Polska | Polski Lokalizacje

32 630 48 65 Rozpocznij Odzyskiwanie
32 630 48 65
32 630 48 65
Rozpocznij Odzyskiwanie

Kompletny przewodnik po oprogramowaniu ransomware

Written By: Ontrack

Date Published: 30 października 2023

Kompletny przewodnik po oprogramowaniu ransomware

Arrow Left Powrót do listy
  • ransomware-1

    Czym jest oprogramowanie ransomware? Kompletny przewodnik

    Ransomware, to forma złośliwego oprogramowania zaprojektowana w celu zablokowania użytkownikowi dostępu do systemu komputerowego lub opublikowania danych ofiary w Internecie. Atakujący żąda od ofiary okupu, obiecując - nie zawsze zgodnie z prawdą - przywrócenie dostępu do danych po dokonaniu płatności.

    Od lat 80. ubiegłego wieku, każdej dekady odnotowuje się wzrost liczby różnych trojanów ransomware, ale rzeczywiste możliwości atakujących wzrosły po wprowadzeniu Bitcoina. Ta kryptowaluta pozwala atakującym łatwo ściągać pieniądze od swoich ofiar bez korzystania z tradycyjnych kanałów.

    Atak ransomware: Jak cyberprzestępca wkracza do akcji?

    Atak ransomware rozpoczyna się, gdy złośliwe oprogramowanie zostanie pobrane na urządzenie. Przykładowe typy urządzeń to laptopy, smartfony lub komputery stacjonarne. Złośliwe oprogramowanie jest zwykle pobierane w wyniku błędu użytkownika lub niewystarczających protokołów bezpieczeństwa.

(Spear) Phishing mail

Najczęstszym systemem dostarczania oprogramowania ransomware jest wiadomość phishingowa zawierająca załącznik lub link.

Zainfekowane strony internetowe i złośliwe reklamy/Adware

Zainfekowane adresy URL są powszechnie wykorzystywane do dystrybucji oprogramowania ransomware. Kliknięcie jednego z takich linków, czy to za pośrednictwem wiadomości e-mail, czy niezweryfikowanej witryny, może automatycznie uruchomić pobieranie oprogramowania ransomware na dysk twardy, znane również jako „drive-by download”. Nawet samo odwiedzenie strony, bez pobierania czegokolwiek, może prowadzić do ataku ransomware.

Punkty zdalnego dostępu (RDP)

Coraz więcej ataków polega na uzyskaniu dostępu do firmy, która ma otwarte i odsłonięte punkty dostępu zdalnego, takie jak protokół pulpitu zdalnego (RDP) czy wirtualne przetwarzanie sieciowe (VNC). Dane uwierzytelniające RDP mogą być wymuszane, uzyskiwane z wycieków haseł lub po prostu kupowane na nielegalnym rynku. Podczas gdy w przeszłości przestępcy ransomware konfigurowali środowisko dowodzenia i kontroli dla ransomware i kluczy deszyfrujących, obecnie większość przestępców zwraca się do ofiar z żądaniami okupu, które zawierają anonimowy adres e-mail, co umożliwia przestępcom pozostać ukrytymi.

Po zainfekowaniu systemu, oprogramowanie ransomware przejmuje kontrolę nad krytycznymi procesami urządzenia, wyszukując pliki do zaszyfrowania. Złośliwe oprogramowanie szyfruje wszystkie dane na urządzeniu lub usuwa te pliki, których nie może zaszyfrować. Może zainfekować dowolne urządzenia zewnętrzne podłączone do komputera hosta. W przypadku bardziej wyrafinowanych ataków jest to dopiero początek serii zdarzeń opisanych w ramach Lockheed Martin Cyber Kill Chain® i bazie wiedzy MITRE ATT&CK®.

 

Różne taktyki oprogramowania ransomware

Ransomware jest również nazywane oprogramowaniem wymuszającym. Cyberprzestępcy stosują różne taktyki, aby wyłudzić pieniądze.

Szyfrowanie danych

W wielu przypadkach eksperci mówią również o trojanach szyfrujących, ponieważ wymuszenie opiera się na fakcie, że dane są zakodowane i niedostępne dla użytkownika. Klucz deszyfrujący jest obiecywany w zamian za okup.

