Ostatnie miesiące były dla cyfrowych agresorów czasem żniw. Według badania VMware to ataki ransomware były główną przyczyną naruszeń cyfrowego bezpieczeństwa w organizacjach. Średnia liczba tego typu ataków w ciągu ostatniego roku podwoiła się. O ransomware jest ciągle głośno. Jeden z największych ataków przeprowadzono w maju, gdzie grupa cyberprzestępcza DarkSide zaatakowała amerykańską firmę paliwową Colonial Pipeline, która transportuje prawie połowę paliwa zużywanego na wschodnim wybrzeżu USA. Taki incydent w infrastrukturze krytycznej i jego wpływ na codzienne życie to przykład spustoszeń, jakie może spowodować udany cyberatak.
Skala i wpływ tego ataku robią wrażenie, ale to zaledwie jeden z ataków ransomware, które miały miejsce w ciągu ostatniego roku. VMware odkryło, że cyberprzestępcy stają się coraz bardziej zorganizowani i wyrafinowani: wzrost popularności ransomware-as-a-service umożliwia coraz szerszej grupie cyberprzestępców przeprowadzanie ataków przy użyciu istniejących narzędzi. Oczywiście, zwiększa to presję, jaką już odczuwają CISO (chief information security officer), którzy muszą zabezpieczać coraz bardziej rozproszone środowiska.
Każdy jest na celowniku
Jednostka VMware Threat Analysis Unit zidentyfikowała 900% wzrost liczby ataków ransomware w pierwszej połowie 2020 roku. Cyberprzestępcy wykorzystali pośpieszne wdrażanie pracy zdalnej z wykorzystaniem urządzeń osobistych i sieci domowych. Dziś atakujący mają niezwykłą okazję do przeprowadzania ataków socjotechnicznych, takich jak phishing, na nic niepodejrzewających pracownikach.
Wszystkie branże znalazły się w zasięgu crackerów. Nieproporcjonalnie częstym celem ataków w 2020 roku był sektor opieki zdrowotnej. Z badania VMware wynika, że 1 na 5 naruszeń było spowodowane przez ransomware. W ten sam sposób, w jaki DarkSide obrał za cel krytyczną infrastrukturę państwową, inni cyberprzestępcy szukali okazji, aby wyłudzić pieniądze od przedstawicieli branży zmuszonej do płacenia okupu ze względu na charakter jej działalności.
Taktyka podwójnego wymuszenia
Nowe rodzaje ataków sprawiają, że oprogramowanie ransomware staje się coraz bardziej wyrafinowanym zagrożeniem. Przestępcy zmieniają taktykę i nie blokują już systemów, ale przeprowadzają trudne do wykrycia infiltracje. Przemieszczają się po firmowych zasobach i wydobywają dane, które dają szansę na spieniężenie, nawet jeśli okup nie zostanie ostatecznie zapłacony. Zaszyfrowanie systemu i wszelkie żądania następują dopiero wtedy, gdy sprawca zatrze ślady i stworzy możliwość powrotu do atakowanej sieci.
Daje to cyberprzestępcom jeszcze większą kontrolę nad poszkodowanymi. Oprócz konieczności odszyfrowania swoich systemów organizacje muszą liczyć się z możliwością wystawienia ich krytycznych danych, takich jak dane klientów lub tajemnice handlowe, na sprzedaż w darknecie – przez co dodatkowo atak zostanie upubliczniony. Ryzyko utraty reputacji oznacza, że presja na płacenie okupu jest często ogromna. Co więcej, jeżeli obecność krakera w sieci organizacji nie zostanie całkowicie usunięta, prawdopodobnie powróci on i dokona kolejnego ataku, jeśli cel wykazał gotowość do zapłaty.
Społeczność cyberprzestępców kapitalizuje rosnącą rentowność takiego podejścia — prawie 40% specjalistów ds. bezpieczeństwa twierdzi, że atak z podwójnym wymuszeniem okupu jest najczęściej obserwowaną nową techniką oszustw ransomware w 2020 roku.
Lepsza ochrona przed ransomware (opcjonalnie)
W miarę jak firmy przystosowują się do wsparcia pracowników zdalnych, crackerzy rozszerzają zakres ataków, CISO (odpowiedzialni za bezpieczeństwo) mają jedyną w swoim rodzaju okazję do wzmocnienia ochrony swoich organizacji.
- Bezpieczeństwo jako usługa rozproszona: Aby chronić pracowników w każdym miejscu, bez względu na to, z jakich urządzeń i sieci korzystają, należy zapewnić kontrolę punktów krańcowych i sieci. Należy potraktować bezpieczeństwo jako usługę rozproszoną, która podąża za chronionymi zasobami w całym środowisku organizacji.
- Priorytet widoczności: Lepsza widoczność punktów końcowych i obciążeń roboczych zapewnia kontekstowy wgląd i pozwala wykorzystać inteligencję sytuacyjną, co pomaga w określaniu priorytetów i usuwaniu zagrożeń.
- Regularne śledzenie zagrożeń: Pierwszym krokiem wieloetapowej kampanii ransomware jest uzyskanie niewykrytego dostępu do sieci. Regularne poszukiwania zagrożeń pozwolą wykryć ciche wtargnięcia i obecność cyberprzestępców w środowisku poprzez zauważenie anomalii w zachowaniu.
- “Ciche” monitorowanie w celu uniknięcia reakcji na kontrincydent: Należy założyć, że przeciwnik ma wiele sposobów na uzyskanie dostępu do środowiska. Przed podjęciem działań należy obserwować i czekać — nie należy od razu rozpoczynać blokowania złośliwego oprogramowania lub wyłączania systemów C2 (command & control), dopóki nie będzie pewności, że zna się wszystkie możliwe drogi ponownego wtargnięcia.
- Współpraca z partnerem odpowiedzialnym za reagowanie na incydenty: To nie kwestia tego, czy, ale kiedy organizacje staną się celem ataku, dlatego tak ważne jest przygotowanie. Warto zaangażować partnera IR (Incident Response) w celu opracowania strategii przeciwdziałania incydentom i powierzenie mu jej realizacji w razie potrzeby. Plan ten powinien obejmować naprawę i analizę po incydencie, aby wyeliminować wszelkie pozostałości obecności przeciwnika i uniknąć powtórnych ataków.
W miarę jak organizacje przebudowują swoje podejście do bezpieczeństwa, obrona przed oprogramowaniem ransomware powinna być priorytetem, ponieważ wpływ i zakres ataków rośnie. Pracownicy zdalni muszą być wspierani strategiami bezpieczeństwa, które umożliwią im efektywną i spokojną pracę bez narażania infrastruktury, reputacji i pozycji firmy.
Firma VMware zleciła przeprowadzenie ankiety niezależnej organizacji badawczej Opinion Matters w grudniu 2020 roku. Przebadano 3542 CIO, CTO i CISO z firm z różnych branż, w tym: finansowej, opieki zdrowotnej, rządowej i samorządowej, handlu detalicznego, produkcji i inżynierii, żywności i napojów, usług komunalnych, usług profesjonalnych oraz mediów i rozrywki. Raport Global Security Insights Report oparty został na ankiecie online przeprowadzonej w grudniu 2020 roku wśród 3542 CIO, CTO i CISO. Raport analizuje wpływ cyberataków i naruszeń na organizacje oraz opisuje, w jaki sposób zespoły ds. bezpieczeństwa dostosowują się do tych wyzwań.
