÄ™tnie pÅ‚acÄ… „okup” – rozwiÄ…zujÄ…c doraźnie problem, ale jednoczeÅ›nie czyniÄ…c caÅ‚Ä… operacjÄ™ opÅ‚acalnÄ… i motywujÄ…c przestÄ™pców do kolejnych ataków.
Ze wspomnianego już raportu SonicWall GRID Threat Network Report 2017 dowiadujemy siÄ™, że w ciÄ…gu minionego roku takich ataków odnotowano… 638 milionów (rok wczeÅ›niej – zaledwie 3,8 mln). Zagrożenie jest wiÄ™c realne i coraz częściej stykajÄ… siÄ™ z nim również polskie firmy, instytucje i użytkownicy domowi – pojawiajÄ… siÄ™ nawet zÅ‚oÅ›liwe programy tego typu dostosowane do polskich realiów (lub przygotowane od podstaw z myÅ›lÄ… o atakach na Polaków). Wedle danych firmy Check Point, w ubiegÅ‚ym roku ok. 10% wszystkich cyberataków w Polsce to byÅ‚y wÅ‚aÅ›nie przypadki użycia ransomware…

NajgÅ‚oÅ›niejsze ataki ransomware, do których doszÅ‚o w ostatnich miesiÄ…cach to m.in.
- zaatakowanie luksusowego alpejskiego hotelu sieci Seehotel Jägerwirt – wbrew medialnym doniesieniom nie doszÅ‚o tam co prawda do zablokowania dostÄ™pu do pokoi hotelowych, jednak ryzyko byÅ‚o realne – dlatego wÅ‚aÅ›ciciele hotelu zdecydowali siÄ™ na zapÅ‚acenie okupu,
- zaszyfrowanie plików pacjentów i personelu w amerykaÅ„skim szpitalu Presbyterian Medical Center (za ich odblokowanie przestÄ™pcy domagali siÄ™ 3,4 mln USD),
- atak na szpital w Ottawie (przestÄ™pcy żądali wysokiego okupu, administratorzy szpitalnego systemu zdoÅ‚ali jednak przywrócić dane z backupu),
- atak na system IT urzÄ™du odpowiedzialnego za nadzór nad transportem miejskim w San Francisco (spowodowaÅ‚ paraliż komunikacyjny, m.in. poprzez blokadÄ™ systemu sprzedaży biletów),
- zainfekowanie ransomware’em komputerów holenderskiego parlamentu (podejrzewa siÄ™, że ów atak mógÅ‚ być motywowany politycznie – trop prowadziÅ‚ do Turcji).

Celem cyberprzestÄ™pców staÅ‚y w ostatnim czasie siÄ™ również polskie firmy oraz instytucje publiczne – liczba takich ataków bÄ™dzie prawdopodobnie rosÅ‚a, ponieważ coraz częściej zdarza siÄ™, że ransomware tworzony lub modyfikowany jest tak, by skuteczniej atakowaÅ‚ wÅ‚aÅ›nie użytkowników z Polski. Niedawno gÅ‚oÅ›no byÅ‚o o sprawie pewnego urzÄ™du z województwa lubelskiego, którego dane zostaÅ‚y zaszyfrowane przez ransomware – odpowiedzialny za to program byÅ‚ rozsyÅ‚any w e-maili podszywajÄ…cym siÄ™ pod wiadomość od Poczty Polskiej. SpecjaliÅ›ci ds. bezpieczeÅ„stwa zwracajÄ… też uwagÄ™, że niektóre takie programy tworzone sÄ… również przez Polaków – Å›wiadczÄ… o tym m.in. polskie komentarze w kodzie zÅ‚oÅ›liwego programu WildFire.

Jak się zabezpieczyć?
Skuteczne zabezpieczenie siÄ™ przed atakami ransomware jest niezwykle trudne. Owszem, stosowanie siÄ™ do podstawowych zasad bezpieczeÅ„stwa (aktualizowanie aplikacji i systemu, stosowanie oprogramowania antywirusowego) redukuje ryzyko, ale go nie eliminuje. Stosunkowo czÄ™sto zdarza siÄ™, że nowe programy ransomware potrafiÄ… skutecznie ukrywać siÄ™ przed „antywirusami” i korzystać z luk zero-day. Nie bez znaczenia jest również fakt, iż twórcy zÅ‚oÅ›liwego oprogramowania czÄ™sto biorÄ… na celownik użytkowników sÅ‚abo orientujÄ…cych siÄ™ w zÅ‚ożonych zagadnieniach z IT i za pomocÄ… najróżniejszych sztuczek socjotechnicznych sÄ… w stanie skÅ‚onić ich do samodzielnego wprowadzenia do systemu „szkodnika”.

Pewnym rozwiÄ…zaniem może być regularne tworzenie backupu – jednak standardowa kopia zapasowa danych nie zawsze skutecznie ochroni przed ransomware. JeÅ›li noÅ›nik, na którym zapisywany bÄ™dzie backup jest stale podÅ‚Ä…czony do komputera (via USB/Ethernet/WiFi) caÅ‚kiem realne jest to, że również te dane zostanÄ… zaszyfrowane podczas ataku.

Pełna ochrona dzięki migawkom
„100-procentowo skutecznym rozwiÄ…zaniem, chroniÄ…cym użytkownika nie tyle przed samym atakiem ransmoware, co przed jego skutkami, jest skorzystanie z systemu backupu opartego na mechanizmie migawek, czyli snapshotów. Takie narzÄ™dzie dostÄ™pne jest we wszystkich modelach serwerów QNAP NAS i pozwala na regularne, automatyczne wykonywanie kopii wskazanych danych/ wolumenów. Serwer przechowuje kolejne „wersje” backupu i w razie jakiegoÅ› incydentu – awarii czy wÅ‚aÅ›nie ataku ransomware i zablokowania dostÄ™pu do danych – użytkownik nie ma żadnego problemu z przywróceniem wczeÅ›niejszej wersji. Co ważne, na bieżąco backupowane sÄ… tylko dane, w których pojawiajÄ… siÄ™ jakieÅ› zmiany – dziÄ™ki temu kopie zajmujÄ… mniej miejsca, a wszystkie kluczowe informacje zostajÄ… zabezpieczone. OczywiÅ›cie, nie ma żadnych przeciwwskazaÅ„ by jeden serwer QNAP NAS staÅ‚ siÄ™ centralnym systemem backupu dla wielu firmowych komputerów – użytkownik może wygodnie skonfigurować go tak, by zapisywaÅ‚ i przechowywaÅ‚ backup z wielu źródeÅ‚” – wyjaÅ›nia Grzegorz Bielawski, Country Manager firmy QNAP.

Przedstawiciel firmy dodaje również, że sam serwer NAS jest w 100% odporny na atak ransomware, ponieważ pracuje pod kontrolÄ… bazujÄ…cego na Linuksie systemu QTS, a na dodatek wyposażono go we wbudowany mechanizm antywirusowy, skanujÄ…cy zapisywane w urzÄ…dzeniu dane.