Jakie skutki może wywołać ransomware w firmie?
Atak ransomware to coś więcej niż chwilowa (krótsza lub dłuższa) niedostępność plików. Szczerze? To jest w sumie najmniej poważna konsekwencja… Po zablokowaniu dostępu mamy efekt domina, który może doprowadzić do paraliżu całej firmy: aplikacje nie działają, zespoły stoją, klienci czekają (i się denerwują). Czyli straty, straty i jeszcze raz straty – finansowe, wizerunkowe, operacyjne. No i ta najgorsza strata: czas, którego nie da się odzyskać.
Szacuje się, że w wyniku ataków ransomware w 2021, straty globalnie wyniosły aż 20 mld USD! Trend wzrostowy potwierdzają statystyki. Według raportu Identity Theft Resource Center (ITRC), do końca września 2021 roku odnotowano więcej tego typu ataków niż w całym 2020. Kolejny atak następuje co około 11 sekund, a dane 99 mln użytkowników dostały się w niepowołane ręce z powodu skutecznego ataku na bazy danych trzymane w chmurach.
Zostając przy liczbach wspomnijmy jeszcze o badaniach firmy Cisco, wg których 40% firm zostało dotkniętych atakiem, który spowodował downtime dłuższy niż 8h, a 39% przyznało, że naruszono dane w co najmniej połowie ich systemów informatycznych. Żeby jeszcze bardziej uzmysłowić skalę tego problemu warto przywołać dane IBM, z których wynika, że średni koszt naruszenia ochrony danych w skali globalnej wynosi prawie 4 mln USD.
Najczęstsze scenariusze ataków ransomware
Jakie są schematy ataków ransomware? Cóż, dostanie się ransomware do systemu to nie magia. Wspólnym mianownikiem prawie zawsze jest czynnik… ludzki. Czyli: ktoś kliknął tam, gdzie nie powinien (ups!), dał sobie za dużo uprawnień (bo tak wygodniej), wrzucił hasło albo token do repo, „nie miał czasu” zaktualizować systemu czy też nie chciało mu się wymyślać silnego hasła (albo kilku różnych). W praktyce:
- Phishing – fałszywe e-maile z załącznikami. Pracownik dostaje e-mail z „fakturą”, „CV kandydata” albo „pilnym wezwaniem do zapłaty”. Otwiera załącznik lub klika link, uruchamia złośliwy skrypt, a ransomware zaczyna szyfrować pliki na komputerze i w sieci firmowej.
- Niezabezpieczone zdalne dostępy (np. RDP). Atakujący skanuje sieć w poszukiwaniu otwartych portów i słabych haseł. Włamuje się przez źle zabezpieczony zdalny pulpit. I oczywiście szyfruje serwery, backupy, repozytoria i wszystko, co szyfrować można.
- Luki w oprogramowaniu (brak aktualizacji). Ransomware wykorzystuje znane dziury w systemie operacyjnym, przeglądarce, serwerach itd. Wystarczy, że ktoś w firmie nie zaktualizował jednego urządzenia…
- Trojany, czyli złośliwe oprogramowanie udające coś innego. „Darmowe” narzędzie, np. do konwersji PDF, free trial/demo albo piracki program. Po instalacji daje atakującemu dostęp do komputera lub samodzielnie szyfruje pliki.
- Wyciek danych uwierzytelniających (np. hasła, tokeny, klucze SSH). Hasło lub token przypadkiem trafiły do repozytorium albo zostały wykradzione w innym ataku. Atakujący loguje się jak pełnoprawny użytkownik i uruchamia ransomware od środka.
Nieuwaga, rutyna, brak świadomości albo po prostu pośpiech – typowe ludzkie słabostki – to właśnie siła złośliwego oprogramowania. Możesz mieć najlepszy firewall świata, ale jeśli ktoś z zespołu kliknie „Faktura.pdf.exe” albo zostawi klucz SSH w publicznym repo – 1:0 dla ransomware.
Przeczytaj także: Jak bezpiecznie korzystać z internetu? Sprawdź praktyczne wskazówki!
