Proofpoint ostrzega: atak ransomware rozpoczyna się od niepozornego e-maila

Ransomware - kluczowe trendy i wskazówki, które musisz znać

Zagrożenie oprogramowaniem ransomware wciąż wzrasta, w zeszłym roku tylko w Stanach Zjednoczonych odnotowano ponad 65 000 ataków tego typu. Ransomware był również gorącym tematem podczas szczytu liderów G7. Niestety z zagrożeniem, jakim jest ransomware borykają się wszystkie firmy niezależnie od wielkości.

Dlaczego ransomware jest takim poważnym zagrożeniem? Atak może sparaliżować działalność firmy na wiele dni, a nawet doprowadzić do całkowitego jej zamknięcia. Popularność tego złośliwego oprogramowania wzrasta wraz z jego dostępnością (zwłaszcza w modelu RaaS) oraz kryptowalut, które umożliwiają cyberprzestępcom szybkie zbieranie okupów i względną anonimowość.

Większość organizacji nie jest przygotowana na atak ransomware

Liczba ataków ransomware rośnie z roku na rok, pomimo tego zaledwie 13% ekspertów IT ankietowanych przez Ponemon Institute stwierdziło, że ich organizacje są przygotowane na odparcie ataku. Niestety aż 68% ekspertów przyznało, że ich organizacje są podatne lub bardzo podatne na atak ransomware.

Co na to analitycy Proofpoint zajmujący się badaniem zagrożeń? Zdaniem badaczy ataki ransomware są coraz bardziej odczuwalne dla lokalnych społeczności, dobitnie obrazuje to niedawny atak na rurociąg Colonial Pipeline czy JBS. Mieszkańcy USA już wielokrotnie musieli zmagać się z brakiem dostępu do usług rządowych czy niemożnością przyjęcia do szpitala. Ukierunkowane ataki, które sieją destrukcję i zniszczenie, w powiązaniu z coraz wyższymi okupami doprowadziły do tego, że ataki ransomware stały się problemem bezpieczeństwa narodowego.

tsunami ransomware

Jak przebiega atak ransomware?

To jak wygląda atak ransomware również się zmieniło na przestrzeni lat i choć każdy atak może wydawać się wyjątkowy, to analitycy Proofpoint Threat Research zaobserwowali wspólne trendy głośnych ataków z zeszłego roku. Przede wszystkim coraz częściej oprogramowanie ransomware jest dostarczane jako wieloetapowy ładunek. To, co kiedyś znaliśmy jako jednoetapowy atak ransomware, który szyfrował pojedyncze maszyny w celu uzyskania niewielkich okupów, ewoluowało w bardziej skomplikowane, wieloetapowe ładunki.

Zespół Proofpoint Threat Research zauważył, że na początku ofiary są infekowane narzędziem do pobierania złośliwego oprogramowania takimi jak The Trick, Dridex lub Buer Loader. Po uzyskaniu dostępu do sieci ofiary jest on odsprzedawany gangom ransomware.

Powiązanie ładunków początkowych z oprogramowaniem ransomware
www.proofpoint.com

Jeszcze w 2017 roku większość ataków ransomware była zautomatyzowana, teraz atakujący, aby zoptymalizować swoje działania zazwyczaj samodzielnie obsługują oprogramowanie ransomware. Atakujący prowadzą nadzór, tak aby zidentyfikować cele o wysokiej wartości i określić, które maszyny są najbardziej podatne na ataki i kto najpewniej zapłaci okup.

Oś czasu ataku ransomware REvil. Możemy tu zaobserwować krótszy czas przebywania w sieci ofiary i wyższe okupy
www.proofpoint.com

Ataki ransomware stały się bardziej ukierunkowane, atakujący wybierają cele, dla których przestój ma krytyczne konsekwencje. Według najnowszego raportu FBI IC3, ostatnie ataki ransomware są bardziej ukierunkowane i wyrafinowane. Operatorzy ransomware z reguły również eksfiltrują dane i grożą ich ujawnieniem, wszystko po to, aby zmusić ofiarę do jak najszybszego zapłacenia okupu (tzw. podwójne wymuszenie).

Jakie luki wykorzystują cyberprzestępcy?

Niestety poczta e-mail wciąż odgrywa kluczową rolę w dostarczaniu oprogramowania ransomware, zwłaszcza w przypadku większych organizacji. Ataki ransomware często zaczynają się od kliknięcia niepozornego e-maila lub linku.

