Baza wiedzy

Anulowanie subskrypcji

Mianem malware określa się wyłącznie oprogramowanie, które zostało przeznaczone do złych celów i działa wbrew oczekiwaniom użytkownika; określenie to nie obejmuje aplikacji, które mogą wyrządzić niezamierzoną szkodę z powodu swojej niedoskonałości, na przykład aplikacji zawierających błędy lub nadających uprawnienia administratora dla zwykłego użytkownika aplikacji. 

Ataki typu malware mogą spowodować następujące szkody: 

• zablokowanie lub spowodowanie, iż urządzenia stają się zupełnie bezużytecznymi 
• kradzież, usunięcie lub zaszyfrowanie danych 
• przejęcie kontroli nad urządzeniami w celu atakowania nimi innych organizacji / podmiotów 
• przejęcie poświadczeń, które umożliwiają dostęp do systemów lub usług organizacji, z których korzystasz 
• wykorzystanie do „kopania” kryptowaluty 
• korzystanie z usług, które mogą być obciążone dodatkowymi kosztami (np. połączenia telefoniczne o podwyższonej opłacie) 

Jak działa ransomware? 

Najprostsze typy programów-szantażystów zakładają jedynie blokadę na system, która jest stosunkowo łatwa do zlikwidowania dla doświadczonych użytkowników komputera, natomiast bardziej zaawansowane formy takiego oprogramowania stosują technikę zwaną kryptowirusowym wymuszeniem – szyfrują one pliki ofiary, uniemożliwiając ich normalny odczyt i żądają okupu w zamian za deszyfrację. W prawidłowo przeprowadzonym ataku wymuszeniowym, przywrócenie danych bez posiadania klucza deszyfrującego jest praktycznie niemożliwe. Jednymi z najbardziej znanych i szkodliwych tego typu ataków były WannaCry i NotPetya.  

Ofiara ataku najczęściej proszona jest o dokonanie płatności (często w kryptowalutach, jak Bitcoin), w celu odblokowania komputera¹ (lub dostępu do zaszyfrowanych danych). Jednak nawet jak zapłacisz okup, nie ma gwarancji, że uzyskasz dostęp do komputera lub plików. Czasami szkodliwe oprogramowanie jest przedstawiane jako ransomware, ale po zapłaceniu okupu pliki nie są odszyfrowywane. Dlatego niezwykle ważne jest, aby zawsze mieć najnowszą kopię zapasową offline najważniejszych plików i danych. 

Czy należy płacić okup? 

Nie zaleca się płacenia okupu, ponieważ nie ma gwarancji, że faktycznie uda się odzyskać dostęp do swojego urządzenia (lub danych). 
 

¹ Dotyczy również tzw. Platformy - podstawowy sprzęt (urządzenie) i oprogramowanie (system operacyjny), na którym można uruchamiać aplikacje.

Przede wszystkim, należy podejmować kroki zapobiegające infekcjom szkodliwym lub szantażującym oprogramowaniem. Jeżeli jednak doszło do ataku, podejmij niezwłocznie następujące działania/kroki

Ponieważ nie ma sposobu, aby całkowicie zabezpieczyć swoją organizację przed infekcją szkodliwym oprogramowaniem, należy zastosować podejście „wielowarstwowej obrony”. Oznacza to stosowanie warstw obrony z kilkoma ograniczeniami na każdej warstwie. Będzie wówczas więcej możliwości wykrycia szkodliwego oprogramowania, a następnie zatrzymania go, zanim wyrządzi prawdziwą szkodę Twojej organizacji. Należy przyjąć, że niektóre szkodliwe oprogramowania będą infiltrować organizację, więc należy podjąć kroki w celu ograniczenia wpływu takiego działania i przyspieszenia reakcji na zagrożenie. 

