Atak ransomware. Czym jest i jak się bronić?

Z tego artykułu dowiesz się:

• Czym jest ransomware?
• Wpływ pandemii na cyberataki
• Repozytoria Git – czy są bezpieczne?
• Ransomware – jak się bronić?

Nawet nasze najlepsze i najciekawsze aplikacje, z których korzystają tysiące ludzi i które przynoszą nam ogromne dochody, są uzależnione właśnie od odpowiedniego poziomu zabezpieczeń. Musimy też pamiętać, że nie tylko nasze dane czy konta użytkowników są narażone na ataki, ale również nasz kod i repozytoria. W końcu jest to wartościowa własność intelektualna!

Zagrożenia czyhają na nas na każdym kroku i nie jest to problem, tylko specjalistów od bezpieczeństwa, ale każdego z nas. Codziennie jesteśmy narażeni na ataki typu DDos, XSS, phishing, nawet zwykły spam mailowy czy wiele innych.

Inżyniera społeczna to również modna technika wśród hakerów. I niestety wciąż skuteczna. Niedawna premiera Disney+ i wysyp podrabianych stron, próbujących podszywać się pod tę platformę, tylko to potwierdza.

Czym jest ransomware?

Dziś zajmiemy się jednym rodzajem ataków - ransomware. Czym jest? W dużym skrócie: jest to malware, które blokuje dostęp do danych lub całego systemu, szyfruje wszystko, co się da, a następnie żąda okupu w zamian za odblokowanie dostępu. Według Europolu ransomware jest jednym z głównych zagrożeń pod względem rozpowszechniania oraz wyrządzania szkód finansowych.

Idźmy dalej. Może nie są to najświeższe badania, bo z 2017 roku, ale firma Malwarebytes opublikowała wtedy ciekawy raport. Znajdziemy tam informację, że aż 35% firm z sektora małych i średnich przedsiębiorstw padło ofiarą ataku ransomware. A co jeszcze bardziej interesujące, aż 90% tych ataków spowodowało downtime dłuższy niż 1h! Można sobie tutaj zażartować, że “to przecież tylko dłuższa przerwa na kawę”, ale z perspektywy firmy dotkniętej takim atakiem, to nie ma się tutaj z czego śmiać.

Zazwyczaj wartości żądanego okupu są stosunkowo małe i — co może zaskakiwać — rzadko kiedy są płacone, jednak to nie okup jest problemem. Prawdziwym problemem w takich sytuacjach jest wpływ na produktywność naszych zespołów oraz dostępność naszych usług. I tutaj już straty finansowe mogą być ogromne.

Wpływ pandemii na cyberataki

Z roku na rok liczba cyberataków rośnie, a dotyczy to zwłaszcza właśnie ransomware. Znaczący skok nastąpił w 2020 roku, kiedy to z powodu wybuchu pandemii przeszliśmy masowo na tryb pracy zdalnej. Oczywiście, mało kto był gotowy na tak nagłą zmianę. Nawet jeśli dana firma oferowała wcześniej taki tryb pracy, to raczej nie dotyczyło to wszystkich pracowników jednocześnie. Pomińmy aspekty socjologiczne, produktywność i zadowolenie (lub brak) wynikające z takiej zmiany - to jest temat na inny artykuł.

Tak ogromna zmiana w sposobie organizacji pracy nasiliła liczbę ataków z prostego powodu - okazały się one bardziej skuteczne.

Szacuje się, że w wyniku ataków ransomware w 2021, straty globalnie wyniosły aż 20 mld USD! Trend wzrostowy potwierdzają statystyki. Według raportu Identity Theft Resource Center (ITRC), do końca września 2021 roku odnotowano więcej tego typu ataków niż w całym 2020. Kolejny atak następuje co około 11 sekund, a dane 99 mln użytkowników dostały się w niepowołane ręce z powodu skutecznego ataku na bazy danych trzymane w chmurach.

Zostając przy liczbach wspomnijmy jeszcze o badaniach firmy Cisco, wg których 40% firm zostało dotkniętych atakiem, który spowodował downtime dłuższy niż 8h, a 39% przyznało, że naruszono dane w co najmniej połowie ich systemów informatycznych. Żeby jeszcze bardziej uzmysłowić skalę tego problemu warto przywołać dane IBM, z których wynika, że średni koszt naruszenia ochrony danych w skali globalnej wynosi prawie 4 mln USD.