Inne wektory ataków to luki w zabezpieczeniach, błędne konfiguracje protokołu pulpitu zdalnego (RDP) i wirtualnej sieci prywatnej (VPN). Również pandemia Covid-19 przyczyniła się do wzrostu liczby ataków ransomware, umożliwiając cyberprzestępcom korzystanie z nieistniejących wcześniej wektorów ataku, np. świadczenie pracy zdalnie.

Wektor ataku według wielkości firmy (źródło: Coveware Q4 2020 Ransomware Report)
www.proofpoint.com

Kluczowe zalecenia dotyczące zapobiegania atakom ransomware

Posiadanie odpowiedniej strategii jest niezbędne do ochrony organizacji i minimalizowania szkód w przypadku ataku ransomware. Niewiele organizacji posiada plan działania na wypadek ataku, a jest to kluczowe dla naszego bezpieczeństwa. Niezmiernie ważne jest, aby wykryć atak ransomware jak najszybciej. Poza ochroną antywirusową i systemem EDR, niezwykle ważne jest zabezpieczenie firmowych skrzynek e-mail. Poczta e-mail jest jednym z najpopularniejszych wektorów ataków, dlatego tak ważne jest inwestowanie w zaawansowane narzędzia, które będą wcześnie identyfikować zagrożenia na naszych skrzynkach. Zapobieganie atakom ransomware za pośrednictwem poczty e-mail jest dość proste: jeśli zablokujesz downloader, zablokujesz oprogramowanie ransomware.

Odpowiednie narzędzia do wykrywania podejrzanych wiadomości e-mail mogą wcześnie zatrzymać programy pobierające i zapewnić wgląd w kampanie dotyczące złośliwego oprogramowania powiązanego z oprogramowaniem ransomware. Rozwiązania takie jak Targeted Attack Protection firmy Proofpoint doskonale sprawdzają się w śledzeniu trendów i zapewnianiu wglądu w zagrożenia. Izolacja poczty e-mail to kolejna warstwa zabezpieczeń, która zapewnia bezpieczny dostęp do treści, a jednocześnie zapobiega atakom. Proofpoint zapewnia kontrolę adaptacyjną w ramach ochrony przed atakami ukierunkowanymi, aby odizolować najbardziej zagrożone osoby – VAP i tym samym zminimalizować ryzyko. Ponadto Proofpoint może automatycznie poddać wiadomości kwarantannie, aby wyeliminować zagrożenie. 

Tak Proofpoint identyfikuje zagrożenia
www.proofpoint.com

Skuteczna ochrona przed ransomware? Edukacja pracowników

Technologia i kontrola mają kluczowe znaczenie dla wczesnego wykrywania ataków ransomware, jednak świadomość pracowników jest niemniej ważna. Ransomware wymaga od użytkowników kliknięcia lub pobrania, aby aktywować zagrożenie, dlatego edukacja i szkolenie użytkowników jest koniecznością.

Zgodnie z najnowszym raportem State of the Phish firmy Proofpoint, tylko 33% użytkowników faktycznie rozumie, czym jest oprogramowanie ransomware. Rozwiązania, takie jak szkolenie na temat świadomości zagrożeń, pomagają zapewnić użytkownikom wiedzę, co zrobić w obliczu prawdziwego zagrożenia, zapewniając im rzetelną edukację na temat złośliwego oprogramowania, ransomware, phishingu i innych obszarów.

W codziennej pracy Twoim użytkownikom pomogą rozwiązania Proofpoint, które oznaczą każdą podejrzaną wiadomość i uchronią Twoich pracowników przed phishingiem.

Tagi ostrzegawcze wiadomości e-mail dla użytkowników - Proofpoint
www.proofpoint.com
Zapisz się na
newsletter

Zaufali nam:

Sprawdź jak ocenili nas klienci

5/5
Bezpieczeństwo sieci

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66

email: kontakt@vida.pl

Rozwiązania IT

Gałczyńskiego 18
40-587 Katowice
NIP: 651-15-41-295
Tel: 32 225 99 66
email: kontakt@vida.pl
F-Secure
Dołącz do newslettera i otrzymaj roczną ochronę antywirusową F-Secure Internet Security. Klucz uprawnia do korzystania z rocznej, pełnej wersji oprogramowania, którą możesz zainstalować na 3 urządzeniach z systemem Windows. Wystarczy, że: