Ransomware zaszyfrował twoje dane? Co zrobić, by nie stało się to ponownie

2022 / 06 / 23

W ciągu ostatnich lat cyberprzestępcy stosowali ransomware do atakowania małych firm, wielkich fabryk, miast, a nawet całych krajów. Ataki tego typu prawie zawsze wiążą się ze znacznymi stratami – zarówno finansowymi, jak i związanymi z utratą reputacji – i dlatego do eliminowania konsekwencji szkodliwych działań trzeba angażować wiele zasobów. Nie można jednak zapominać o bardzo ważnej kwestii – jak sprawić, by podobny atak się nie powtórzył.

Dlaczego z dużym prawdopodobieństwem możesz zostać ponownie zaatakowany przez ransomware?

Dawniej twórcy ransomware atakowali firmy wysyłając swoje złośliwe programy w spamowych wiadomościach e-mail. Nowoczesne cybergangi od dłuższego czasu rozwijają model „ransomware jako usługa”, w ramach którego dostarczają każdemu chętnemu dostęp do infrastruktury ofiary oraz złośliwy kod, żądając w zamian części zapłaconego okupu. Można powiedzieć, że szyfrowanie danych dla okupu dość szybko zmienia się w pełnoprawny biznes, w którym każda zaangażowana strona ma swoją specjalizację. Istnieją nawet grupy przestępcze, które zajmują się wyłącznie szukaniem (lub pozyskiwaniem) i sprzedawaniem dostępu do sieci ofiar.

Jeżeli informacja o tym, że twoja firma padła ofiarą ataku ransomware pojawi się w mediach lub na forach hakerskich, przyciągnie to uwagę innych atakujących, szczególnie jeżeli zdecydowałeś się zapłacić okup. Po pierwsze, będzie to oznaczało, że infrastruktura IT twojej firmy jest podatna na ataki, a po drugie – że jesteś skłonny negocjować z atakującymi. Dla współczesnych cyberprzestępców jest to jasny sygnał, że warto podjąć próbę ponownego ataku na twoją firmę.

Jak zminimalizować szanse kolejnego ataku ransomware?

Kwestia uniknięcia ponownego ataku powinna zostać poruszona już na etapie prac dochodzeniowych i eliminujących konsekwencje. Zacząć należy w momencie podejmowania decyzji o zapłaceniu okupu. W perspektywie krótkoterminowej zapłacenie przestępcom za odzyskanie zaszyfrowanych danych może się wydawać sensownym rozwiązaniem problemu. Przed przelaniem pieniędzy warto jednak rozważyć następujące zagadnienia:

  1. Zapłacenie okupu nie gwarantuje bezpieczeństwa twoich informacji – dane już są w nieodpowiednich rękach.
  2. Nawet jeśli atakujący nie opublikują twoich danych natychmiast, mogą to zrobić w późniejszym czasie lub sprzedać informacje innym gangom.
  3. Płacąc cyberprzestępcom finansujesz ich działalność, a to nieuchronnie prowadzi do ich rozwoju i zwiększania się liczby kolejnych ataków.
  4. Płacąc okup wysyłasz przestępcom jednoznaczny sygnał, że warto spróbować ponownego ataku na twoją firmę.

Powyższe argumenty dobitnie pokazują, że zdecydowanie lepiej jest nie płacić.

Na koniec przedstawiamy kilka porad pozwalających na zmniejszenie prawdopodobieństwa kolejnego ataku:

  • Zbadaj dokładnie, w jaki sposób twoja firma została zaatakowana – nie tylko pomoże to w wyeliminowaniu podatności, które mogłyby zostać wykorzystane w kolejnym ataku, ale także umożliwi podjęcie dalszych działań zabezpieczających. Jeżeli w twojej firmie nie ma działu lub pracowników, którzy mogą zająć się tym zadaniem, warto powierzyć je zewnętrznym specjalistom.
  • Gdy upewnisz się, że w twojej infrastrukturze nie ma żadnych intruzów, poświęć nieco czasu na skontrolowanie wersji krytycznych systemów (systemy operacyjne, narzędzia zdalnego dostępu, rozwiązania bezpieczeństwa). Uaktualnij je, jeżeli jest taka potrzeba, i zastanów się, czy niektóre z nich nie wymagają wymiany na lepsze lub bardziej bezpieczne.
  • Przeanalizuj swoją infrastrukturę pod kątem występowania luk w zabezpieczeniach. Po udanym ataku cyberprzestępcy najprawdopodobniej zaczną szukać alternatywnych podatności.
  • Jeżeli atakujący wniknęli do twojej sieci z użyciem socjotechniki, zwróć większą uwagę na przeszkolenie swojego personelu w zakresie cyberbezpieczeństwa.
  • Jeżeli w ataku wykorzystano narzędzia zdalnego dostępu i hasła, które wcześniej wyciekły, koniecznie zmień wszystkie hasła wykorzystywane w danym systemie.
  • Upewnij się, że wszystkie urządzenia firmowe, które mają dostęp do internetu (łącznie z serwerami i smartfonami) są chronione przy użyciu solidnych rozwiązań bezpieczeństwa.

Źródło: ITXON