Ataki hakerskie coraz większym zagrożeniem dla biznesu

Warszawa, 15 maja 2017 r. – Rośnie siła zagrożenia związanego z wyłudzaniem środków finansowych za pomocą złośliwego oprogramowania szyfrującego dane użytkowników komputerów, czyli tzw. „cryptolocker” albo „ransomware”. Jak podkreślają eksperci PwC w ostatnich 12 miesiącach w 96% średnich i dużych przedsiębiorstw działających w Polsce doszło do ponad 50 cyberataków.   Metody cyberataków stale ewoluują i identyfikowane są przez intruzów nowe sposoby wyłudzania środków finansowych od atakowanych przedsiębiorstw i klientów indywidualnych. Jeszcze kilka lat temu głównym sposobem wyłudzania środków finansowych były ataki phishingowe. Tego typu ataki polegały na infekowaniu komputerów użytkowników bankowości internatowej za pomocą złośliwego oprogramowania,  do którego uruchomienia użytkownicy byli namawiani przez odpowiednio spreparowane maile. Po zainfekowaniu komputera, sprawcy modyfikowali w locie zlecane transakcje przez użytkowników, przechwytywali dane uwierzytelniające pozwalające na autoryzacje transakcji w imieniu użytkowników lub za pomocą odpowiednio spreparowanych komunikatów socjotechnicznych nakłaniali nieświadomych klientów do wysłania przelewu na wskazany numer konta.   „Dzisiaj intruzi coraz częściej sięgają po kolejne metody wyłudzania środków finansowych związane z szantażowaniem.  Od kilku lat obserwowane jest nasilanie zagrożenia związanego z wyłudzaniem środków pieniężnych za pomocą oprogramowania ransomware. Złośliwe oprogramowanie po zainstalowaniu na komputerze użytkownika, szyfruje pliki i nakłania użytkownika do zapłacenia określonych środków pieniężnych w zamian za odszyfrowanie danych” – mówi Piotr Urban, partner w PwC, lider zespołu Cyber Security PwC.   W przypadku braku zapłaty użytkownik straci dostęp do zaszyfrowanych danych lub dane zostaną opublikowane narażając na wizerunek użytkownika i jego przedsiębiorstwo.   W przypadku dużych przedsiębiorstw - dane użytkowników i dane produkcyjne często są odpowiednio zabezpieczone na okoliczność utraty poprzez określone backupy danych.  Zaszyfrowane i utracone dane mogą być sprawnie odzyskane. Wydawać się może, że przedsiębiorstwa są odporne na tego typu zagrożenia, ale czy tak jest faktycznie?   „Odzyskiwanie danych w przypadku ich zaszyfrowania za pomocą złośliwego oprogramowanie ransomware to tylko połowa sukcesu. Istotna jest reputacja przedsiębiorstwa, która narażona może być w przypadku wycieku wykradzionych informacji lub ujawnienia informacji o incydencie związanych z infekcjami i utratą danych. Ponadto intruzi mogą instalować dodatkowe komponenty złośliwego oprogramowania pozwalającego na zdalny dostęp do zainfekowanego środowiska IT,  nie wspominając o przestojach systemów produkcyjnych wynikających z infekcji lub odseparowania w celu rozwiązania problemu i ograniczenia zagrożenia oraz potencjalnych strat” – mówi Tomasz Sawiak, wicedyrektor w zespole Cyber Security PwC.     Jak działa oprogramowaniem ransomware o nazwie WanaCryptor (WannaCry)?   Fala infekcji złośliwym oprogramowaniem WanaCry zbiera żniwo od piątku 12 maja. Wiele dużych międzynarodowych firm zostało dotkniętych atakiem.   Komputery mogą być infekowane podobnie jak w większości tego typu przypadków przez odpowiednio spreparowane maile zachęcające do uruchomienia przez użytkowników dokumentów lub plików infekujących system, ale to co wyróżnia obserwowany atak to jest wbudowany w złośliwe oprogramowanie mechanizm samo-propagacji umożliwiający na samoistnie rozprzestrzenianie się infekcji z zainfekowanego komputera na pozostałe w środowisku IT. Mechanizm infekcji wykorzystuje znaną lukę w oprogramowaniu Windows załataną przez Microsoft w modyfikacji bezpieczeństwa MS17-010 w marcu tego roku. Niestety aktualizacja oprogramowania i proces instalacji łat zajmuje w dużych środowiska IT wiele czasu, nadal w nich występuje wiele podatnych komputerów.  Dodatkowo stacje robocze użytkowników z podatnymi systemami Windows mogą również zostać zainfekowane wskutek łączenia się do publicznych niezaufanych sieci WIFI, w których występują inne zainfekowane komputery.  Złośliwe oprogramowanie na zainfekowanych komputerach może samodzielnie się aktualizować instalując swoje kolejne warianty ukrywające się przed standardowymi metodami detekcji infekcji.   Podstawową zasadą postępowania w tego typu przypadkach (w przypadku braku zagrożenia życia) jest brak wchodzenia w dialog z intruzami i niepłacenie okupu.   W celu ograniczenia zagrożenia infekcji i aktywności złośliwego oprogramowania WanaCry warto jest rozważyć następujące działania:

• Natychmiastowa separacja zainfekowanych stacji roboczych od pozostałych komponentów infrastruktury IT przedsiębiorstwa.
• Ograniczenie możliwości komunikacji komponentów infrastruktury z siecią Internet za pomocą protokołu SMB wykorzystywanego do udostępniania i współdzielenia plików (zablokowanie publicznej komunikacji internetowej do/z portów 137, 139, 445).
• Ograniczenie możliwości wykorzystania wersji protokołu SMBv1 do współdzielenia plików wewnątrz całej infrastruktury IT.
• Ograniczenie możliwości uruchamiania niepodpisanych makr w dokumentach Microsoft Office  za pomocą ustawień polityki grupowej i dozwolenie wykonywania tylko dopuszczonych i odpowiednio podpisanych makr.
• Upewnienie się, że dostęp zdalny do infrastruktury IT odbywa się z wykorzystaniem VPN i dwu składnikowego mechanizmu uwierzytelnienia (tzw. 2FA - Two Factor Authentication)
• Identyfikacja i ograniczenie dostępu komponentów infrastruktury bez zainstalowanej poprawki MS17-010 do kluczowych aplikacji i komponentów infrastruktury IT przedsiębiorstwa.  Implementacja łat MS17-010 na wszystkich podatnych komponentach infrastruktury IT.
• Wymuszenie aktualizacji sygnatur antywirusowych.
• Zapewnienie możliwości rozwiązywania nazw i komunikacji stacji roboczych z domenami blokującymi  (tzw. domeny „kill switch”) aktywność szyfrowania w najpopularniejszej wersji złośliwego oprogramowania WanaCry.
• Monitorowanie komunikacji i nieblokowanie rozwiązywania domen: iuqerfsodp9ifjaposdfjhgosurijfaewrwergweacom oraz ifferfsodp9ifjaposdfjhgosurijfaewrwergweacom).
• Stałe edukowanie i podnoszenie świadomości pracowników w obszarze złośliwego oprogramowania i wektorów ataków z elementami socjotechniki.

     Źródło obrazka: