Kryzysy społeczno-gospodarcze, takie jak pandemia COVID-19, które w całości pochłaniają naszą uwagę, to dla cyberprzestępców zawsze idealny moment do ataku. Stajemy się wówczas mniej ostrożni i podejrzliwi, przez co tracimy czujność i nie zauważamy zagrożeń. Roczny raport na temat stanu bezpieczeństwa Trend Micro 2020 pokazuje, jak tę nieuważność w 2020 roku wykorzystali operatorzy ransomware oraz jak przekłada się to na statystyki i ogólne bezpieczeństwo.

Krajobraz ransomware w 2020

W raporcie wyraźnie widać wzrost liczby ataków ransomware, czyli takich, które infekują i blokują urządzenia, w celu uzyskania okupu, a także ich koncentrację na najistotniejszych, nie mogących pozwolić sobie na przestoje branżach, w tym te bezpośrednio zaangażowane w walkę z pandemią. Na celowniku przestępców od wybuchu pandemii są więc kluczowe dla funkcjonowania obywateli: organizacje rządowe, sektor bankowy, produkcja, opieka zdrowotna i sektor finansowy.

2020 sprzyjał agresywnej ewolucji ransomware. Przyczynia się do tego niecodzienna sytuacja, liczne wyzwania, ale też pojawienie się nowych graczy (takich jak Egregor czy DoppelPaymer), przy nieustępliwości przestępców z dłuższym stażem (jak Ryuk czy Sodinokibi).

Współczesne ataki ransomware są przeprowadzane jednak bardziej metodycznie, a ich operatorzy zazwyczaj szukają wartościowych zasobów organizacji w krytycznych branżach. Cyberprzestępcy korzystają z coraz bardziej wyrafinowanych technik, jak podwójne wymuszenia: nie tylko blokują dostęp do danych, szyfrując pliki swoich ofiar; zaczęli także grozić ujawnieniem plików, jeśli cel nie zapłaci okupu. Taki scenariusz zwiększył stawkę i presję na ofiarach. Jest to realne zagrożenie, zwłaszcza dla większych organizacji, które przechowują poufne i zastrzeżone informacje osobowe. Takie ataki mogą kosztować organizacje więcej pieniędzy i zaszkodzić ich reputacji i wizerunkowi marki.

Według obliczeń towarzystwa ubezpieczeniowego Coalition, w 2020 roku wymuszona kwota za pomocą tej techniki, była aż dwukrotnie większa niż rok wcześniej.

Spektrum technik

Analizując rodzaje dokonywanych w 2020 roku ataków ransomware widzimy nowe podejście do systemów zabezpieczeń. Kiedy te były wyjątkowo dobrze zorganizowane, atakom poddawane były nieświadome zagrożenia, łatwiej dostępne, elementy łańcucha dostaw. Przeciwdziałanie takim atakom było wyjątkowo trudne z uwagi na partnerskie relacje z dostawcami, konieczny do sprawnej współpracy kredyt zaufania, czy najzwyczajniej – brak możliwości zweryfikowania zagrożeń występujących w łańcuchach dostaw, poza własnymi systemami.

Jednym z najgłośniejszych ubiegłorocznych ataków na łańcuchy dostaw był ten skoncentrowany na systemach sterowania w branży energetycznej. W sprawę aktywnie włączyło się FBI, które ostrzegało przed atakami. Głośnym echem odbił się również przypadek SolarWinds, wymierzony w agencje rządowe USA, za pośrednictwem skompromitowanej aktualizacji Orion, popularnego oprogramowania zarządzania siecią SolarWinds.

Przy całym bogactwie nowych technik, nadal dobrze miał się sprawdzony, prosty, ale skuteczny phishing, umożliwiający dystrybucję groźnego oprogramowania za pomocą linków lub załączników umieszczonych w niepozornych wiadomościach e-mail. Rozwój tej techniki w ubiegłym roku zakładał sięgnięcie po nowe elementy, takie jak formularze czy ankiety, za pomocą których dokonywano ataków. W 2020 r. częściej byliśmy także świadkami najmocniej ukierunkowanej i wyrafinowanej formy phishingu, czyli spear phishingu, polegającego na wysyłaniu niestandardowych, sprofilowanych wiadomości do dobrze zbadanych grup docelowych. Kiedy sprawy dotyczyły tematów związanych z COVID-19, sporów terytorialnych, kwestii dyplomatycznych, a przy okazji poprzedzone były dokładną i wnikliwą analizą, konsekwencje ataków były daleko idące, a same ataki ekstremalnie trudne do wykrycia.

Ochrona przed atakami

Oprogramowanie ransomware może mieć wiele punktów wejścia i możliwości szyfrowania. Dobra polityka tworzenia kopii zapasowych w połączeniu z podejściem wielowarstwowym może znacznie zmniejszyć skuteczność i wpływ takiego ataku. Firmy i instytucje muszą zabezpieczyć nie tylko fizyczne, ale też wirtualne przestrzenie pracy, czemu nie sprzyjają dynamicznie zmieniające się okoliczności.

W dzisiejszym, pełnym wyzwań środowisku pracy, w którym zaciera się granica między przestrzenią domową a biurem, do zbudowania zadowalającego poziomu bezpieczeństwa konieczne są odpowiednie, wielopoziomowe technologie. Ich zasadniczym celem jest:

• Ochrona poczty e-mail i sieci: zapobiega przedostawaniu się oprogramowania ransomware do Twojej sieci, blokując spam i dostęp do złośliwych linków.
• Ochrona serwera: chroni serwery przed możliwymi do wykorzystania lukami.
• Ochrona sieci: chroni Twoją sieć, zapobiegając rozprzestrzenianiu się oprogramowania ransomware z serwera do punktu końcowego.
• Ochrona punktów końcowych: chroni punkty końcowe, zapobiegając uruchamianiu oprogramowania ransomware.

Właściwie dobrane technologie to jedno. Równie ważne jest łączenie ich z odpowiednimi strategiami i politykami bezpieczeństwa, uwzględniającymi podnoszenie świadomości pracowników w zakresie najbardziej powszechnych technik cyberataków oraz postępowania w przypadku zetknięcia się z nimi.

Dla prawidłowego poziomu ochrony konieczne są również regularne audyty bezpieczeństwa, kontrolujące infrastrukturę fizyczną i chmurową oraz ewentualne błędy konfiguracji i inne słabe punkty.

Mając na uwadze niską odporność łańcuchów dostaw na ataki, warto dokładnie przyglądać się bezpieczeństwu dostawców i innych partnerów oraz blisko z nimi współpracować, w celu współtworzenia silnej obrony przed atakami.

Dzięki wdrożeniu odpowiednich technologii, wsparciu zaangażowanych i czujnych zespołów oraz wypracowaniu właściwych i skutecznych polityk mamy szansę uchronić się przed coraz bardziej złośliwymi i wyrafinowanymi atakami cyberprzestępców.