Jaki będzie świat po ransomworm?
Można przypuszczać, że ostatnie cyberataki z wykorzystaniem ransomware WannaCry i Petya/NonPetya to początek nowego trendu w obszarze cyfrowego bezpieczeństwa. W 2016 roku odnotowywano co najmniej 4 tysiące zdarzeń tego typu każdego dnia, a suma opłaconych okupów sięgnęła 850 milionów dolarów.
Według analizy specjalistów z FortiGuard Labs firmy Fortinet, co trzecia organizacja doświadczyła aktywności botów ransomware. Cyberprzestępcy przeprowadzili też wiele ataków na globalną skalę, takich jak WannaCry i Petya/NonPetya. Takie przypadki nie są niczym nowym. Mieliśmy już do czynienia z takimi przypadkami w przeszłości, które dotknęły dużo więcej użytkowników, jak choćby: ILOVEYOU, Code Red czy Nimda. Rozprzestrzenianie się WannaCry i Petya/NonPetya było bowiem szybko ograniczone. Problemem jest jednak nie tylko skala. We współczesnej gospodarce cyfrowej dane są dla organizacji zarówno kluczowymi zasobami, jak i często podstawowym źródłem dochodów. Dlatego nowe ataki są i będą bardziej nadzwyczajne niż kiedykolwiek.
Era ransomworm?
WannaCry zainicjował nowy rodzaj ransomware, który specjaliści z firmy Fortinet nazwali ransomworm.
– Zamiast zwykłej metody ransomware, polegającej na wybraniu określonego celu, funkcjonalność robaka WannaCry pozwalała mu rozprzestrzeniać się szybko na całym świecie, atakując tysiące urządzeń i organizacji – wyjaśnia Jolanta Malak, regionalna dyrektor sprzedaży Fortinet na Polskę, Białoruś i Ukrainę.
Niedawno pojawił się kolejny ransomworm nazwany Petya, któremu następnie nadano przydomek NonPetya. Ten rodzaj szkodliwego oprogramowania działa w podobny sposób jak WannaCry, wykorzystuje tę samą lukę, ale ze znacznie większą złośliwością. Petya/NonPetya jest w stanie np. skasować dane z systemu lub modyfikować sektor rozruchowy urządzenia, uniemożliwiając korzystanie z niego. Ten atak nie okazał się zbyt dochodowy, więc prawdopodobnie celem przestępców nie były zyski z okupu, ale odłączenie urządzeń od sieci.
Wykorzystywanie robaków, takich jak WannaCry i Petya/NonPetya, to część nowej strategii cyberprzestępców. W przyszłości celem ich globalnych działań będą nowo odkryte luki w zabezpieczeniach masowych. To tylko wierzchołek góry lodowej i potencjalnie początek nowej fali ransomworm.
Jak zapobiegać?
Jednym ze sposobów jest dbanie o odpowiednią higienę sieci i podłączonych do niej urządzeń, które są obecnie najbardziej zaniedbanymi elementami pod względem bezpieczeństwa. Oprócz aktualizowania oprogramowania konieczne są również odpowiednie praktyki i narzędzia zabezpieczające. W przypadku urządzeń, dla których wsparcie zostało zakończone, konieczna jest ich wymiana.
Drugi sposób to pełna kontrola nad urządzeniami podłączonymi do lokalnej sieci. Warto zainwestować czas i technologię, aby zidentyfikować każde z nich, określić, czemu służy i jaki ruch przez nie przechodzi. Należy wiedzieć, kto ma do niego dostęp, na jakim systemie operacyjnym jest uruchomione i czy ustawiono na nim automatyczne aktualizacje.
Biorąc pod uwagę, że sieci obejmują obecnie szeroką gamę urządzeń, użytkowników i aplikacji wdrażanych w wielu ekosystemach, pojedyncze narzędzia monitorujące ruch, który przechodzi przez jeden punkt, nie są już wystarczające. Dlatego należy wdrożyć skuteczne narzędzia zabezpieczające, które będą odnajdywać i zatrzymywać najnowsze zagrożenia w wielu miejscach jednocześnie.
Kolejny wymóg to segmentacja sieci. Większość organizacji wciąż go nie stosuje, w takim przypadku złośliwe oprogramowanie może dokonać poważnego spustoszenia. Segmentacja powinna zapewniać bezpieczeństwo, nawet najbardziej złożonym środowiskom. Musi być w stanie wykryć, skontrolować i zatrzymywać złośliwe oprogramowanie oraz nieautoryzowanych użytkowników i aplikacje, które próbują przekroczyć segmenty.
Segmentacja musi być zautomatyzowana, obsługiwać ruch pionowy i poziomy, być w stanie zidentyfikować oraz odizolować niebezpieczne i zainfekowane urządzenia, a także obejmować środowiska sieciowe. Osoby zarządzające organizacjami muszą zrozumieć, że w obecnej, nowej rzeczywistości należy wprowadzić strategię bezpieczeństwa i przeznaczyć na jej realizację odpowiednie środki.
W 2016 roku zaobserwowaliśmy 6 834 446 nowych przykładów złośliwego oprogramowania – mówi Robert Dziemianko z G DATA. To wzrost o 32,9% rok do roku. Daje to średnio 780 nowych zagrożeń na godzinę – dodaje. Trend ten utrzymuje się w pierwszym kwartale 2017 roku. 1 852 945 nowych rodzajów złośliwego oprogramowania to o 72,6% więcej niż rok wcześniej. Przy średniej liczbie 858 pozycji na godzinę uzyskujemy dynamikę wzrostu o 10,0% przewyższającą średnią z 2016.
W 2016 roku nowy przykład złośliwego oprogramowania pojawiał się co 4,6 sekundy. W pierwszym kwartale 2017 roku okres ten skrócił się do 4,2 sekundy, co świadczy o ciągłym wzroście. Gwałtowny wzrost można także zaobserwować w zakresie ransomware, ponad 9-krotnie wzrósł między pierwszą a drugą połową 2016 roku. W pierwszym kwartale 2017 ilość ransomware była prawie tak liczna, jak w drugiej połowie 2016 roku. Ciężko było wykryć ogólną ilość ransomware, ponieważ ginie ona wśród złośliwego oprogramowania innych typów. Zaledwie kilka rodzin oprogramowania ransomware doprowadziło do poważnych problemów.
Cyberprzestępcy szyfrując dane na dysku, żądają okupu za ich odszyfrowanie. Prognozuje się, że to, co spotkało świat w związku z atakami WannyCry i NotPetya to tylko początek. Czy ogólne Rozporządzenie Parlamentu Europejskiego o Ochronie Danych wpłynie na cyberprzestępczość? Czy ograniczy ilość ataków?
G DATA Web Security Gateway ochroni maszyny przed atakami phishingowymi. Dzięki mechanizmowi proaktywnej ochrony- kontrola zachowania wychwyci ataki Ransomware. Jest to narzędzie dostosowane do ochrony przed nieznanym szkodliwym oprogramowaniem. W przeciwieństwie do typowych funkcji ochrony antywirusowej, kontrola zachowania nie opiera się na bazie sygnatur wirusów, lecz na analizowaniu zachowań plików. G DATA Patch Management pomaga administratorom m.in. w centralnym dystrybuowaniu aktualizacji za pośrednictwem serwera zarządzającego, a także daje pewność, że klienci zawsze korzystają z najnowszej wersji swojego oprogramowania, a poszczególne luki w zabezpieczeniach są na bieżąco łatane.
Jeśli chcesz dowiedzieć się więcej na ten temat zapraszamy do kontaktu! Tel. 61 665 71 71