×
QA trends 2019 PL miniatura

Pobierz nasz raport i bądź na bieżąco z najnowszymi trendami QA, Cyberbezpieczeństwa, IoT czy DevOps!

POBIERZ

Ransomware: długi powrót do normalności

Cyberbezpieczeństwo

Czym jest ransomware? To złośliwe oprogramowanie, szyfrujące dysk twardy i wymuszające opłatę okupu w zamian za dostęp do danych, profesjonalny generator kosztów i zmora przedsiębiorców.

O ransomware wiele się mówi: że często występuje, że generuje koszty, że terroryzuje działy IT szyfrowaniem dysków i ogólnie, jest trudny do usunięcia. Niby łatwo się przed nim zabezpieczyć – tzn. wystarczą szkolenia z zakresu dobrych praktyk cyberbezpieczeństwa i pewne rozwiązania informatyczne – ale nie ma tygodnia, w którym nie słyszy się o kolejnych ofiarach tego typu złośliwego oprogramowania.

W raporcie X-Force „Threat Intelligence Index 2021” specjaliści IBM biją na alarm podkreślając, że w ostatnim roku ransomware stanowiło największe zagrożenie w dziedzinie bezpieczeństwa danych, będąc odpowiedzialnym za aż 23% ataków. Europa natomiast była największym celem geograficznym hakerów. 

Wydawać by się mogło, że przedstawione przez IBM informacje powinny wzbudzić w nas pewne emocje i poczucie obawy o własne dane. Jednak dość często tak nie jest, ponieważ w środowisku biznesowym panuje pewien mit „zbawiennego backupu”. Brzmi on następująco: jeżeli masz kopie zapasową, nie musisz martwić się o skutki ataku:. zakładając, że robisz backup codziennie – co jest standardem w środowisku korporacji – wystarczy odtworzyć dane na swoje miejsce, kupić informatykom więcej kawy i w ciągu kilku godzin (lub dni) wszystko będzie działało. W najgorszym wypadku straci się dobę pracy zespołu. 

Niestety, o tak szybkim powrocie do normalności można sobie tylko pomarzyć. Prawda jest taka, że przywrócenie danych z backupu stanowi tylko niewielki ułamek procesu usuwania szkód powstałych z powodu ransomware. Proces usuwania tego oprogramowania jest długi, niesie ze sobą pewne konsekwencje prawne i w żadnym momencie nie może być przyspieszony. 

Ransomware to nie tylko szyfrowanie danych

Jak sama nazwa wskazuje, ransomware jest oprogramowaniem, które wymusza opłatę okupu w zamian za dostęp do własnych danych. W tradycyjnym rozumieniu modus operandi tego typu oprogramowania, po przedostaniu się na urządzenie ransomware zaczyna proces szyfrowania  danych (poza systemem operacyjnym, ponieważ ten musi działać w kolejnym etapie). Gdy już zaszyfruje odpowiednią ilość plików przechodzi do etapu wymuszania opłaty okupu, najczęściej w kryptowalucie BitCoin. Brak opłaty wiąże się z permanentną utratą danych, ponieważ zaszyfrowanych danych nie można użyć w jakikolwiek sposób.

Tak było mniej więcej do 2020 roku, kiedy to furorę w branży cyber zrobił nowy typ ransomware – LockBit, który poszerzył sposób działania tego typu oprogramowania o dodatkowy etap: kopiowanie danych. Obecnie, gdy ransomware atakuje system trzeba się liczyć nie tylko z utratą danych, ale też z tym, że haker posiada ich kopię.

Koszty, koszty

Według danych IBM, średni koszt naruszenia spowodowanego atakiem szantażującym lub atakiem z użyciem destrukcyjnego oprogramowania oscyluje pomiędzy 4,44 a 4,52 milionów dolarów. Na pierwszy rzut oka te cyfry mogą się wydawać wygórowane (jeżeli nie astronomiczne), ponieważ łatwo wyobrazić sobie tylko pewną część szkód: np. stratę dnia pracy zespołu, opóźnienie w wykonaniu zadań, czas pracy specjalistów podczas usuwania oprogramowania, downtime związany z brakiem funkcjonowania systemów informatycznych, itp. – jednak to tylko wierzchołek góry lodowej. 