• Kluczowym działaniem, które należy podjąć, aby złagodzić skutki ataków typu  ransomware, jest zapewnienie aktualnych kopii zapasowych ważnych plików; jeśli tak zrobisz, będziesz mógł odzyskać swoje dane bez konieczności płacenia okupu. 
• Wykonuj regularne kopie zapasowe najważniejszych plików – sposoby mogą być rożne, zależne od typów danych i organizacji - sprawdź, czy wiesz, jak przywrócić pliki z kopii zapasowej. 
• Upewnij się, że kopia zapasowa jest przechowywana poza Twoją siecią („offline”) w pamięci masowej nie dołączonej do Twojej sieci lub w zaprojektowanej do tego celu usłudze chmurowej.   
• Usługi synchronizacji w chmurze (takie jak Dropbox, OneDrive i SharePoint lub Dysk Google) nie powinny być używane jako jedyna kopia zapasowa. Wynika to z faktu, że mogą one automatycznie zostać zsynchronizowane natychmiast po „zaatakowaniu plików”, a wówczas utracisz również skorelowane kopie. 
• Upewnij się, że urządzenie zawierające kopię zapasową (takie jak zewnętrzny dysk twardy lub pamięć USB) nie jest na stałe podłączone do sieci i najlepiej, aby kopii zapasowych było kilka. Atakujący może zdecydować się na atak ransomware, gdy wie, że nośnik danych zawierający kopie zapasowe jest podłączony do sieci. 

Możesz zmniejszyć prawdopodobieństwo przedostania się szkodliwej zawartości do sieci poprzez zastosowanie następujących działań: 

• filtrowanie plików, zezwolenie na odbieranie plików określonych typów; 
• blokowanie witryn, o których wiadomo, że są szkodliwe; 
• aktywne kontrolowanie zawartości stron internetowych, wiadomości e-mail itp., blokowanie znanego szkodliwego kodu aplikacji czy sterowników systemowych za pomocą podpisów cyfrowych (ang. code signing certificates). 

Zazwyczaj są one wykonywane przez usługi sieciowe, a nie urządzenia użytkowników, przykładowo: 

• filtrowanie poczty (w połączeniu z filtrowaniem spamu), które może blokować szkodliwe wiadomości e-mail i usuwać z nich wykonywalne załączniki; 
• filtrowanie z wykorzystaniem serwerów proxy, które blokują dostęp do znanych szkodliwych stron internetowych; 
• bramy bezpieczeństwa internetowego, które mogą sprawdzać zawartość niektórych protokołów pod kątem znanego szkodliwego oprogramowania; 
• bezpieczne listy przeglądania w przeglądarkach internetowych, które mogą uniemożliwić dostęp do witryn znanych z utrzymywania szkodliwych treści. 

Niektóre ataki ransomware są przeprowadzane przez atakujących, którzy uzyskali dostęp do sieci za pomocą oprogramowania do zdalnego dostępu, takiego jak RDP (ang. Remote Desktop Protocol). Powinieneś uniemożliwić atakującym możliwość dostępu do Twoich sieci stosujących tzw. atak typu “Brute-Force” oparty na metodzie prób i błędów, wykorzystujących powyższe oprogramowanie, za pomocą: 

• uwierzytelniania wieloskładnikowego (MFA); 
• połączenia wykorzystującego wirtualną sieć prywatną VPN. 

Podejście „wielowarstwowej ochrony” zakłada, że ​​szkodliwe oprogramowanie może dotrzeć do twoich urządzeń. Dlatego powinieneś podjąć kroki, aby zapobiec uruchomieniu szkodliwego oprogramowania. Wymagane kroki będą się różnić dla każdego typu urządzenia i systemu operacyjnego, ogólnie jednak należy rozważyć użycie funkcji zabezpieczeń na poziomie urządzenia, takich jak: 