Kradzież danych - eksfiltracja Leak ware lub Dox ware

Innym rodzajem złośliwego oprogramowania jest tzw. leak ware lub dox ware. W tym przypadku atakujący grozi ujawnieniem poufnych danych z dysku twardego ofiary, jeśli nie zostanie zapłacony okup. Często atakowane są wiadomości e-mail i dokumenty tekstowe, ale zdarzały się również przypadki wariantów mobilnych, w których ujawniono prywatne wiadomości, zdjęcia i listy kontaktów pochodzące z telefonów użytkowników.

Dox ware jest uznawane za skuteczniejsze złośliwe oprogramowanie niż ransomware pod względem wyłudzania pieniędzy od ofiary. W przypadku ransomware, można utrzymywać oddzielne kopie zapasowe danych, ale w przypadku Dox ware, gdy atakujący ma informacje, których ofiara nie chce upubliczniać, niewiele można zrobić poza zapłaceniem okupu.

Blokowanie

Zdarzają się również przypadki, w których złośliwe oprogramowanie wyświetla komunikat twierdzący, że „Windows” użytkownika jest zablokowany. Użytkownik jest następnie zachęcany do kontaktu telefonicznego z numerem telefonu „Microsoft” i wprowadzenia sześciocyfrowego kodu w celu ponownej aktywacji systemu. Komunikat podaje, że połączenie telefoniczne jest bezpłatne, ale nie jest to prawdą. Podczas rozmowy telefonicznej z fałszywym „Microsoftem” użytkownik nalicza opłaty za połączenia międzymiastowe.

Wiper

Złośliwe oprogramowanie, którego jedynym celem jest trwałe uniemożliwienie dostępu do danych.

Podwójne i potrójne wymuszenia

Z czasem pojawiły się nowe taktyki łączące szyfrowanie danych z ich kradzieżą (podwójne wymuszenie) i przeprowadzaniem ataku DDoS – rozproszonej odmowy usługi (potrójne wymuszenie).

 

Grupy i warianty zagrożeń ransomware

Zagrożenie pochodzi od różnego rodzaju graczy o różnych motywach i poziomach umiejętności, począwszy od jednostek państwowych, przestępców, hakerów, tzw. script kiddies (poszukiwaczy wrażeń) i osób z wnętrza organizacji. Różne grupy zagrożeń opracowały wiele różnych wariantów oprogramowania ransomware, a nowe są tworzone przez cały czas. Grupy te często specjalizują się i współpracują ze sobą.

Kilka przykładów słynnych wariantów ransomware opracowanych przez te grupy w ciągu ostatnich kilku lat:
2024 AKIRA, SEXi ransomware
2023 Lockbit, AlpVM, Clop (czasami pisany jako „Cl0p”, Royal 
2022 BlackBasta 
2021 Balck cat - Czarny kot
2020 NetWalker
2019 REvil /Sodinokibi , MedusaLocker, Maze, DoppelPaymer, Anatova
2018 Ryuk, GandCrab
2017 WannaCry, Dharma, BitPaymer, BadRabbit
2016 Petya, NotPetya, Locky, Cerber
2015 SamSam
2014 Emotet
2013 Cryptolocker

Kompleksowy przegląd grup i wariantów zagrożeń można znaleźć tutaj: https://github.com/cert-orangecyberdefense/ransomware_map 

Czy jestem celem ransomware?

W dzisiejszym świecie online pytanie nie brzmi, czy organizacja zostanie zaatakowana, ale kiedy i jak dobrze będzie przygotowana.

Jeśli czytasz wiadomości, zauważyłeś, że organizacje z różnych sektorów i branż stały się ofiarami ataków ransomware: od opieki zdrowotnej po linie lotnicze. Atakujący wydają się nie mieć preferencji co do tego, kto jest ich celem, a może jednak mają?

Atakujący zazwyczaj wybiera organizację do ataku na podstawie dwóch przesłanek:
1. Możliwości
2. Potencjalnego zysku finansowego

Możliwość
Jeśli organizacja ma niewielki zespół ds. bezpieczeństwa, brakuje jej zasobów IT i ma bazę użytkowników, którzy współdzielą wiele plików, np. uniwersytet, wówczas atakujący może postrzegać ją jako łatwy cel.

Potencjalny zysk finansowy
Organizacje, które potrzebują natychmiastowego dostępu do swoich plików, np. firmy prawnicze lub agencje rządowe, mogą być bardziej skłonne do szybkiego zapłacenia okupu. Organizacje posiadające wrażliwe dane mogą również być skłonne wpłacić okup, aby nie ujawniać informacji o naruszeniu danych.

Czy powinienem zapłacić okup?