Po pierwsze, przy każdym ataku typu ransomware trzeba zakładać, że haker posiada kopię naszych danych. Z punktu widzenia bezpieczeństwa oznacza to, że wszelkie dokumenty poufne, plany, strategie i własność intelektualna jest dostępna dla każdego, ponieważ nawet po opłaceniu okupu nie mamy gwarancji, że hakerzy dotrzymają słowa i nie opublikują dane w celu dalszej monetyzacji łupu.

Po drugie, wycieki danych niosą konsekwencje prawne. Pracownicy, partnerzy biznesowi i inne podmioty, które ucierpiały wskutek wycieku danych, mogą domagać się zadośćuczynienia od podmiotu, od którego dane wyciekły. Tutaj furtka prawna jest prawdziwym generatorem kosztów. Ponadto (tutaj cynicznie zacytuję treść notatki okupu LockBita) należy „nie zapominać o RODO” i potencjalnych karach, jeżeli się okaże, że wyciek danych był spowodowany brakiem adekwatnego zabezpieczenia systemów. UODO może też ukarać przedsiębiorcę, jeżeli ten nie poinformuje wszystkich ofiar o wycieku danych – a tych mogą być setki lub tysiące, zależnie od wycieku. Taka sytuacja automatycznie wpływa na wizerunek firmy i niestety może wiązać się z utratą zaufania klientów i partnerów biznesowych. Straty są trudne do przewidzenia, choć jeszcze w 2019 r. ABI Research na zlecenie firmy Canon przygotowało badanie z którego wynika, że niemal 90% menedżerów uważa, że wskutek wycieku danych stracą maksymalnie połowę rocznych dochodów firmy. Natomiast realna kwota jest bliższa… utraty dochodów od roku do siedmiu lat.

Po trzecie, prędkość powrotu do normalności po ataku ransomware wcale nie zależy od posiadania dobrych backupów i umiejętności ich odtworzenia. Tak naprawdę, zbyt wczesne odtworzenie danych może skutkować ich całkowitą utratą. Aby odtworzyć środowisko produkcyjne, informatycy przede wszystkim muszą się pozbyć wszelkich pozostałości ransomware, aby upewnić się, że backupy podłączone do sieci nie zostaną zaatakowane. W praktyce oznacza to, że każdy komputer, serwer lub dysk twardy (włącznie z każdym pendrive’em) musi być przeskanowany lub wyczyszczony. Jak można sobie wyobrazić, jest to czasochłonny i bardzo kosztowny proces, którego nie da się przyspieszyć. 

Początek procesu powrotu do normalności

O tym, że ransomware przedostał się do sieci ofiary najczęściej dowiadują się dopiero po fakcie. Najczęściej wykrywają go systemy monitorowania plików, które mogą zauważyć nietypowy dostęp do danych, czyli anomalię w zachowaniu. W innych przypadkach ransomware pozostaje zupełnie niezauważony aż do momentu, gdy pojawi się notatka okupu na ekranie komputera. 

Pojawienie się takiej notatki oznacza, że pliki na komputerze użytkownika już są bezużyteczne. Oznacza to również, że ransomware prawdopodobnie zaatakował wszelkie systemy znajdujące się wewnątrz sieci: komputery, serwery, macierze. 

Pierwszym krokiem w kierunku usunięcia ransomware jest kwarantanna, czyli oddzielenie zainfekowanego komputera od sieci i wyłączenie go, aby nie stał się źródłem rozprzestrzeniania się złośliwego oprogramowania. Drugim krokiem jest błyskawiczna analiza, dokąd ransomware mógłby powędrować, czyli wyłączenie potencjalnie zainfekowanych serwerów i innych urządzeń sieciowych. Dla większości firm oznacza to jedno: sparaliżowanie produkcji.

Czasami może się okazać, że wszystkie urządzenia funkcjonują w jednym segmencie sieci, co oznacza, że praktycznie wszystkie maszyny (szczególnie z systemem operacyjnym Microsoft Windows) muszą zostać wyłączone. Jeżeli np. połowa urządzeń działa w innych segmentach, te powinny jak najszybciej przejść aktualizacje definicji antywirusa, skanowanie antywirusowe i antymalware’owe, co stanowczo ograniczy ich wydajność. Suma summarum, w najlepszym wypadku część przedsiębiorstwa będzie funkcjonować na powolnych obrotach. W najgorszym wypadku wszyscy poza informatykami mogą jechać na wakacje.