1. Centralne zarządzanie urządzeniami korporacyjnymi w celu: 
   • zezwalenia tylko aplikacjom zaufanym przez firmę na działanie na urządzeniach wykorzystujących technologie, w tym funkcję AppLocker; 
   • zezwalenia tylko na uruchamianie aplikacji z zaufanych sklepów z aplikacjami (lub innych zaufanych lokalizacji). 
2. Korzystanie z wersji Enterprise oprogramowania antywirusowego. Aktualizuj na bieżąco oprogramowanie wraz z jego bazą wirusów. Zapewnij swoim pracownikom edukację w zakresie bezpieczeństwa i szkolenia uświadamiające, patrz  porady dla pracowników [link]. 
3. Wyłącz lub ogranicz makra w pakietach biurowych, co oznacza: 
   • wyłączanie (lub ograniczanie) innych środowisk skryptowych (np. PowerShell); 
   • wyłączenie auto uruchamiania dla podłączonych nośników (uniemożliwienie korzystanie z nośników wymiennych, jeśli nie jest to wymagane); 
   • chroń swoje systemy przed możliwymi szkodliwymi makrami w Microsoft Office. 

Ponadto atakujący może wymusić wykonanie kodu, wykorzystując luki w zabezpieczeniach urządzenia. Zapobiegaj temu, utrzymując urządzenia poprawnie skonfigurowane i aktualne: 

• instaluj aktualizacje bezpieczeństwa, gdy tylko będą dostępne, aby naprawić błędy, które można wykorzystać w swoich produktach; 
• włącz automatyczne aktualizacje systemów operacyjnych, aplikacji i oprogramowania sprzętowego (tzw. firmware), jeśli możesz; 
• korzystaj z najnowszych wersji systemów operacyjnych i aplikacji, aby korzystać z najnowszych funkcji bezpieczeństwa; 
• konfiguruj zapory sieciowe, domyślnie blokując połączenia przychodzące. 

Poniższe kroki zapewnią, że osoby reagujące na incydenty będą mogły pomóc Twojej organizacji szybko dojść do normlanego funkcjonowania po ataku: 

• Pomóż zapobiegać rozprzestrzenianiu się szkodliwego oprogramowania w całej organizacji, postępując zgodnie ze wskazówkami NCSC.  Zapobiegnie to przemieszczaniu się atakujących po komputerach w sieci, które może być ukierunkowane na pozyskanie poświadczeń uwierzytelniania lub nadużywanie wbudowanych narzędzi. 
• Do uwierzytelniania użytkowników stosuj uwierzytelnianie wieloskładnikowe MFA, a w szczególności uwierzytelnianie dwuskładnikowe (znanego również jako 2FA),  Jeśli szkodliwe oprogramowanie wykradnie poświadczenia, nie można będzie ich ponownie użyć. 
• Upewnij się, że nieaktualizowane system operacyjny i aplikacje są odpowiednio oddzielone od reszty sieci.   
• Regularnie sprawdzaj i usuwaj nieużywane już uprawnienia użytkownika, aby ograniczyć możliwość rozprzestrzeniania się szkodliwego oprogramowania.  Szkodliwe oprogramowanie może rozprzestrzeniać się tylko do miejsc w sieci, do których mają dostęp konta zainfekowanych użytkowników. 
• Administratorzy systemu powinni unikać korzystania ze swoich kont administratora do obsługi poczty e-mail i przeglądania stron internetowych, aby uniknąć uruchamiania szkodliwego oprogramowania z wysokimi uprawnieniami systemowymi. 
• Zaprojektuj swoją sieć tak, aby interfejsy zarządzania były jak najmniej narażone na ataki.   
• W ramach dobrego zarzadzania zasobami prowadź rejestr stosowanych wersji oprogramowania zainstalowanych na urządzeniach, który będzie natychmiast dostępny w przypadku potrzeby szybkiej aktualizacji ich zabezpieczeń. 
• Aktualizuj nadzorowaną i zarządzaną infrastrukturę, tak, jak aktualizujesz swoje urządzenia i nadaj priorytet urządzeniom, które wykonują funkcje związane z bezpieczeństwem w sieci (takie jak firewalle) i inne urządzenia łączące  różne sieci. 
• Opracuj procedurę reagowania na incydenty, stosuj ją i aktualizuj.