Repozytoria Git – czy są bezpieczne?
Kod źródłowy to warta sporo pieniędzy wartość intelektualna (chociaż niektóre fragmenty kodu potrafią wyglądać, jakby z intelektem miały niewiele wspólnego). Między innymi dlatego nasze repozytoria również stają się celem ataków. Oczywiście tutaj w dużej mierze polegamy na zabezpieczeniach dostarczanych przez twórców naszych usług hostingowych, ale jak się okazuje, nawet to nie daje nam gwarancji.
W maju 2019 miał miejsce dość głośny atak ransomware właśnie wycelowany w repozytoria na GitHub, GitLab i Bitbucket, czyli trzech głównych dostawców. Atak był udany i hakerzy uzyskali dostęp do niektórych repozytoriów. Oczywiście usunęli z nich wszystkie dane i zażądali okupu.
Dobrą informacją jest to, że większość danych udało się odzyskać, jednak kosztowało to trochę czasu. Większość ofiar poświęciło również czas i pieniądze na zwiększenie zabezpieczeń, co również warto doliczyć do “ceny” takiego ataku. Zresztą sam fakt wystąpienia takiej sytuacji powinien dać nam do myślenia.
Prawdopodobny przebieg ataku ransomware był taki, że hakerzy skanowali repozytoria Git w poszukiwaniu plików konfiguracyjnych. W części z nich były ukryte hasła, za pomocą których udało się uzyskać dostęp do określonych repozytoriów. Od razu nasuwa się myśl “kto w ogóle trzyma hasła w repo?!”.
Jak się okazuje dość sporo osób. W pewnym eksperymencie z 2018 roku przeszukiwano GitHub pod kątem wiadomości commitów, w których znajdowała się fraza “removed password”. Brzmi absurdalnie, ale efektem było 350 000 wyników.
Jak chronić dane przed atakiem ransomware?
Jak pokazuje przykład Gita, tradycyjny model login-hasło nie jest wystarczającym poziomem zabezpieczeń. Zresztą mówią o tym wszelkie obecne polityki bezpieczeństwa. Ale wróćmy do GitHuba i tego, w jaki sposób moglibyśmy wzmocnić ochronę naszych danych.
GitHub zachęca do tego, żeby korzystać z 2FA albo SSH. Oczywiście jest to dobry krok, ale przecież możliwe jest, że haker uzyska dostęp do naszego urządzenia, np. smartfona wykorzystywanego do 2FA albo po prostu pozna nasz token czy klucz prywatny. Co wtedy?
I tu właśnie wchodzi cała reszta zasad, które często są bagatelizowane, a które mogą realnie uratować nas przed najgorszym scenariuszem:
- Tylko niezbędne uprawnienia. Z perspektywy administratora danego repozytorium moglibyśmy chociażby ograniczać do minimum dostęp. Czyli dany użytkownik dostaje dostęp tylko tam, gdzie aktualnie potrzebuje i tylko na dany czas, kiedy ten dostęp jest potrzebny. Brzmi banalnie, ale w praktyce to właśnie „przydzielmy mu wszystko, będzie łatwiej” kończy się najczęściej wyciekiem.
- Rotacja tokenów i kluczy. Token wygenerowany raz i zostawiony bez opieki? Prosta droga do katastrofy. Klucze dostępu powinny mieć terminy ważności, a tokeny – być zmieniane regularnie. Lepiej też unikać przechowywania ich lokalnie w konfiguracji, jeśli nie jest to absolutnie konieczne. Jeszcze ważna rzecz odnośnie operacji klonowania i prywatnych tokenów: Wykonanie takiej operacji spowoduje dodanie tokena do naszej lokalnej konfiguracji. Chyba nie trzeba wyjaśniać, co to oznacza.
- Blokowanie nieużywanych kont. Minimalizuje to ryzyko utraty danych, gdy np. programista zmieni projekt. Czarek odszedł z zespołu? Zamknij jego dostęp natychmiast. Każde pozostawione „otwarte drzwi” to potencjalny punkt wejścia dla atakującego.