Usuwanie ransomware

Usuwanie ransomware wcale nie jest proste. Każdy potencjalnie zainfekowany komputer trzeba potraktować jako stracony, tzn. całkowicie oczyścić dysk twardy z danych. Przy użyciu odpowiednich urządzeń, może to potrwać kilka godzin, zależnie od pojemności dysków.

Po oczyszczeniu dysków informatycy muszą przejść do instalowania systemu operacyjnego i wszelkiego oprogramowania, które wcześniej funkcjonowało na komputerze. Jest to jednoznaczne z odzyskiwaniem licencji, które czasami trudno jest przywrócić. Ten proces może zabrać kilka godzin lub dni, zależnie od sposobu zarządzania systemami IT w firmie i powinien być pomnożony o ilość zainfekowanych urządzeń.

Ze względów bezpieczeństwa nie zaleca się używania skanerów anty-malware na urządzeniach skompromitowanych w celu kontynuowania używania tego samego komputera po rzekomym oczyszczeniu. Ransomware dość skrupulatnie potrafi uniknąć rozpoznania i przyłączenie takiego komputera z powrotem do sieci może spowodować powrót problemu w całej firmie. Co więcej, podłączenie dysku twardego z backupem do potencjalnie skompromitowanego urządzenia może spowodować, że ransomware wykryje kolejny dysk i ten również zostanie zaszyfrowany – czyli stracimy również backup.

Przywracanie danych

Jeżeli jesteśmy absolutnie pewni, że wszelkie dyski, które potencjalnie mogły być zainfekowane zostały „wyzerowane”, a Windows ponownie wgrany, można przejść do etapu przywracania danych na swoje miejsce.

Tutaj wielką niespodzianką mogą być same kopie zapasowe. O ile przedsiębiorstwo zainwestowało w porządne (i sprawdzone!) rozwiązania backupowe, proces odtworzenia danych może trwać kilka godzin lub dni, zależnie od ich ilości i typu rozwiązania. 

Czasami podczas odtwarzania danych okazuje się, że kopie zapasowe są wadliwe, ponieważ dysk, na którym zapisano dane nie jest w najlepszym stanie technicznym. W innych wypadkach backupy mogą nie przejść procesu walidacji, tzn. sprawdzianu integralności danych. Backup może się z nich w ogóle nie odtworzyć, lub zawierać błędy, które przeszkodzą w pełnym odtworzeniu systemu. W teorii takie sytuacje nie powinny się wydarzyć, ale teoria to nie praktyka i każde oprogramowanie może posiadać błędy (bugi) o których nawet producent mógłby nie wiedzieć.

Dokumentacja i działania post factum

Po odtworzeniu danych i przywróceniu działania systemów istotne jest stworzenie pełnej dokumentacji ataku (którą warto zacząć tworzyć częściowo już w trakcie ataku). Taka dokumentacja powinna zawierać informacje dotyczące tego jak doszło do ataku, które systemy zostały skompromitowane, jakie dane znajdowały się na tych systemach i kto (jakie podmioty) mogły ucierpieć w wyniku wycieku danych. 

Celem dokumentacji jest wyciągnięcie wniosków na przyszłość oraz wybranie strategii kontaktu z ofiarami ataku: pracownikami, partnerami biznesowymi, kontrahentami, klientami, a czasem nawet potencjalnymi klientami, z którymi np. prowadziło się negocjacje. Im dokładniejsza dokumentacja, tym lepiej dla przedsiębiorstwa w oczach Urzędu Ochrony Danych Osobowych (UODO).

Najbardziej dotkliwym etapem może być sam kontakt z poszkodowanymi, ponieważ nie ma dobrego sposobu na dostarczenie złych wieści. „Pana/Pani/Państwa dane i wszelkie dokumenty w naszym posiadaniu mogą być w domenie publicznej” z pewnością spotka się z utratą zaufania wielu osób. UODO natomiast może doszukać się takich rzeczy jak braku procedur, nieadekwatnego zabezpieczenia systemów lub braku poinformowania/opieszałości w zawiadomieniu odpowiednich służb i ofiar, co naraża podmiot na kary.

