Cyber Security Center - Jak NIE reagować na ataki ransomware

5 marca, 2020by Karol Suchocki

Dział finansowo-księgowy pewnego przedsiębiorstwa obsługuje, poza tym podmiotem, także kilka zewnętrznych firm.  Używane są dwa niezależne systemy finansowo-księgowe: jeden obsługujący główny podmiot, drugi firmy zewnętrzne. Serwery, na których skonfigurowane są systemy, są umieszczone w lokalnej serwerowni. Za obsługę IT odpowiada zewnętrzny Administrator prowadzący jednoosobową działalność gospodarczą i obsługujący kilkanaście podmiotów.

Co się wydarzyło?

Hakerzy uzyskali dostęp do jednego z serwerów, zaszyfrowali wszystkie dane na tym serwerze oraz wszystkie kopie zapasowe i zażądali okupu. Administrator podjął decyzję o zapłacie okupu. Hakerzy przesłali instrukcje i klucz deszyfrujący. Administrator odtworzył zaszyfrowane pliki następnie zmienił hasła do kont administracyjnych serwera oraz samego systemu finansowo-księgowego oraz zablokował dostęp RDP do serwera z zewnątrz sieci.

I tyle. Praktycznie żadnych strat, problem rozwiązany, czyż nie?

Niezupełnie.

Niespodzianka numer 1

Bardzo często, kiedy już kurz opadnie, dochodzi do podobnego ataku: ponownego zaszyfrowania części systemów.

Jak to możliwe? Jedną z przyczyn jest to, że wielu przestępców pozostawia sobie „przyczółki” w sieci, do której mieli już raz dostęp, dzięki czemu ponownie mogą ją zainfekować. Z drugiej strony: w sieci mogą istnieć inne luki bezpieczeństwa, których nie zabezpieczyli administratorzy.

Niespodzianka numer 2

Przestępcy przystępują do kolejnego etapu szantażu: tym razem grożąc ujawnieniem zdobytych wcześniej informacji poufnych.

To coraz częstszy scenariusz: przestępcy, przed zaszyfrowaniem danych, analizują dane w systemach klienta i ściągają je do siebie. To pozwala im zwiększyć zwrot z inwestycji – bo hakerzy to nie dzieciaki w kapturach, a często sprawnie działające przedsiębiorstwa.

Kiedy zwracają się do nas firmy, które otrzymały jedną lub drugą dodatkową niespodziankę, sytuacja jest zwykle bardzo trudna, a często jest wyjątkowo trudna, także ze względu na błędy popełnione podczas reakcji na „pierwotny” incydent.

Błąd numer 1

Mimo tego, że w wyniku ataku zostały zaszyfrowane kopie zapasowe, w firmie nie zostały poprawione sposoby tworzenia i przechowywania kopii zapasowych. Bardzo często, przez krótki czas funkcjonują manualne mechanizmy przenoszenia kopii zapasowych „offline”, ale po kilku tygodniach lub miesiącach proces „przestaje działać”… i ponowny atak typu “ransomware” znowu wymaga opłacenia okupu lub utraty danych.

Błąd numer 2

Brak rzetelnej analizy / audytu sieci pod kątem występowania luk bezpieczeństwa. Po pierwsze: jak już wspomnieliśmy przestępcy lubią zostawiać „zgniłe jajka” w różnych miejscach sieci, które można by znaleźć zanim pękną, po drugie infrastruktura może posiadać inne dziury bezpieczeństwa, które tylko czekają na nieproszonych gości. Oto kilka przykładów niepoprawnego audytu:

  • W jednym z analizowanych przez nas przypadków, pracownik IT przeskanował wszystkie komputery oprogramowaniem antywirusowym, które NIE WYKRYŁO złośliwego oprogramowania na zaszyfrowanych serwerach i uznał, że sieć jest wolna od wirusów. Nie musimy dodawać, że było inaczej;
  • W innym przypadku administratorzy zapomnieli o dysku sieciowym, a właśnie na nim czekał gotowy do użycia “spreparowany” przez przestępców plik udający zwykły dokument;
  • Najgorszym, a o dziwo nie rzadkim przypadkiem, jednak jest ten, w którym administratorzy nie sprawdzili NIC.

A przestępcy, cóż traktują to, jako zaproszenie do kolejnych działań.

