Ransomware – czym jest i jak może dostać się do Twojej firmy? (cz. 2)

Zapraszamy Was do drugiej części rozważań o ransomware (cz. 1 znajdziecie tutaj). Jakie są realne przypadki ataków, i jakie są dobre praktyki obrony w cyberprzestrzeni dla Twojej firmy? Zapraszamy do lektury!

Przypadki innych firm

Jedną z najgłośniejszych spraw ostatnich lat był atak na firmę Norsk Hydro – giganta związanego z branżą aluminium. Atakującym udało się uzyskać dostęp przez to, że jeden z pracowników otworzył załącznik mailowy, który przyszedł z zaufanej poczty (skrzynka mailowa zaufanego człowieka została przejęta i użyta w ataku. W ciągu kilku dni atakujący byli w stanie zapewnić sobie stały dostęp do infrastruktury, którą następnie zaszyfrowali. Przypadek ten jest ważny nie tylko ze względu na skalę finansową (firma straciła ponad 40 milionów dolarów), ale także dlatego, że postanowiła być transparentna w tym momencie. Na bieżąco informowano co dzieje się w firmie i jak zespoły IT walczą z zagrożeniem i starają się przywrócić operacyjność przedsiębiorstwa. Jeśli chcecie więcej poczytać na ten temat, to polecamy artykuł na stronie Microsoftu na temat tego konkretnego ataku.

https://news.microsoft.com/source/features/digital-transformation/hackers-hit-norsk-hydro-ransomware-company-responded-transparency/

Innym istotnym atakiem ransomware, który dotknął setki tysięcy komputerów na całym świecie był tzw. WannaCry. W roku 2017 hakerzy znani jako Shadow Brokers wykorzystali zaawansowaną podatność o nazwie EternalBlue w systemie Windows. Podatność miała pochodzić z amerykańskiej Narodowej Agencji Bezpieczeństwa (NSA) i być dotychczas w użyciu przez rządowych hakerów (grupy APT). EternalBlue wykorzystywał lukę w protokole Microsoft Server Message Block 1.0 (SMBv1), i dzięki niej uzyskiwał dostęp do zdalnego wykonania dostarczonego kodu na komputerze ofiary. Dodatkowo wirus posiadał możliwość samo rozprzestrzeniania się po sieci. Dotknięte zostały między innymi szpitale, uczelnie czy producenci samochodów. Ekran ransomware domagający się wpłaty wyświetlał się nawet na ekranów bankomatów

Rysunek 1 – Okno programu pojawiające się po uruchomieniu się ransomware WannaCry.

Rysunek 2 – Zainfekowane bankomaty w Chinach.

Polecamy artykuł Niebezpiecznika w tym temacie, który opisał tę sprawę znacznie dokładniej https://niebezpiecznik.pl/post/zamkniete-szpitale-i-zaklady-pracy-uderzenie-robaka-wannacry-i-olbrzymie-straty-na-calym-swiecie/

Dobre praktyki

Jak więc chronić się przed atakami ransomware? Na to nie ma jednej odpowiedzi, ponieważ infrastruktura każdej firmy jest nieco inna. Można jednak stosować się do ogólnie przyjętych dobrych praktyk bezpieczeństwa, które sprawią, że będziemy minimalizować zagrożenie, a w przypadku ataku, będziemy w stanie skutecznie odzyskać dane.

Zanim jednak przedstawimy porady dotyczące samego ransomware to zachęcamy do zapoznania się z ogólnymi poradami dotyczącymi dobrych praktyk bezpieczeństwa, które jako Innokrea proponujemy na naszym blogu.

• https://www.innokrea.pl/blog/bezpieczenstwo-w-internecie/
• https://www.innokrea.pl/blog/bezpieczenstwo-w-internecie-2/
• https://www.innokrea.pl/blog/zwieksz-swoje-bezpieczenstwo-w-internecie-z-innokrea-nie-daj-sie-okrasc-cz-3/

To co warto zrobić poza zaproponowanymi przez nas praktykami to:

1. Miej gotowy plan odpowiedzi na zagrożenie, upewnij się, że Twój zespół IT bierze pod uwagę taką ewentualność. W sytuacji stresowej podczas ataku można dzięki temu postępować w bardziej racjonalny, przemyślany sposób.
2. Miej gotowe backupy, które są w izolowanym środowisku sieciowym lub w kompletnie innej infrastrukturze. Testuj działanie kopii zapasowych.
3. Posiadaj oszacowanie ile potrwa przywrócenie operacyjności Twojego przedsiębiorstwa i jakie straty finansowe mogą z tego wynikać.
4. Izoluj sieć dla gości, jeśli Twoja firma posiada biuro. Zdarzają się takie infrastruktury, gdzie gość po zalogowaniu się do wifi w biurze może mieć dostęp do serwerów produkcyjnych. Jest to niedopuszczalne.
5. Używaj narzędzi IAC (Terraform) i systemów kontroli wersji (GIT). Konfiguracja powinna być spójna, przemyślana, a każda zmiana zaakceptowana przez przynajmniej 2 osoby, które znają się na danej technologii.
6. Aktualizuj regularnie całe oprogramowanie jakie posiadasz i śledź czy na używane przez Ciebie oprogramowanie nie pojawiają się podatności. Wszelkie skanery, feed’y czy nawet Twitter mogą się tutaj przydać.
7. Implementuj taki rodzaj uwierzytelnienia dwuskładnikowego, który nie jest podatny na phishing.
8. Stosuj dobre praktyki dotyczące zarządzania uprawnieniami oraz politykę zero-trust
9. Inwestuj w szkolenia dla pracowników IT oraz zwykłych pracowników tak, aby byli w stanie odpowiednio reagować na ataki czy choćby rozpoznać phishing.
10. Jeśli jesteś osobą techniczną koniecznie zapoznaj się z poradnikiem CISA Stop ransomware, który bardzo dokładnie omawia dobre praktyki dotyczące działania przeciwko ransomware -> https://www.cisa.gov/resources-tools/resources/stopransomware-guide 

Podsumowanie

Mamy nadzieję, że ta krótka seria o ransomware była dla Was przydatna i ciekawa. Pamiętajmy, że nigdy do końca nie jesteśmy bezpieczni w cyberprzestrzeni, ale stosując odpowiednie praktyki z zakresu cyberbezpieczeństwa i zatrudniając ludzi, który się na tym znają jesteśmy w stanie chronić swój biznes, a w razie udanego ataku minimalizować straty jakie ponosi firma. Do usłyszenia za tydzień!

Źródła:

• https://www.cisa.gov/resources-tools/resources/stopransomware-guide
• https://pl.wikipedia.org/wiki/EternalBlue