Jak chronić się przed ransomware?

Przeczytaj także: Zagrożenia internetowe 2014 wg Fortinet

Zdanie „pieniądze albo życie” było ulubionym zdaniem bandytów z osiemnastego wieku. Chociaż zamaskowani rozbójnicy okradający pasażerów dyliżansów to już przeszłość, jednak zjawisko przejmowania wartościowych przedmiotów dla okupu jest wciąż aktualne. Obecnie cyberprzestępcy korzystają ze złośliwego oprogramowania zwanego ransomware i krzyczą „pieniądze albo pliki danych” wymuszając od przedsiębiorstw, w zamian za odblokowanie komputerów lub danych, wpłacenia odpowiedniej kwoty za ich „uwolnienie”.

Tak jak w przypadku większości złośliwego oprogramowania, do infekcji ransomware może dojść przez otwarcie zawirusowanego załącznika email, kliknięcie spreparowanego odpowiednio okienka pop-up lub po prostu przez wejście na zawirusowaną stronę web. Przykrą konsekwencją dla przedsiębiorstwa może być wtedy albo zablokowanie ekranu komputera albo zaszyfrowanie danych. Lock-screen ransomware, jak sama nazwa wskazuje, blokuje działanie komputera i wyświetla komunikat od cyberprzestępcy z żądaniem okupu – maszyna staje się bezużyteczna do momentu uiszczenia opłaty. Chociaż jest to uciążliwe dla użytkownika, tego rodzaju złośliwe oprogramowanie nie jest zbytnio szkodliwe, gdyż dotyczy na ogół pojedynczej maszyny i jest relatywnie proste do usunięcia.

Z kolei oprogramowanie ransomware szyfrujące pliki to niezwykle szybko rozwijające się poważne zagrożenie dla przedsiębiorstw, gdyż taki wirus posiada możliwość trwałego zablokowania dostępu do plików i danych – nie tylko na pojedynczych maszynach, lecz w całej firmowej sieci. Ataki wykorzystujące algorytmy kryptograficzne do zaciemnienia danych do momentu uiszczenia opłaty pojawiały się w trzecim kwartale 2013 roku z częstotliwością o 200% większą niż w pierwszej połowie roku. Co więcej, ataki te były wymierzone w małe i średnie firmy. Hakerzy wykorzystywali w nich narzędzie CryptoLocker, jedną z najbardziej szkodliwych i złośliwych odmian ransomware, jakie do tej pory odnotowano.

Od momentu pojawienia się tego wirusa późnym latem 2013 roku, CryptoLocker zaatakował ponad milion komputerów. Po uaktywnieniu na komputerze PC, CryptoLocker wyszukuje wszystkie foldery i dyski, które są dostępne z poziomu zainfekowanej maszyny, włączając w to dyski sieciowe do tworzenia kopii zapasowych na firmowych serwerach. Następnie rozpoczyna się proces zaciemniania plików przy użyciu 2048-bitowego szyfrowania, które jest niemożliwe do złamania. Pliki będą niedostępne do odczytyania do momentu zapłacenia okupu osobom stojącym za atakiem za klucz służący do odszyfrowania danych – zakładając oczywiście, że przestępcy po otrzymaniu pieniędzy wspomniany klucz udostępnią swojej ofierze. Nie ma żadnych wątpliwości, że utrata własności intelektualnej i poufnych danych jest zawsze katastrofalna w skutkach.

Ochrona przed ransomware

Jak wobec tego przedsiębiorstwa mogą się bronić przed tymi nowymi, agresywnymi odmianami ransomware? Pierwszym krokiem powinno być wdrożenie wewnątrz firmy podstawowych dobrych praktyk dotyczących bezpieczeństwa, które służą do ochrony przed wszelkiego rodzaju złośliwym oprogramowaniem:

• Upewnić się, że program antywirusowy jest aktualny i posiada bazę najnowszych sygnatur
• Sprawdzić, czy aktualizacje do systemów operacyjnych i oprogramowania są instalowane na bieżąco
• Zainstalować dwudrożny firewall na każdym komputerze PC użytkownika
• Przeszkolić użytkowników odnośnie technik inżynierii społecznościowej, w szczególności tych wykorzystujących złośliwe załączniki w przychodzących mailach

Niestety podjęcie tych środków nie wystarczy, aby całkowicie ochronić się przed atakami. W każdej chwili pracownik i tak może niechcący kliknąć na załącznik w wiadomości email, co rozpocznie infekcję – jest to zbyt duże ryzyko. Ponadto hakerzy stojący za atakami ransomware mogą relatywnie łatwo dokonać niewielkich zmian w złośliwym oprogramowaniu, co umożliwi ominięcie ochrony systemów antywirusowych bazujących na wykrywaniu sygnatur i sprawi, że firma będzie podatna na atak.

Lepsza ochrona dzięki środowiskom sandbox

Aby bronić się przed atakami, które mogą nie zostać wykryte przez konwencjonalne rozwiązania antywirusowe, powstała nowa technika, która potrafi odizolować złośliwe pliki zanim przedostaną się do sieci, co uniemożliwia przypadkowe infekcje.

Technologia ta, zwana przez Check Point emulacją zagrożeń, działa bez wpływu na funkcjonowanie przesyłania informacji w przedsiębiorstwie. Zawartość przychodzących podejrzanych plików jest analizowana na wirtualnym środowisku zwanym „sandbox”. Plik uruchomiony w sandbox jest monitorowany w czasie rzeczywistym pod kątem wszelkich nietypowych działań, takich jak dokonywanie zmian w rejestrze, uruchamianie procesów lub nawiązywanie połączeń sieciowych. Jeżeli funkcjonowanie pliku zostanie uznane za podejrzane lub złośliwe, to zostaje on zablokowany i podlega kwarantannie, co zabezpiecza przed dotarciem wirusa do sieci – lub skrzynki email użytkownika – oraz niweluje ryzyko spowodowania zniszczeń. Nowe usługi emulujące oparte o chmurę, takie jak np. ThreatCloud Emulation firmy Check Point, potrafią zapewnić funkcjonalności bezpieczeństwa dla niemal wszystkich przedsiębiorstw, niezależnie od ich rozmiaru.

Przedsiębiorstwa powinny rozważyć podjęcie tych dodatkowych środków bezpieczeństwa, aby ochronić się przed atakami cyberprzestępców, którym do przedostania się do sieci i przejęcia zasobów jako zakładników wystarczy jedynie mała luka w systemie ochrony. Firmy powinny traktować problem ransomware bardzo poważnie, gdyż tego typu oprogramowanie pozwala momentalnie wejść w posiadanie wszystkich plików i służbowych danych.