Błąd 3

Brak działań zabezpieczających ślady ataku, a często wręcz usuwanie tych śladów: np.. czyszczenie logów systemowych. To błąd najmniej oczywisty, błąd którego znaczenie firmy odkrywają wtedy, kiedy powinny dowiedzieć się co się właściwie wydarzyło i kto jest za to odpowiedzialny… czy też wprost „kto za to zapłaci”? W jaki sposób sprawdzimy, a następnie udowodnimy, że powodem ataku  były błędy dostawcy IT, a nie niefrasobliwość pracownika? Jak przed sądem udowodnimy, że ujawnienie chronionych danych poufnych nie było zamierzonym działaniem wymierzonym w naszych kontrahentów, a efektem ataku hakerskiego?

Częstym przypadkiem jest niestety usuwanie zapisów logów systemów po ataku – takie działania praktycznie uniemożliwiają prześledzenie sposobów działania przestępców.

Błąd 4 … czy nie błąd?

A czy samo zapłacenie okupu jest błędem czy nie?

Płacąc okup dajemy przestępcom dwa sygnały: jesteśmy pod ścianą i mamy takie możliwości finansowe. Tym samym ryzykujemy, że jak każdy szantażysta, „nasz” przestępca nie poprzestanie na jednej próbie szantażu.

Analizie podlegać powinna każda sytuacja niezależnie, ale jeśli jesteśmy w stanie odtworzyć dane (nawet jeśli zajmie to dużo czasu), a sytuacja nie zagraża zdrowiu i życiu – to czy chcesz, aby Twoja firma wspierała przestępców?

 

Wróćmy do naszego przykładu. Tym razem o incydencie, przypadkiem dowiedziała się jedna z zewnętrznych firm, której obsługę księgową zapewniał zaatakowany podmiot. Firma ta uznała, że nie ma pewności czy podjęte działania były wystarczające i zleciła nam analizę bezpieczeństwa jej danych.  Jak się okazało, słusznie.

Wykonaliśmy audyt sieci i zabezpieczeń, wykryliśmy (i usunęliśmy) oprogramowanie typu malware w kilku miejscach sieci, zaprojektowaliśmy i wdrożyliśmy rozwiązania zapewniające bezpieczeństwo kopii zapasowych, zarekomendowaliśmy wdrożenie znaczących popraw bezpieczeństwa. Niestety nie mogliśmy zrobić jednego: zapobiec wykradzeniu danych. Nasz klient musiał podjąć kroki niezbędne w przypadku utraty danych poufnych i osobowych.

 

Co możesz zrobić, żeby być mądrym przed szkodą?

  • Upewnij się, że Twoi dostawcy IT, zgodnie z umowami, ponoszą odpowiedzialność za bezpieczeństwo Twoich danych i systemów. Sprawdź, czy mają polisy OC zawodowe obejmujące zdarzenia „cyber”– tak, żebyś miał pewność, że w razie ich błędów skutkujących atakami hakerskimi otrzymasz odszkodowanie.
  • Sprawdź, czy Twoja infrastruktura IT jest odporna na ataki. Zleć zewnętrzny audyt i testy bezpieczeństwa. To nie ma nic wspólnego z zaufaniem czy podważaniem kompetencji Twoich pracowników IT: specjaliści bezpieczeństwa na bieżąco śledzą sposoby pracy hakerów, widzieli ataki z zewnątrz i z wewnątrz organizacji wiele razy i wskażą Ci miejsca, o których dział IT nawet nie pomyśli, że może być źródłem problemu.
    Przede wszystkim sprawdź czy Twoje kopie zapasowe są odporne na ataki ransomware i czy dasz radę i w jakim czasie odtworzyć z nich działanie systemów!
  • Zastanów się, czy nie powinieneś zadbać o porządne ubezpieczenie „cyber” dla swojej Firmy, które uchroni Cię przed dotkliwymi, finansowymi kosztami incydentów bezpieczeństwa i zapewni Ci wsparcie wysokiej klasy ekspertów w reakcji na incydenty i przy ewentualnych roszczeniach wynikających z wycieku danych poufnych czy osobowych.

 

Zapraszamy do kontaktu z naszym zespołem: pomożemy Ci zadbać o bezpieczeństwo: sprawdzimy Twoją infrastrukturę i pomożemy w przygotowaniu się „na najgorsze”.

 

Karol Suchocki

https://cybersecuritycenter.eu/wp-content/uploads/2020/04/logo.png

Chcesz dowiedzieć się o naszych usługach? Jak pracujemy? Zapraszamy do kontaktu.

Chcesz dowiedzieć się o naszych usługach? Jak pracujemy? Zapraszamy do kontaktu.

Aktualności

Jeśli chcesz na bieżąco otrzymywać informacje o bezpieczeństwie cyber i nowych usługach CSC, zostaw nam swój e-mail.

bt_bb_section_top_section_coverage_image

Copyright 2020 Cyber Security Center Sp. z o.o.