Repozytoria Git – czy są bezpieczne?

Kod źródłowy to warta sporo pieniędzy wartość intelektualna (chociaż niektóre fragmenty kodu potrafią wyglądać, jakby z intelektem miały niewiele wspólnego). Między innymi dlatego nasze repozytoria również stają się celem ataków. Oczywiście tutaj w dużej mierze polegamy na zabezpieczeniach dostarczanych przez twórców naszych usług hostingowych, ale jak się okazuje, nawet to nie daje nam gwarancji.

W maju 2019 miał miejsce dość głośny atak ransomware właśnie wycelowany w repozytoria na GitHub, GitLab i Bitbucket, czyli trzech głównych dostawców. Atak był udany i hakerzy uzyskali dostęp do niektórych repozytoriów. Oczywiście usunęli z nich wszystkie dane i zażądali okupu.

Dobrą informacją jest to, że większość danych udało się odzyskać, jednak kosztowało to trochę czasu. Większość ofiar poświęciło również czas i pieniądze na zwiększenie zabezpieczeń, co również warto doliczyć do “ceny” takiego ataku. Zresztą sam fakt wystąpienia takiej sytuacji powinien dać nam do myślenia.

Prawdopodobny przebieg ataku ransomware był taki, że hakerzy skanowali repozytoria Git w poszukiwaniu plików konfiguracyjnych. W części z nich były ukryte hasła, za pomocą których udało się uzyskać dostęp do określonych repozytoriów. Od razu nasuwa się myśl “kto w ogóle trzyma hasła w repo?!”.

Jak się okazuje dość sporo osób. W pewnym eksperymencie z 2018 roku przeszukiwano GitHub pod kątem wiadomości commitów, w których znajdowała się fraza “removed password”. Brzmi absurdalnie, ale efektem było 350 000 wyników.

Ransomware – jak się bronić?

Jak pokazuje przykład Gita, tradycyjny model login-hasło nie jest wystarczającym poziomem zabezpieczeń. Zresztą mówią o tym wszelkie obecne polityki bezpieczeństwa. Ale wróćmy do GitHuba i tego, w jaki sposób moglibyśmy wzmocnić ochronę naszych danych.

GitHub zachęca do tego, żeby korzystać z 2FA albo SSH. Oczywiście jest to dobry krok, ale przecież możliwe jest, że haker uzyska dostęp do naszego urządzenia, np. smartfona wykorzystywanego do 2FA albo po prostu pozna nasz token czy klucz prywatny. Co wtedy?

Z perspektywy administratora danego repozytorium moglibyśmy chociażby ograniczać do minimum dostęp. Czyli dany użytkownik dostaje dostęp tylko tam, gdzie aktualnie potrzebuje i tylko na dany czas, kiedy ten dostęp jest potrzebny. Minimalizuje to ryzyko utraty danych, gdy np. programista zmieni projekt.

Jeszcze ważna rzecz odnośnie operacji klonowania i prywatnych tokenów:

Wykonanie takiej operacji spowoduje dodanie tokena do naszej lokalnej konfiguracji. Chyba nie trzeba wyjaśniać, co to oznacza.

Mówi się, że systemy są na tyle bezpieczne, na ile bezpieczny jest ich najsłabszy punkt. Musimy zdawać sobie sprawę z potencjalnych zagrożeń oraz rozwiązań, które pozwalają nam zminimalizować ryzyko.

Odpowiednie polityki bezpieczeństwa, regularnie zmieniane klucze SSH, dedykowane i bezpieczne narzędzia do 2FA z pewnością pomogą, ale na samym końcu jesteśmy my. I nie ma tutaj znaczenia nasza rola w projekcie. Nie zrzucajmy całej odpowiedzialności na specjalistów od zabezpieczeń, a raczej zróbmy wszystko, żebyśmy to nie my byli tym najsłabszym ogniwem.

Autor: Tomek Lisowski infoshareAcademy