Można by pomyśleć, że zapłacenie okupu w celu uzyskania dostępu do danych jest już wystarczająco złe, ale może być niczym w porównaniu z rzeczywistymi kosztami szkód związanych z atakiem. Dodatkowe implikacje obejmują:

  • Uszkodzenie i zniszczenie (lub utratę) danych
  • Utratę produktywności
  • Zakłócenie normalnego toku działalności po ataku
  • Sledztwo kryminalistyczne
  • Przywrócenie danych i usunięcie wrogich systemów
  • Szkody dla reputacji
  • Szkolenia pracowników w zakresie bezpośredniej reakcji na ataki

Biorąc pod uwagę powyższe, nic dziwnego, że przewiduje się wzrost szkód spowodowanych przez oprogramowanie ransomware. W rozmowach z ekspertami ds. cyberprzestępczości większość z nich namawia do niepłacenia okupów, ponieważ finansowanie atakujących ransomware tylko przyczyni się do wzrostu tego typu ataków. Wiele organizacji postępuje jednak wbrew tej radzie, rozważając koszty utraty zaszyfrowanych danych w porównaniu do żądanego okupu. Dlaczego jednak organizacje płacą atakującym?

Podczas gdy odmowa płacenia ransomware jest sugerowana dla szerszej społeczności biznesowej, odmowa zapłaty może nie być najlepszym rozwiązaniem dla samej firmy. Gdy istnieje ryzyko, że firma może na stałe utracić dostęp do ważnych danych, zostanie ukarana grzywną ze strony organów regulacyjnych lub całkowicie zniknąć z rynku, opcje biznesowe mogą wydawać się ponure. Wybór między zapłaceniem stosunkowo skromnego okupu i pozostaniem na rynku a odmową zapłaty w celu pomocy szerszej społeczności biznesowej jest dla większości oczywisty. W niektórych przypadkach ransomware, żądany okup jest często ustalany na takim poziomie, że opłaca się atakującemu, ale jest na tyle niski, że często jest tańszy niż koszt odtworzenia utraconych danych. Czasami oferowane są również rabaty, jeśli ofiara zapłaci w określonych ramach czasowych, np. 3 dni. Mając to na uwadze, niektóre firmy budują rezerwy Bitcoinów specjalnie na potrzeby płatności okupu.

Jak zapobiegać atakom ransomware

Warianty oprogramowania ransomware są i będą ukierunkowywane na różne branże biznesowe. Ci, którzy są zagrożeni, powinni podjąć środki ostrożności, aby zmniejszyć swoje ryzyko i złagodzić skutki ataku. Jednym z najważniejszych planów, jakie powinna mieć Twoja organizacja, jest plan odzyskiwania danych po awarii. Jeśli go nie ma, istnieje duże prawdopodobieństwo, że konsekwencje będą poważne. Wiele firm, które doświadczają przestoju przez dziesięć lub więcej dni, wynikłego z utraty danych, ogłasza upadłość w ciągu 12 miesięcy.

Plan odzyskiwania danych po awarii

Plan odzyskiwania danych po awarii opisuje różne scenariusze szybkiego wznowienia pracy po katastrofie, np. ataku ransomware. Istotna część planu ciągłości działania organizacji powinna umożliwiać wystarczające odzyskiwanie struktury IT i zapobiec utracie danych.
Należy pamiętać o aktualizowaniu planu, a także o jego drukowanych wersjach. Ponieważ jeśli znajdzie się on na zaszyfrowanym serwerze lub dysku, nawet najlepszy plan awaryjny okaże się bezużyteczny. Jeśli nie masz planu odzyskiwania danych po awarii, możesz pobrać nasz bezpłatny szablon tutaj.

Inne zalecenia obejmują następujące czynności:

  1. Upewnij się, że masz aktualne kopie zapasowe - w ten sposób, jeśli coś się stanie, przywrócenie plików z kopii zapasowej będzie najszybszym sposobem odzyskania dostępu do danych.

  2. Bądź przygotowany regularnie testując kopie zapasowe. Organizacje muszą być świadome tego, co przechowują w archiwach kopii zapasowych i upewniać się, że najbardziej krytyczne dane będą dostępne nawet w przypadku ataku ransomware na kopie zapasowe.

  3. Przeprowadź szkolenie użytkowników, aby upewnić się, że wszyscy pracownicy są w stanie wykryć potencjalny atak. Upewnij się, że pracownicy znają najlepsze praktyki, aby uniknąć przypadkowego pobrania oprogramowania ransomware lub otwarcia sieci dla osób z zewnątrz.