Jak nie powtórzyć błędów

Jeżeli kilkutygodniowy, jeżeli nie kilkumiesięczny downtime nie wyczerpie możliwości finansowych firmy, utrata własności intelektualnej i procesy sądowe od poszkodowanych mogą stanowić poważny uszczerbek na finansach. To samo można powiedzieć o procesie odbudowywania renomy firmy w oczach klientów i partnerów biznesowych: będzie to proces długi i generujący koszty. Wzmożone działania marketingowe, audyty bezpieczeństwa, ulepszanie procedur, szkolenie pracowników (aby nie powtórzyć sytuacji) to tylko kilka obszarów i działań, o których warto jest pamiętać.

Najgorsza w tej sytuacji może być świadomość, że wszystkiemu można było zapobiec dosłownie za ułamek kosztów, które teraz się poniosło. Szkolenia z zakresu cyberbezpieczeństwa dla pracowników to drobny wydatek w porównaniu do nawet jednego tygodnia downtime’u. To samo można powiedzieć o audytach procedur i bezpieczeństwa danych, jak i inwestycji w sprawdzone systemy backupowe. Niestety te obszary dość często są traktowane jak składki na ZUS lub ubezpieczenia, czyli niechciany wydatek z którego zwrotu prawdopodobnie nigdy się nie doczeka. Naturalnie, jest to wielki błąd.

Ransomware przedostaje się do sieci firmowych głównie przez błąd człowieka – pracownicy codziennie są bombardowani phishingiem i różnego rodzaju atakami socjotechnicznymi, które niekoniecznie rozpoznają i niekoniecznie wiedzą jak się im oprzeć. Jedno kliknięcie w plik powoduje lawinę procedur i kosztów, których przedsiębiorca prawdopodobnie nie oszacował. Błędy w konfiguracji systemów zdarzają się każdemu i brak audytu bezpieczeństwa może spowodować, że jeden zainfekowany komputer zarazi całą firmę.

Mając to wszystko na uwadze można zauważyć, że przedział 4,44 a 4,52 milionów dolarów jako koszt naruszenia danych od badaczy IBM-a wcale nie jest taką wygórowaną sumą. Gdy weźmie się pod uwagę wszelkie firmy (nawet największe korporacje), procedury i czas powrotu do normalności po ataku typu ransomware, od razu widać, że mamy powód, aby poważniej traktować te cyfry. Co więcej, mamy też racjonalny powód, aby przynajmniej troszeczkę obawiać się o nasze dane. Grunt, aby się nie spełniło przysłowie, „mądry Polak po szkodzie”.

Oceń artykuł:

Paweł Wałuszko

Paweł Wałuszko 16.03.2021

Doświadczony administrator sieci i propagator rozwiązań IT ze środowiska Doliny Krzemowej. Absolwent Uniwersytetu Kalifornijskiego w Berkeley, Uniwersytetu Stanforda i RANEPA; współorganizował projekty transferu wiedzy takie jakie jak „Poland-Silicon Valley Entrepreneurship Exchange” oraz projekt „Recreating Silicon Valley” na Uniwersytecie Stanforda. Odpowiedzialny za rozwój produktów i ochronę danych, projektował i wdrażał rozwiązania informatyczne dla środowiska akademickiego i biznesu w Europie i USA. Obecnie zajmuje się biznesowymi powiązaniami Doliny Krzemowej z krajami Europy Środkowo-Wschodniej: wymianą wiedzy, rozwojem produktów i edukacją w zakresie bezpieczeństwa w cyberprzestrzeni. W Polsce i poza granicami kraju znany z licznych wykładów poświęconych przeciwdziałaniu atakom socjotechnicznym, kultywowaniu kultury bezpiecznej pracy z danymi poufnymi oraz wczesnego wykrywania anomalii. Pasjonat technologii open-source, współpracuje ze startupami w zakresie tworzenia i zabezpieczania rozwiązań geolokalizacyjnych.

Comments are closed.
Wyszukaj
Kategorie