Logotyp serwisu CyberDefence24
Reklama

Ataki ransomware. Jak się przed nimi skutecznie chronić?

Ransomware, czyli poważne zagrożenie dla polskich organizacji
Ransomware, czyli poważne zagrożenie dla polskich organizacji
Autor. Freepik.com

Ataki ransomware nie oszczędzają polskich organizacji – zarówno sektora publicznego, jak i mniejszych i większych przedsiębiorstw. Skutki działań cyberprzestępców mogą być druzgocące, szczególnie, jeśli nie posiadamy kopii zapasowej możliwej do odtworzenia. Jak się chronić przed takim zagrożeniem?

Artykuł sponsorowany

Liczba cyberataków, których ofiarami padają polskie organizacje, nieustannie rośnie. Jednym z najpoważniejszych zagrożeń są ataki ransomware, polegające zazwyczaj na kradzieży oraz szyfrowaniu danych. Takim atakom towarzyszy żądanie okupu za odszyfrowanie plików i niepublikowanie danych na stronach w darkencie (tzw. DLS, ang. dedicated leak sites).

W raporcie ESET dotyczącym zagrożeń w cyberprzestrzeni za II półrocze 2024 roku wskazano, że wzrost liczby ataków ransomware na polskie organizacje wyniósł 37% w porównaniu z pierwszą połową roku. Polska znalazła się wówczas na siódmym miejscu na świecie pod kątem atakowanych krajów, zaś w I półroczu znajdowała się na 13 miejscu.

„Atak ransomware to dla cyberprzestępców sytuacja win-win. Jeżeli zaatakowana firma lub instytucja zdecyduje się opłacić okup, często by w szybki sposób pozbyć się kłopotu i na przykład uniknąć strat wizerunkowych – wygrali. Jeśli zaś organizacja nie zapłaci przestępcom, wtedy prawdopodobnie jej dane zostaną sprzedane w tzw. darknecie, co również oznacza dla przestępców profity” – dodaje Paweł Jurek, Business Development Director, DAGMA Bezpieczeństwo IT.

Czytaj też

Reklama

Skutki ataków i reakcje pracowników

Świadomość potencjalnych skutków cyberataków jest kluczowa dla zachowania odpowiedniego poziomu bezpieczeństwa w organizacji. Nie można chronić się przed zagrożeniami, których się nie zna.

Tymczasem raport „Cyberportret polskiego biznesu” przygotowany przez ESET i DAGMA Bezpieczeństwo IT rzuca światło na niepokojący obraz polskiego biznesu w kontekście cyberbezpieczeństwa. Badanie wskazuje, że najczęstszym punktem wyjścia dla cyberataków są pracownicy, wśród których świadomość zagrożeń jest niska. Aż 52% ankietowanych pracowników nie przeszło żadnego szkolenia z zakresu cyberbezpieczeństwa w ostatnich 5 latach.

Dodatkowo, zaledwie 59% firm deklaruje korzystanie z oprogramowania antywirusowego, co znacząco zwiększa ich podatność na ataki. Te dane są szczególnie alarmujące w świetle faktu, że aż 88% polskich firm doświadczyło cyberataku w ciągu ostatnich 5 lat.

„Atak ransomware może rozpocząć się bardzo niepozornie, przez otwarcie zainfekowanych plików pobranych z wiadomości e-mail, czy otwarcie fałszywych stron internetowych, będących kopią znanych witryn, które do złudzenia przypominają te prawdziwe” – wyjaśnia Kamil Sadkowski, analityk laboratorium antywirusowego ESET.

To właśnie dlatego stosowanie odpowiednich rozwiązań, wraz z skutecznym edukowaniem o zagrożeniach, jest kluczowe dla każdej organizacji działającej w cyberprzestrzeni.

Skalę działania cyberprzestępców i wyrafinowane metody ich działań pokazują najlepiej ostatnie, globalne akcje, w jakich brał udział ESET. Ich efektem było unieszkodliwienie zagrożeń takich jak Lumma Stealer czy Danabot.