- Monitorowanie i alerty. Warto korzystać z narzędzi, które pozwalają śledzić podejrzane logowania, próby użycia tokenów albo nietypowe operacje na repozytoriach. Wczesne wykrycie podejrzanej aktywności daje szansę na reakcję, zanim haker zdąży wyrządzić szkody.
Co robić w przypadku ataku ransomware? Procedury reagowania
No dobrze, ale atak się wydarzył. Nie czas na szukanie winnych – może to pracownik, może system, a może pechowy zbieg okoliczności. Teraz liczy się każda minuta. W takich sytuacjach najgorszym doradcą jest panika, a najgorszą strategią: brak planu. Dlatego warto mieć jasne procedury postępowania, które pomogą zminimalizować straty i – jeśli to możliwe – odzyskać kontrolę nad sytuacją. Można skorzystać z gotowej ściągi od KNF, czyli Komisji Nadzoru Finansowego. Chociaż ta instytucja stoi na straży bezpieczeństwa sektora finansowego, ich „dobre praktyki” sprawdzą się w każdej organizacji. 7 etapów wg KNF to (pełna wersja dokumentu w źródłach):
- Przygotowanie – wszelkie działania, które mają na celu zapobieganie atakom i ich skutkom: planowanie, przygotowywanie zespołów oraz tworzenie procedur, kontaktów eskalacyjnych i offline’owych kopii ważnych danych i dokumentów.
- Identyfikacja – jak najwcześniejsze wykrycie incydentu i potwierdzenie, że to atak ransomware (oraz ustalenie skali i rodzaju zagrożenia).
- Ograniczanie – izolacja zainfekowanych systemów, czyli np. odłączenie urządzeń, segmentacja sieci, wyłączenie dostępu do określonych zasobów, żeby ransomware nie mógł się rozprzestrzeniać.
- Komunikacja zewnętrzna i raportowanie – atak należy zgłosić odpowiednim podmiotom (np. CSIRT KNF, organy ścigania). Ważna jest też otwarta, jasna i spójna komunikacja z partnerami, klientami czy mediami.
- Środki naprawcze – analiza przyczyn ataku: znalezienie luk („otwartych furtek”), wprowadzenie poprawek i usunięcie złośliwego oprogramowania z systemów.
- Odzyskiwanie – jeżeli środowisko jest już wolne od malware, można przywrócić systemy i dane z bezpiecznych kopii zapasowych.
- Wnioski – po analizie całego incydentu i wyciągnięciu wniosków pozostaje aktualizacja procedur bezpieczeństwa, aby ograniczyć ryzyko podobnych ataków w przyszłości (czyli powrót do punktu nr 1).
Przeczytaj także: Technologie IT, które nie tracą na popularności
Ochrona przed atakiem ransomware zaczyna się od Ciebie, nie od firewalla
Firewall może być świetny, procedury mogą być dopięte na ostatni guzik, ale jeśli my sami nie będziemy ostrożni – ransomware zawsze znajdzie drogę. Mówi się, że systemy są na tyle bezpieczne, na ile bezpieczny jest ich najsłabszy punkt. Musimy zdawać sobie sprawę z potencjalnych zagrożeń oraz rozwiązań, które pozwalają nam zminimalizować ryzyko.
Odpowiednie polityki bezpieczeństwa, regularnie zmieniane klucze SSH, dedykowane i bezpieczne narzędzia do 2FA z pewnością pomogą, ale na samym końcu jesteśmy my. I nie ma tutaj znaczenia nasza rola w projekcie. Nie zrzucajmy całej odpowiedzialności na specjalistów od zabezpieczeń, a raczej zróbmy wszystko, żebyśmy to nie my byli tym najsłabszym ogniwem.
Może Ci się spodobać:
Aleksandra SudnikWielbicielka kinematografii, gry w tenisa, włoskiej kuchni i content marketingu. Magister psychologii biznesu, podcasterka, prelegentka, redaktorka, autorka e-booków oraz managerka w agencji marketingowej Fox Strategy.