  4. Wdrażaj zasad bezpieczeństwa. Korzystaj z najnowszego oprogramowania antywirusowego, chroniącego przed złośliwym oprogramowaniem i wykrywającego punkty końcowe oraz stale monitoruj sieć, aby zapobiegać infekcjom.

  5. Upewnij się, że masz skanowanie i filtrowanie treści na swoich serwerach pocztowych. Skanuj każdą przychodzącą wiadomość e-mail pod kątem znanych zagrożeń i blokuj wszelkie typy załączników, które mogą stanowić zagrożenie.

  6. Opracuj zasady IT ograniczające infekcje innych zasobów sieciowych. Firmy powinny wdrożyć zabezpieczenia, aby w przypadku zainfekowania jednego urządzenia oprogramowaniem ransomware nie przenikało ono do całej sieci.

  7. Zabezpiecz zasoby zespołów specjalistów ds. incydentów i specjalistów ds. odzyskiwania danych Ontrack za pomocą umów ramowych o świadczenie usług na wypadek sytuacji awaryjnej.

  8. Komunikacja jest kluczowa podczas kryzysu. Utwórz adresy e-mail do użytku w sytuacjach awaryjnych (dla najważniejszych osób decyzyjnych), które są oddzielone od środowiska firmowego, np. za pomocą bezpłatnego dostawcy poczty e-mail w chmurze, takiego jak gmx, yahoo itp. Wprowadź te informacje, w tym dane logowania, do planu awaryjnego. Grupa WhatsApp również może okazać się pomocna dla firm dotkniętych awarią. Przydatny jest również zewnętrzny serwer udostępniania plików. Przyspiesza to i ułatwia komunikację po incydencie.

Zmniejszenie narażenia na ryzyko cybernetyczne: zarządzanie cyklem życia danych

Zarządzanie danymi w całym ich cyklu życia często nie jest brane pod uwagę przez wiele organizacji. Jednak bez wdrożonej strategii cyklu życia danych, organizacja naraża się na poważne ryzyko i koszty związane z bezpieczeństwem. Obecnie koszt nieskutecznej ochrony danych wiąże się ze „zbyt wysoką ceną”.

Organizacje muszą uważać nie tylko na ataki ransomware, ale także na naruszenia danych, utratę reputacji, utratę klientów, przestoje i wysokie grzywny - to potencjalne zagrożenia dla organizacji, która nie zarządza skutecznie cyklem życia swoich danych. Organizacje, które zainwestują niezbędny czas, wysiłki i zasoby w zarządzanie cyklem życia danych, mogą zminimalizować ryzyko i koszty związane z krytycznymi danymi biznesowymi na wszystkich etapach.

Jak Ontrack pomógł organizacjom zaatakowanym przez ransomware

W Ontrack nieustannie śledzimy różne rodzaje oprogramowania ransomware. Zmieniają się one i rozwijają przez cały czas, więc chcemy mieć pewność, że obserwujemy i badamy najnowsze zmiany i warianty. Badanie oprogramowania ransomware i jego stale zmieniających się form zapewnia dodatkową wiedzę i doświadczenie, co prowadzi do większego prawdopodobieństwa odzyskania danych utraconych w wyniku ataku. Zawsze najlepiej jest skontaktować się z ekspertem, jeśli więc zostaniesz zaatakowany przez oprogramowanie ransomware, skontaktuj się ze specjalistą, takim jak Ontrack, który pomoże Ci uzyskać dostęp do danych.

Poniżej przedstawiamy kilka przykładów skutecznego odzyskiwania danych po ataku ransomware.

Cyberattack on VMware Datastore and Virtual Backups

Data Recovery from Malware-Infected Virtual Files

Hospital databases rescued from ransomware

Merge files of damaged backup with corresponding virtual files

Rescued MS SQL database from encrypted virtual backup on QNAP

Taking Advantage of Hackers’ Mistakes in a Ransomware Attack

 

Visit our Ransomware Recovery page

Subskrybować

Powiązane Tematy

Ransomware: odzyskiwanie zaszyfrowanych danych

Ataki ransomware na telefony z Androidem

Postępowanie w przypadku ataku typu ransomware
Usługi
Produkty
Zasoby
O-nas

KLDiscovery Ontrack Sp. z o.o, Sobieskiego 11, 40-082 Katowice, Polska (Zobacz wszystkie lokalizacje)

© 2024 KLDiscovery Ontrack - All Rights Reserved.