Czytaj też

Reklama

Globalna walka z Lumma Stealer

Lumma Stealer stanowił ogromne zagrożenie dla użytkowników sieci na całym świecie. Oprogramowanie było infostealerem - służyło m.in. do wykradania danych logowania czy plików cookies (popularnie zwane „ciasteczkami”). Warto przy tym podkreślić, że Lumma Stealer był bardzo rozpowszechniony w Polsce, ponieważ nasz kraj był drugi w Europie oraz czwarty na świecie pod kątem użytkowników dotkniętych tym złośliwym oprogramowaniem (dane od lipca 2024 r.).

Działania Microsoftu i jego partnerów doprowadziły do unieszkodliwienia infrastruktury infostealera, działającego w strukturze malware-as-a-service (pol. malware jako usługa, MaaS). ESET wyodrębnił kluczowe dane z dziesiątek tysięcy próbek, co pozwoliło na ciągłe monitorowanie działania Lumma Stealera – w tym serwerów C&C (ang. command and control).

O skali zagrożenia dobrze mówi liczba unikalnych domen C&C. Pomiędzy 17 czerwca 2024 r. a 1 maja br. ESET-owi udało się zaobserwować łącznie 3353 unikalnych domen, co daje średnio 74 nowe domeny tygodniowo. Warto przy tym dodać, że malware rozprzestrzeniał się poprzez m.in. phishing, zaś współpraca z afiliantami wykorzystywała Telegrama.

„Ta globalna operacja zakłócająca była możliwa dzięki naszemu długoterminowemu śledzeniu Lumma Stealer. Operacja prowadzona przez Microsoft miała na celu przejęcie wszystkich znanych domen C&C Lumma Stealer, co unieruchomiło jego infrastrukturę do wyprowadzania danych. ESET będzie jednak nadal śledzić inne infostealery oraz uważnie monitorować wszelką aktywność Lumma Stealer po zakończeniu operacji” – podsumował Jakub Tomanek, badacz ESET zajmujący się Lumma Stealerem.

Czytaj też

Reklama

Danabot – trojan atakujący Polskę

Departament Sprawiedliwości USA, FBI oraz Służba Dochodzeniowa Departamentu Obrony USA wraz z licznymi partnerami z Zachodu (w tym ESET) rozbiły trojan Danabot. Co ważne, Polska była głównym celem złośliwego oprogramowania – nad Wisłą wykryto aż 63% wszystkich przypadków infekcji tym złośliwym oprogramowaniem.

Analiza ESET wykazała, że choć pierwotnie Danabot był infostealerem, z czasem zaczął służyć do rozpowszechniania złośliwego oprogramowania – w tym ransomware. ESET badał działanie Danabota od 2018 roku, wnosząc przy tym istotny wkład w unieszkodliwienie tego trojana poprzez m.in. analizę działania szkodliwego oprogramowania oraz jego infrastruktury.

Dystrybucja Danabota odbywała się poprzez m.in. wykorzystanie reklam Google Ads, co pokazuje nieustanny rozwój metod cyberprzestępców.

Kopie zapasowe – czy na pewno je odtworzysz?

Kiedy już dojdzie do zaszyfrowania danych, kluczowe jest odtworzenie danych na podstawie kopii zapasowych. Warto tutaj wspomnieć o tzw. „zasadzie 3-2-1”, czyli posiadaniu trzech kopii zapasowych na minimum dwóch różnych urządzeniach, przy czym jedno z nich znajduje się w innej lokalizacji niż pozostałe. Warto tutaj przytoczyć rolę ochrony fizycznych nośników, która bywa pomijana w organizacjach.

