Lekceważenie zagrożenia ransomware
Amerykańska DHS CISA[1] nazywa ransomware “największym cybernetycznym czynnikiem ryzyka” dla systemów informatycznych administracji Stanów Zjednoczonych. Podobne rozpoznanie problemu wynika z tego, że wystarczy jeden zainfekowany użytkownik z najwyższym poziomem uprawnień, aby wyłączyć tysiące serwerów i spowodować tygodnie utrudnień dla milionów obywateli – klientów.
W mediach ciszej o zagrożeniach ransomware, tymczasem stają się coraz bardziej wyrafinowane, czego dowodzą zablokowane ostatnio do poziomu offline organizacje sektora publicznego w USA. Atak ransomware dokonany w maju br. na infrastrukturę samorządu Baltimore[2] doskonale ilustruje konsekwencje: żądania okupu wielkości stu tysięcy dolarów i dwa tygodnie z okaleczonymi systemami. W sierpniu tego roku ponad dwadzieścia organizacji powiązanych z samorządem lokalnym w Teksasie stało się celem podobnego ataku.
Przyjęty przez cyberprzestępców model rozwija się, zaś granice geograficzne nie stanowią dla niego przeszkody. Samorządy lokalne są na celowniku cyberprzestępców ponieważ są łatwym celem – bardzo rzadko przeznaczają na cyberochronę środki finansowe odpowiednie do wymaganego dziś poziomu zabezpieczeń.
Ransomware na poważnie
Gdy oprogramowanie ransomware uderzy, jest już w zasadzie za późno. Konsekwencje finansowe i wizerunkowe ataku są ogromne. Koszty naprawy i usunięcia ransomwarowej infekcji nie należą do niskich. Baltimore oszacowało straty wynikające z ww. ataku (z kosztami przywrócenia systemów włącznie) na 18 milionów USD.
Niezbędnik anty-ransomware dla JST:
· Solidna strategia cyberochrony. Warto wdrożyć kulturę pracy opartą na zasadzie „najpierw bezpieczeństwo”. Koszt początkowy może się wydawać zniechęcający – szczególnie dla mniejszych jednostek, niemniej w porównaniu z kosztami ataku ransomware jest znikomy.
· Uwierzytelnianie dla aplikacji sieciowych/internetowych. Ograniczenie możliwości logowania przez Internet solidną autoryzacją wieloskładnikową jest pierwszym krokiem w zapobieganiu atakom ransomware. Działania minimum: należy się upewnić, że hasła domyślne i uwierzytelnianie, o którym wiadomo, że zostało naruszone (np. wyciek hasła, loginu), zostaną natychmiast usunięte.
· Szkolenia pracowników. Uzbrojenie zespołu w wiedzę o konsekwencjach ataków ransomware i przejawów ich występowania, na które należy zwrócić uwagę jest niezbędne. Wzrost świadomości technik pishingowych (podszywania się hakerów pod instytucje, firmy) powinien być priorytetem. Pracownicy powinni zwyczajowo poddawać w wątpliwość bezpieczeństwo załączników i linków z podejrzanych maili. Przestępcy najczęściej podszywają się pod marki takie jak Facebook, Microsoft Office Exchange, and Apple[3], ale równie dobrze mogą podawać się za dużego dostawcę energii elektrycznej czy spółkę komunalną.
· Skanowanie i filtrowanie ruchu internetowego. Postaw na widoczność i kontekst szyfrowanego ruchu internetowego. Gdy złośliwe strony, załączniki czy ruch C&C (komunikacja z serwerami Command&Control) jest widoczny, można go automatycznie zablokować zanim nastąpi infekcja. Większość złośliwego – szkodliwego oprogramowania jest hostowana na doskonale znanych (zaufanych) stronach, więc kluczowe jest deszyfrowanie ruchu SSL/TLS dla zapewnienia widoczności i możliwości sprawdzenia treści przez narzędzia ochrony.
· Tworzenie kopii zapasowych ważnych plików. Backup musi obejmować krytyczne systemy i obszary związane z danymi osobowymi. Kopie zapasowe powinny także być przechowywane offline dla ochrony przed atakiem ransomware. Wskazane są także symulacje odzyskiwania systemów po awarii, aby uniknąć scenariusza jak w Baltimore.
· Separacja sieci. Najgroźniejsze malware i ransomware swobodnie łączą się z każdym dostępnym systemem, w chwili połączenia ich z siecią. Dlatego warto unikać płaskich struktur sieciowych. Oznacza to, że zainfekowany system należy przepuszczać przez filtr czy dodatkowe punkty dostępu zanim wyjdzie z lokalnej grupy zasobów.
· Pogłębiona ochrona. Warto wprowadzić kilka różnych z natury, zazębiających się o siebie narzędzi (blokad-zapór), które mogą spowalniać i zatrzymywać wszystkie znane rodzaje ataków hakerskich.
Pierwszą linią obrony jest zatrzymanie ataku zanim dotrze on do któregokolwiek systemu. Bezpośrednie koszty spowolnienia lub zatrzymania działań operacyjnych trudno ignorować – dlatego inwestycję związaną z kontrolerami bezpieczeństwa ransomware łatwo uzasadnić.
Dotychczas ataki ransomware uderzały w fizyczne komputery przeznaczone do ogólnych zadań, ale to tylko kwestia czasu, zanim staną się dużym problemem dla urządzeń IoT, smartfonów a także systemów chmurowych.
Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland
[1] Departament of Homeland Security Cybersecurity and Infrastructure Security Agency
[2] Ransomware o nazwie RobbinHood: cyberprzestępcy przez dwa tygodnie blokowali dostęp do komputerów miasta Baltimore USA – paraliżując operacje online, utrudniając życie obywatelom. Szacowany koszt ataku – 18 mln USD
[3] F5 Labs 2019 Phishing and Fraud Report https://www.f5.com/labs/articles/threat-intelligence/2019-phishing-and-fraud-report