Oprogramowanie ransomware sprawdza następnie konfigurację lokalną komputera, klucze rejestru, ustawienia serwera proxy oraz komunikuje się z zewnętrznym serwerem Command&Control w celu doinstalowania modułów potrzebnych do dalszej penetracji sieci – to Etap Staging. Kolejnym etapem jest skanowanie sieci w poszukiwaniu kolejnych podatnych systemów i przechowywanych w nich krytycznych danych. Co istotne, przestępcy starają się również uzyskać dostęp do wszystkich potencjalnych ofiar w zainfekowanym środowisku, wyłączają zabezpieczenia np. programy antywirusowe, narzędzia EDR (Endpoint Detection and Response), narzędzia do tworzenia kopii zapasowych. Dopiero po wykonaniu tych czynności następuje szyfrowanie wykrytych plików.
W przypadku przytoczonego na wstępie przykładu ransomware „Avaddon” cyt.: „ […] hakerzy posługujący się wirusem zazwyczaj żądają okupu w bitcoinach, w zamian oferując narzędzie deszyfrujące „Avaddon General Decryptor”. W tym celu stosują strategię „podwójnego wymuszania”. Polega ona na wywarciu presji na ofiarę, aby spełniła stawiane warunki, poprzez groźbę opublikowania pozyskanych danych oraz przeprowadzenie ataku typu DDoS”.
Odporność na ataki ransomware – kluczowe kroki do bezpieczeństwa
Jak zbudować odporność na ataki ransomware – Jednym z najważniejszych elementów zabezpieczania zasobów IT jest ciągły proces aktualizacji systemów, aplikacji oraz firmware. Jako firma, która wykonuje audyty bezpieczeństwa, często widujemy zaniedbania w tym obszarze. Niejednokrotnie są to problemy kadrowe – pracy jest zbyt wiele by pamiętać o aktualizacjach lub występują problemy ze znalezieniem okna czasowego na ich wykonanie, ponieważ systemy muszą działać całą dobę.
Mimo wszystko, organizacje powinny dołożyć wszelkich starań, by systemy posiadały zainstalowane najnowsze poprawki, ponieważ zmniejsza to liczbę potencjalnych luk w zabezpieczeniach, które osoba atakująca może wykorzystać. W przypadku ograniczonych własnych zasobów, warto skorzystać z usług firm zewnętrznych, którym można zlecić cykliczne wykonywanie skanów podatności. Efektem są raporty pokazujące zidentyfikowane podatności i rekomendacje działań pozwalających na ich eliminację. Jednocześnie trzeba pamiętać o realizacji działań edukacyjnych dla kadry nietechnicznej. Szkolenia użytkowników w zakresie identyfikowania i unikania potencjalnych ataków mają kluczowe znaczenie w kontekście ransomware. Wiele obecnych ataków zaczyna się od wiadomości e-mail, która jest ukierunkowana w konkretną firmę lub osobę i zachęca użytkownika do kliknięcia w złośliwy link. Edukacja użytkowników jest często uważana za jeden z najważniejszych mechanizmów obronnych, jakie organizacja może wdrożyć.
Strategia ciągłości działania i odzyskiwanie danych
Profesjonalnie budowane bezpieczeństwo zasobów IT obejmuje również opracowanie i testowanie strategii ciągłości działania i odzyskiwania danych. Oznacza to m.in. stworzenie planu obejmującego:
- Cykliczne tworzenie kopii zapasowych, najlepiej zgodnie z regułą 3-2-1, czyli kopia w 3 egzemplarzach, na 2 różnych nośnikach, w tym 1 nośnik (kopia zapasowa) przechowywany poza siedzibą organizacji.
- Scenariusza wskazującego kolejność odtwarzania ekosystemu IT organizacji po incydencie,
- Cykliczne testowanie planu pod kątem integralności danych oraz czasu jaki jest potrzebny by przywrócić ekosystem IT organizacji do działania.
Rola Disaster Recovery w obronie przed cyberatakami
Cyberprzestępcy stale wymyślają i poszukują nowych sposób i technik do realizacji swoich przedsięwzięć. Nie istnieją zatem rozwiązania, które w 100% zabezpieczą organizację przed atakiem. Podstawą jest dbanie o cykliczne wykrywanie podatności, aktualizacja systemów IT oraz uświadamianie użytkowników jak bezpiecznie korzystać z usług IT. A jeżeli już nasza organizacja stanie się ofiarą ataku, to jak pokazuje doświadczenie, ratują nas rozwiązanie Disaster Recovery, które jest odseparowane od sieci firmowej oraz znajduje się w innej lokalizacji.