Backupy również mogą być szyfrowane przez cyberprzestępców. Dobrym przykładem jest starostwo powiatowe z centralnej Polski, które było ofiarą ataku grupy RansomHub pod koniec 2024 roku. Wówczas kopia zapasowa wykonywana „codziennie w nocy” została zaszyfrowana, lecz Starostwu udało się odtworzyć starszy backup, na co wskazuje konieczność ponownego składania wniosków nadesłanych po 1 lipca 2024 roku. Ten przykład dobrze pokazuje, że konieczność przechowywania kopii zapasowej domyślnie niewidocznej z poziomu systemu operacyjnego jest potrzebny.

Warto przytoczyć opinię eksperta dotyczącą szyfrowania backupów podczas ataków ransomware:

„Jednym z największych wyzwań w walce z ransomware jest fakt, że przestępcy coraz częściej celują bezpośrednio w kopie zapasowe danych. W bardzo wielu przypadkach ransomware atakujące backupy powodują ich zaszyfrowanie lub usunięcie, co uniemożliwia szybkie przywrócenie systemów do normalnego stanu. Nawet najlepiej zaplanowane strategie backup’owe mogą zostać zniweczone, jeśli kopie zapasowe nie są odpowiednio zabezpieczone przed manipulacją oraz nie są regularnie testowane” – mówi Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.

Czytaj też

Reklama

Ochrona backupów z ESET

Wybór dostawcy oprogramowania zabezpieczającego to strategiczna decyzja. Dostawcy wychodzą naprzeciw aktualnym zagrożeniom, stale ulepszając swoje produkty, czego przykładem może być ESET Ransomware Remediation. Zapewnia ochronę plików przed atakami, automatycznie tworząc kopie zapasowe w chronionej przestrzeni na dysku, niedostępnej dla cyberprzestępców. Rozwiązanie nie opiera się na Windows Volume Shadow Copy, co eliminuje popularny wektor ataków.

Ransomware Remediation pozwala na błyskawiczne przywracanie danych bez ryzyka utraty kopii w wyniku cyberataku. Jednocześnie rozwiązania powstające w Europie, takie jak wspomniane oprogramowanie od ESET, gwarantują firmom suwerenność cyfrową, która jest szczególnie ważna w obecnych czasach, kiedy decyzje geopolityczne mają duży wpływ na świat biznesu.

„W wielu orgranizacjach odzyskiwanie danych po ataku ransomware to niezwykle złożony proces, nawet jeśli dostępne są kopie zapasowe. Często okazuje się, że backupy są niekompletne, przestarzałe lub same padły ofiarą ataku. Nawet w optymalnych warunkach przywrócenie pełnej funkcjonalności systemów może zająć dni lub tygodnie, co powoduje poważne przestoje i straty finansowe dla firmy” – przekazał nam Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.

Podsumowanie

Ochrona przed zagrożeniami związanymi z atakami ransomware to kluczowe zagadnienie dla bezpieczeństwa organizacji. Gdy już dojdzie do incydentu, niezbędne jest posiadanie kopii zapasowych możliwych do przywrócenia. Warto inwestować w takie rozwiązania, jednocześnie mając na uwadze, że edukacja pod kątem zagrożeń w cyberprzestrzeni jest kluczowa.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].

Reklama

SK@NER: Jak przestępcy czyszczą nasze konta?

Komentarze

    Reklama

    Czytaj także

    Co pokazują informacje z prawdopodobnie fałszywej inwestycji w kryptowaluty?
    Dane z podejrzanej inwestycji krypto znów w sieci. Co pokazują hasła Polaków?
    Sprawa aplikacji RKW. UODO chce wyjaśnień, ABW bada sprawę
    PKP kolej polska NATO
    Kolej na bezpieczeństwo. Grupa PKP – nieoczywisty gracz w systemie odporności państwa i NATO
    Polscy specjaliści przeszkolili ambasadorów UE
    Nowy wymiar cyberochrony: Bitdefender GravityZone PHASR – przełom w zabezpieczeniach punktów końcowych
    Ministerstwo ureguluje e-sport
    Rozmawiasz z Meta AI? Uważaj przy udostępnianiu czatów
    samsung monitory
    Sprzęt Samsung do pracy z informacjami niejawnymi