Atak ransomware, w przypadku którego hakerzy zaszyfrowują dane i żądają okupu za ich odblokowanie, to jedna z czarnych wizji, które spędzają przedsiębiorcom sen z oczu. Co zrobić, gdy już się wydarzy - czy należy zapłacić okup, żeby odzyskać dostęp do danych?
Szybkie działanie
Eksperci firmy Fortinet radzą, żeby w razie ataku ransomware przede wszystkim ograniczyć jego szkodliwy wpływ. Trzeba więc działać szybko. W pierwszej kolejności należy odizolować urządzenie, na którym uruchomiony jest proces szyfrujący dane – najlepiej po prostu je wyłączyć. Następnie należy odłączyć zaatakowany sprzęt od sieci i innych urządzeń działających w jej obrębie. W ten sposób można zapobiec atakom horyzontalnym, w przypadku których ransomware rozprzestrzenia się poprzez sieć z jednego urządzenia na drugie.
– Wyciągając wtyczkę z gniazdka, można powstrzymać dalsze rozprzestrzenianie się ransomware’u. Warto wcześniej podzielić sieć na segmenty. Wdrożenie takiego modelu okazuje się faktycznie przydatne, gdy konieczne jest szybkie, łatwe i skuteczne odłączenie części sieci od pozostałej infrastruktury – wyjaśnia Aamir Lakhani, strateg i badacz zajmujący się bezpieczeństwem globalnym w FortiGuard Labs firmy Fortinet.
Następnie należy zidentyfikować typ złośliwego oprogramowania, które zainfekowało system. Zazwyczaj nie jest to zaszyfrowanie danych wyłącznie przez ransomware – proces ten jest zwykle ostatnim aktem większego ataku. Zrozumienie, jakiego rodzaju złośliwe oprogramowanie zostało użyte, może pomóc w opracowaniu rozwiązania albo nawet użyciu klucza deszyfrującego, który może być już dostępny dla określonego typu ransomware’u.
Aby skutecznie odzyskać dane, firma musi mieć wdrożone odpowiednie procedury, zakładające przede wszystkim systematyczne tworzenie kopii zapasowych (backup). Jeśli operacja ta odbywa się kilka razy dziennie, usuwanie skutków ataku ransomware może kosztować tylko kilka godzin pracy.
– Dla sukcesu tej operacji nie ma znaczenia, czy do tworzenia kopii danych wykorzystywane będą usługi backupu w chmurze czy repozytorium ulokowane w siedzibie firmy. Najważniejsze jest, że firma będzie mogła uzyskać dostęp do plików z kopii zapasowej, korzystając z urządzenia, które nie jest narażone na atak – mówi Aamir Lakhani.
Płacić czy nie płacić
Przestępcy chętnie przeprowadzają ataki ransomware, ponieważ przynoszą im one duże korzyści, a koszty takiej operacji są niewielkie. Według Deloitte cyberatak kosztujący miesięcznie 34 dolary może przynieść zysk w wysokości nawet 25 tys. dolarów. W tym kontekście warto zastanowić się, jak zniechęcić hakerów do ataków. We Francji, zgodnie z oficjalnym stanowiskiem tamtejszych władz, agencja ANSSI zaleca, żeby nie płacić okupów. Jednak przestrzeganie tej zasady w praktyce nie zawsze jest łatwe. Przywołajmy przykład z 2020 r., gdy żandarmeria narodowa zaangażowała się w negocjacje dotyczące okupu oczekiwanego przez przestępców od międzynarodowej firmy transportowej.
– Firma będąca ofiarą, stojąc wobec perspektywy utraty milionów euro w efekcie zatrzymania jej działalności operacyjnej, zdecydowała się zapłacić okup. Dzięki informacjom zebranym przez policję podczas negocjacji udało się schwytać sprawców – mówi Aleksander Kostuch, ekspert firmy Stormshield.
Aamir Lakhani przestrzega, że nawet w razie zapłaty okupu może się okazać, że przestępcy nie odblokują danych. Wtedy firma straci i dane i pieniądze. W dodatku dostanie łatkę łatwego celu.
– Władze i przedstawiciele branży cyberbezpieczeństwa zdecydowanie odradzają płacenie okupu. Zapłata nie gwarantuje bowiem odzyskania plików. W dodatku może ośmielić hakerów do atakowania kolejnych firm, zachęcić inne podmioty przestępcze do zaangażowania się w dystrybucję oprogramowania ransomware lub sfinansować nielegalne działania innego rodzaju – mówi Aamir Lakhani.
Ofiary ataków ransomware, które czują się zmuszone do zapłacenia cyberprzestępcom, często zastanawiają się, czy jest to legalne. Jednak nie ma przepisów zabraniających płacenia okupu w sytuacji, gdy dane czy systemy są zablokowane przez przestępców.
Lepiej zapobiegać
Aby uniknąć ataku ransomware, warto poważnie traktować szkolenia z zakresu cyberbezpieczeństwa i zachęcać do nich innych pracowników. Co jeszcze jest ważne?Należy unikać klikania podejrzanych hiperłączy i dbać o znajomość zasad cyberhigieny. Pliki można pobierać wyłącznie z zaufanych źródeł, natomiast wiadomości e-mail trzeba skanować w poszukiwaniu złośliwego oprogramowania. Warto też stosować zapory ogniowe (firewall) i produkty zabezpieczające urządzenia końcowe zintegrowane z mechanizmami analizy zagrożeń. Nie można też zapomnieć - w przypadku ważnych danych - o tworzeniu kopii zapasowych . Eksperci zalecają ponadto korzystanie z VPN podczas połączenia z publicznymi sieciami wi-fi oraz opracowanie planu reagowania na incydenty.
– Warto pamiętać, że nie ma czegoś takiego jak maksymalne cyberbezpieczeństwo systemu, w którym nie można zhakować witryny, a wady są wykrywane z wyprzedzeniem. Dlatego cały czas musimy podejmować wysiłki, żeby stawiać jak najlepsze bariery chroniące sieci i zasoby organizacji. Celem tego działania jest jak największe zniechęcenie przestępców i dążenie do sytuacji, w której koszt cyberataku pozostanie wyższy niż jego potencjalne korzyści – podsumowuje Aleksander Kostuch.