Rok 2017 rokiem ransomware?
O tym, że w ostatnim czasie złośliwe oprogramowanie typu ransomware jest szczególnie aktywne, wiadomo nie od dziś – jednak dokładne wyliczenia dotyczące tego problemu są wręcz zatrważające. Z analiz firmy SonicWall wynika, że w minionym roku aktywność takich „szkodników” zwiększyła się 167-krotnie.
Zasada działania klasycznej aplikacji tego typu jest dość standardowa - po zainfekowaniu komputera (do którego aplikacja dociera podszywając się np. pod dokument, aktualizację czy infekując go z poziomu strony WWW) ransomware błyskawicznie szyfruje wybrane pliki, bo czym blokuje użytkownikowi dostęp do nich. Następnie na ekranie pojawia się komunikat, z którego wynika, że dostęp do danych może zostać przywrócony, ale wyłącznie za odpowiednią opłatą.
To wyjątkowo podły, ale jednocześnie skuteczny mechanizm - przestępcy doskonale zdają sobie sprawę z tego, że w przypadku firmy brak dostępu do krytycznych dla jej funkcjonowania danych może oznaczać przestój i gigantyczne straty finansowe. Dlatego też przedsiębiorcy chętnie płacą "okup" - rozwiązując doraźnie problem, ale jednocześnie czyniąc całą operację opłacalną i motywując przestępców do kolejnych ataków.
Ze wspomnianego już raportu SonicWall GRID Threat Network Report 2017 dowiadujemy się, że w ciągu minionego roku takich ataków odnotowano... 638 milionów (rok wcześniej - zaledwie 3,8 mln). Zagrożenie jest więc realne i coraz częściej stykają się z nim również polskie firmy, instytucje i użytkownicy domowi - pojawiają się nawet złośliwe programy tego typu dostosowane do polskich realiów (lub przygotowane od podstaw z myślą o atakach na Polaków). Wedle danych firmy Check Point, w ubiegłym roku ok. 10% wszystkich cyberataków w Polsce to były właśnie przypadki użycia ransomware...
Najgłośniejsze ataki ransomware, do których doszło w ostatnich miesiącach to m.in.
- zaatakowanie luksusowego alpejskiego hotelu sieci Seehotel Jägerwirt - wbrew medialnym doniesieniom nie doszło tam co prawda do zablokowania dostępu do pokoi hotelowych, jednak ryzyko było realne - dlatego właściciele hotelu zdecydowali się na zapłacenie okupu,
- zaszyfrowanie plików pacjentów i personelu w amerykańskim szpitalu Presbyterian Medical Center (za ich odblokowanie przestępcy domagali się 3,4 mln USD),
- atak na szpital w Ottawie (przestępcy żądali wysokiego okupu, administratorzy szpitalnego systemu zdołali jednak przywrócić dane z backupu),
- atak na system IT urzędu odpowiedzialnego za nadzór nad transportem miejskim w San Francisco (spowodował paraliż komunikacyjny, m.in. poprzez blokadę systemu sprzedaży biletów),
- zainfekowanie ransomware’em komputerów holenderskiego parlamentu (podejrzewa się, że ów atak mógł być motywowany politycznie - trop prowadził do Turcji).
Celem cyberprzestępców stały w ostatnim czasie się również polskie firmy oraz instytucje publiczne - liczba takich ataków będzie prawdopodobnie rosła, ponieważ coraz częściej zdarza się, że ransomware tworzony lub modyfikowany jest tak, by skuteczniej atakował właśnie użytkowników z Polski. Niedawno głośno było o sprawie pewnego urzędu z województwa lubelskiego, którego dane zostały zaszyfrowane przez ransomware - odpowiedzialny za to program był rozsyłany w e-maili podszywającym się pod wiadomość od Poczty Polskiej. Specjaliści ds. bezpieczeństwa zwracają też uwagę, że niektóre takie programy tworzone są również przez Polaków - świadczą o tym m.in. polskie komentarze w kodzie złośliwego programu WildFire.
Jak się zabezpieczyć?
Skuteczne zabezpieczenie się przed atakami ransomware jest niezwykle trudne. Owszem, stosowanie się do podstawowych zasad bezpieczeństwa (aktualizowanie aplikacji i systemu, stosowanie oprogramowania antywirusowego) redukuje ryzyko, ale go nie eliminuje. Stosunkowo często zdarza się, że nowe programy ransomware potrafią skutecznie ukrywać się przed "antywirusami" i korzystać z luk zero-day. Nie bez znaczenia jest również fakt, iż twórcy złośliwego oprogramowania często biorą na celownik użytkowników słabo orientujących się w złożonych zagadnieniach z IT i za pomocą najróżniejszych sztuczek socjotechnicznych są w stanie skłonić ich do samodzielnego wprowadzenia do systemu "szkodnika".
Pewnym rozwiązaniem może być regularne tworzenie backupu - jednak standardowa kopia zapasowa danych nie zawsze skutecznie ochroni przed ransomware. Jeśli nośnik, na którym zapisywany będzie backup jest stale podłączony do komputera (via USB/Ethernet/WiFi) całkiem realne jest to, że również te dane zostaną zaszyfrowane podczas ataku.
Pełna ochrona dzięki migawkom
"100-procentowo skutecznym rozwiązaniem, chroniącym użytkownika nie tyle przed samym atakiem ransmoware, co przed jego skutkami, jest skorzystanie z systemu backupu opartego na mechanizmie migawek, czyli snapshotów. Takie narzędzie dostępne jest we wszystkich modelach serwerów QNAP NAS i pozwala na regularne, automatyczne wykonywanie kopii wskazanych danych/ wolumenów. Serwer przechowuje kolejne "wersje" backupu i w razie jakiegoś incydentu - awarii czy właśnie ataku ransomware i zablokowania dostępu do danych - użytkownik nie ma żadnego problemu z przywróceniem wcześniejszej wersji. Co ważne, na bieżąco backupowane są tylko dane, w których pojawiają się jakieś zmiany - dzięki temu kopie zajmują mniej miejsca, a wszystkie kluczowe informacje zostają zabezpieczone.