Ransomware - kluczowe trendy i wskazówki, które musisz znać
Zagrożenie oprogramowaniem ransomware wciąż wzrasta, w zeszłym roku tylko w Stanach Zjednoczonych odnotowano ponad 65 000 ataków tego typu. Ransomware był również gorącym tematem podczas szczytu liderów G7. Niestety z zagrożeniem, jakim jest ransomware borykają się wszystkie firmy niezależnie od wielkości.
Dlaczego ransomware jest takim poważnym zagrożeniem? Atak może sparaliżować działalność firmy na wiele dni, a nawet doprowadzić do całkowitego jej zamknięcia. Popularność tego złośliwego oprogramowania wzrasta wraz z jego dostępnością (zwłaszcza w modelu RaaS) oraz kryptowalut, które umożliwiają cyberprzestępcom szybkie zbieranie okupów i względną anonimowość.
Większość organizacji nie jest przygotowana na atak ransomware
Liczba ataków ransomware rośnie z roku na rok, pomimo tego zaledwie 13% ekspertów IT ankietowanych przez Ponemon Institute stwierdziło, że ich organizacje są przygotowane na odparcie ataku. Niestety aż 68% ekspertów przyznało, że ich organizacje są podatne lub bardzo podatne na atak ransomware.
Co na to analitycy Proofpoint zajmujący się badaniem zagrożeń? Zdaniem badaczy ataki ransomware są coraz bardziej odczuwalne dla lokalnych społeczności, dobitnie obrazuje to niedawny atak na rurociąg Colonial Pipeline czy JBS. Mieszkańcy USA już wielokrotnie musieli zmagać się z brakiem dostępu do usług rządowych czy niemożnością przyjęcia do szpitala. Ukierunkowane ataki, które sieją destrukcję i zniszczenie, w powiązaniu z coraz wyższymi okupami doprowadziły do tego, że ataki ransomware stały się problemem bezpieczeństwa narodowego.
Jak przebiega atak ransomware?
To jak wygląda atak ransomware również się zmieniło na przestrzeni lat i choć każdy atak może wydawać się wyjątkowy, to analitycy Proofpoint Threat Research zaobserwowali wspólne trendy głośnych ataków z zeszłego roku. Przede wszystkim coraz częściej oprogramowanie ransomware jest dostarczane jako wieloetapowy ładunek. To, co kiedyś znaliśmy jako jednoetapowy atak ransomware, który szyfrował pojedyncze maszyny w celu uzyskania niewielkich okupów, ewoluowało w bardziej skomplikowane, wieloetapowe ładunki.
Zespół Proofpoint Threat Research zauważył, że na początku ofiary są infekowane narzędziem do pobierania złośliwego oprogramowania takimi jak The Trick, Dridex lub Buer Loader. Po uzyskaniu dostępu do sieci ofiary jest on odsprzedawany gangom ransomware.
www.proofpoint.com
Jeszcze w 2017 roku większość ataków ransomware była zautomatyzowana, teraz atakujący, aby zoptymalizować swoje działania zazwyczaj samodzielnie obsługują oprogramowanie ransomware. Atakujący prowadzą nadzór, tak aby zidentyfikować cele o wysokiej wartości i określić, które maszyny są najbardziej podatne na ataki i kto najpewniej zapłaci okup.
www.proofpoint.com
Ataki ransomware stały się bardziej ukierunkowane, atakujący wybierają cele, dla których przestój ma krytyczne konsekwencje. Według najnowszego raportu FBI IC3, ostatnie ataki ransomware są bardziej ukierunkowane i wyrafinowane. Operatorzy ransomware z reguły również eksfiltrują dane i grożą ich ujawnieniem, wszystko po to, aby zmusić ofiarę do jak najszybszego zapłacenia okupu (tzw. podwójne wymuszenie).
Jakie luki wykorzystują cyberprzestępcy?
Niestety poczta e-mail wciąż odgrywa kluczową rolę w dostarczaniu oprogramowania ransomware, zwłaszcza w przypadku większych organizacji. Ataki ransomware często zaczynają się od kliknięcia niepozornego e-maila lub linku.
Inne wektory ataków to luki w zabezpieczeniach, błędne konfiguracje protokołu pulpitu zdalnego (RDP) i wirtualnej sieci prywatnej (VPN). Również pandemia Covid-19 przyczyniła się do wzrostu liczby ataków ransomware, umożliwiając cyberprzestępcom korzystanie z nieistniejących wcześniej wektorów ataku, np. świadczenie pracy zdalnie.
www.proofpoint.com
Kluczowe zalecenia dotyczące zapobiegania atakom ransomware
Posiadanie odpowiedniej strategii jest niezbędne do ochrony organizacji i minimalizowania szkód w przypadku ataku ransomware. Niewiele organizacji posiada plan działania na wypadek ataku, a jest to kluczowe dla naszego bezpieczeństwa. Niezmiernie ważne jest, aby wykryć atak ransomware jak najszybciej. Poza ochroną antywirusową i systemem EDR, niezwykle ważne jest zabezpieczenie firmowych skrzynek e-mail. Poczta e-mail jest jednym z najpopularniejszych wektorów ataków, dlatego tak ważne jest inwestowanie w zaawansowane narzędzia, które będą wcześnie identyfikować zagrożenia na naszych skrzynkach. Zapobieganie atakom ransomware za pośrednictwem poczty e-mail jest dość proste: jeśli zablokujesz downloader, zablokujesz oprogramowanie ransomware.
Odpowiednie narzędzia do wykrywania podejrzanych wiadomości e-mail mogą wcześnie zatrzymać programy pobierające i zapewnić wgląd w kampanie dotyczące złośliwego oprogramowania powiązanego z oprogramowaniem ransomware. Rozwiązania takie jak Targeted Attack Protection firmy Proofpoint doskonale sprawdzają się w śledzeniu trendów i zapewnianiu wglądu w zagrożenia. Izolacja poczty e-mail to kolejna warstwa zabezpieczeń, która zapewnia bezpieczny dostęp do treści, a jednocześnie zapobiega atakom. Proofpoint zapewnia kontrolę adaptacyjną w ramach ochrony przed atakami ukierunkowanymi, aby odizolować najbardziej zagrożone osoby – VAP i tym samym zminimalizować ryzyko. Ponadto Proofpoint może automatycznie poddać wiadomości kwarantannie, aby wyeliminować zagrożenie.
www.proofpoint.com
Skuteczna ochrona przed ransomware? Edukacja pracowników
Technologia i kontrola mają kluczowe znaczenie dla wczesnego wykrywania ataków ransomware, jednak świadomość pracowników jest niemniej ważna. Ransomware wymaga od użytkowników kliknięcia lub pobrania, aby aktywować zagrożenie, dlatego edukacja i szkolenie użytkowników jest koniecznością.
Zgodnie z najnowszym raportem State of the Phish firmy Proofpoint, tylko 33% użytkowników faktycznie rozumie, czym jest oprogramowanie ransomware. Rozwiązania, takie jak szkolenie na temat świadomości zagrożeń, pomagają zapewnić użytkownikom wiedzę, co zrobić w obliczu prawdziwego zagrożenia, zapewniając im rzetelną edukację na temat złośliwego oprogramowania, ransomware, phishingu i innych obszarów.
W codziennej pracy Twoim użytkownikom pomogą rozwiązania Proofpoint, które oznaczą każdą podejrzaną wiadomość i uchronią Twoich pracowników przed phishingiem.
www.proofpoint.com
