Pod koniec każdego roku nasi eksperci analizują minione incydenty i wybierają jeden — ich zdaniem najważniejszy. Zeszły rok nazwali „rokiem ransomware”. Wiele mówiło się o takich epidemiach ransomware jak WannaCry, ExPetr i odrobinę mniej sławnej Bad Rabbit, a co najmniej jeden z nich był programem szyfrującym.
Chociaż wspomniane incydenty pojawiły się nieoczekiwanie i zaskoczyły wielu użytkowników, nasi eksperci przewidzieli ten trend już w 2016 roku. Costin Raiu i Juan Andres Guerrero-Saade napisali w prognozach na 2017 rok, które zostały opublikowane w serwisie Securelist, że spodziewają się pojawienia się ransomware, które będzie mogło zablokować dostęp do plików lub systemu lub usunąć je i nakłonić ofiary do zapłacenia okupu, nie dając nic w zamian”.
Przypomnijmy sobie najważniejsze lekcje z tych ataków.
Inne funkcje szkodliwych programów
O wspomnianych epidemiach stało się głośno, ponieważ szkodliwe programy szyfrowały nie jeden komputer, lecz wszystkie urządzenia w sieci. Było to możliwe dzięki lukom ujawnionym przez grupę hakerską Shadow Brokers.
Jednak przed wystąpieniem epidemii istniały już łaty, które przed nią chroniły — a mimo to nie zostały one zainstalowane na wielu urządzeniach. Co więcej, niektórzy atakujący wykorzystują je jeszcze teraz (niestety z powodzeniem).
Lekcja 1. Instaluj aktualizacje tuż po ich udostępnieniu, zwłaszcza jeśli mają one związek z bezpieczeństwem.
Mniej istotne systemy
Wśród ofiar programów szyfrujących znalazło się wiele systemów, które były podatne na atak ransomware tylko dlatego, że nikt nie wpadł na to, że trzeba je zabezpieczyć. Część tych systemów była zainstalowana na urządzeniach dostarczających informacje oraz w automatach sprzedających. Mówiąc szczerze, w systemach takich nie znajduje się nic, co można by zaszyfrować, ale także nikt nie byłby skłonny zapłacić za ich odszyfrowanie.
W przypadkach tych atakujący nie wybierali swoich celów — infekowali wszystkich po kolei. Rozmiar szkód był duży, a ponowna instalacja systemów operacyjnych wymaga wiele czasu.
Lekcja 2. Chroń wszystkie elementy swojej infrastruktury krytycznej.
Sabotaż zamiast wymuszenia
ExPetr nie miał mechanizmu umożliwiającego identyfikację konkretnej osoby, co oznaczało, że nawet przy dobrej woli atakujących nie mogli oni udostępnić ofiarom klucza szyfrowania. Dlatego można założyć, że ich celem było spowodowanie tak dużej szkody, jak to tylko możliwe, a każdy zapłacony okup był tylko miłym bonusem.
To po raz kolejny potwierdza, że płacenie okupu nie jest sposobem na odzyskanie dostępu do danych.
Lekcja 3. Prawdziwym sposobem, aby nie utracić swoich danych, jest wykonywanie kopii zapasowych i zainstalowanie produktów zabezpieczających zawczasu.
Mamy nadzieję, że wyciągnięcie wniosków z tych trzech lekcji pozwoli zminimalizować szkody podobnych ataków w przyszłości. Według naszych ekspertów w 2018 roku cyberprzestępcy nadal będą używać szyfrujących szkodliwych programów w rodzaju ExPetr: będą ich używać jako cyberbroni służącej do niszczenia informacji. Więcej informacji na ten temat znajdziesz na tym poście w serwisie Securelist.