Wektory ataków stale ewoluują i identyfikowane są przez intruzów nowe sposoby wyłudzania środków finansowych od atakowanych przedsiębiorstw i klientów indywidualnych. Jeszcze kilka lat temu głównym sposobem wyłudzania środków finansowych były ataki phishingowe. Tego typu ataki polegały na infekowaniu komputerów użytkowników bankowości internatowej za pomocą złośliwego oprogramowania, do którego uruchomienia użytkownicy byli namawiani przez odpowiednio spreparowane maile. Po zainfekowaniu komputera, sprawcy modyfikowali w locie zlecane transakcje przez użytkowników, przechwytywali dane uwierzytelniające pozwalające na autoryzacje transakcji w imieniu użytkowników lub za pomocą odpowiednio spreparowanych komunikatów socjotechnicznych nakłaniali nieświadomych klientów do wysłania przelewu na wskazany numer konta.
Dzisiaj intruzi, coraz częściej sięgają po kolejne metody wyłudzania środków finansowych związane z szantażowaniem. Od kilku lat obserwowane jest nasilanie zagrożenia związanego z wyłudzaniem środków pieniężnych za pomocą oprogramowania „ransomware”. Złośliwe oprogramowanie po zainstalowaniu na komputerze użytkownika, szyfruje pliki i nakłania użytkownika do zapłacenia określonych środków pieniężnych w zamian za odszyfrowanie danych. W przypadku braku zapłaty użytkownik straci dostęp do zaszyfrowanych danych lub dane zostaną opublikowane narażając na wizerunek użytkownika i jego przedsiębiorstwo. Znane są przypadku, w których, gdy użytkownik nie zapłacił określonej sumy przechwycone przez intruzów i wrażliwe dane były publikowane.
W przypadku dużych przedsiębiorstw - dane użytkowników i dane produkcyjne często są odpowiednio zabezpieczone na okoliczność utraty poprzez określone backupy danych. Zaszyfrowane i utracone dane mogą być sprawnie odzyskane. Wydawać się może, że przedsiębiorstwa są odporne na tego typu zagrożenia, ale czy tak jest faktycznie? Odzyskiwanie danych w przypadku ich zaszyfrowania za pomocą złośliwego oprogramowanie ransomware to tylko połowa sukcesu. Istotna jest reputacja przedsiębiorstwa, która narażona może być w przypadku wycieku wykradzionych informacj lub ujawnienia informacji o incydencie związanych z infekcjami i utratą danych. Ponadto Intruzi mogą instalować dodatkowe komponenty złośliwego oprogramowania pozwalającego na zdalny dostęp do zainfekowanego środowiska IT, nie wspominając o przestojach systemów produkcyjnych wynikających z infekcji lub odseparowania w celu rozwiązania problemu i ograniczenia zagrożenia oraz potencjalnych strat.
Dlaczego obserwowana od 14 Maja 2017r. fala infekcji złośliwym oprogramowaniem ransomware o nazwie WannaCryptor (WannaCry) zbiera tak duże żniwa?
Komputery mogą być infekowane podobnie jak w większości tego typu przypadków przez odpowiednio spreparowane maile zachęcające do uruchomienia przez użytkowników dokumentów lub plików infekujących system, ale to co wyróżnia obserwowany atak to jest wbudowany w złośliwe oprogramowanie mechanizm samo-propagacji umożliwiający na samoistnie rozprzestrzenianie się infekcji z zainfekowanego komputera na pozostałe w środowisku IT. Mechanizm infekcji wykorzystuje znaną lukę w oprogramowaniu Windows załataną przez Microsoft w upadacie bezpieczeństwa MS17-010 w marcu tego roku. Niestety aktualizacja oprogramowania i proces instalacji łat zajmuje w dużych środowiska IT wiele czasu, nadal w nich występuje wiele podatnych komputerów. Dodatkowo komputery użytkowników z podatnymi systemami Windows mogą również zostać zainfekowane wskutek łączenia się do publicznych niezaufanych sieci WIFI, w których występują inne zainfekowane komputery. Złośliwe oprogramowanie na zainfekowanych komputerach może samodzielnie się aktualizować instalując swoje kolejne warianty nakrywające się przed standardowymi metodami detekcji infekcji - systemy antywirusowymi.
Pamiętajmy, że zasadą postępowania w tego typu przypadkach (w przypadku braku zagrożenia życia) jest brak wchodzenia w dialog z intruzami i niepłacenie okupu.
W celu ograniczenia zagrożenia infekcji i aktywności złośliwego oprogramowania WannaCry warto jest rozważyć następujące działania:
Natychmiastowa separacja zainfekowanych stacji roboczych od pozostałych komponentów infrastruktury IT przedsiębiorstwa.
Sprawdzona, pogłębiona i kompleksowa wiedza dla MŚP
Ograniczenie możliwości komunikacji komponentów infrastruktury z siecią Internet za pomocą protokołu SMB wykorzystywanego do udostępniania i współdzielenia plików (zablokowanie publicznej komunikacji internetowej do/z portów 137, 139, 445).
Ograniczenie możliwości wykorzystania wersji protokołu SMBv1 do współdzielenia plików wewnątrz całej infrastruktury IT.
ograniczenie możliwości uruchamiania niepodpisanych makr w dokumentach Microsoft Office za pomocą ustawień polityki grupowej i dozwolenie wykonywania tylko dopuszczonych i odpowiednio podpisanych makr.
Upewnienie się, że dostęp zdalny do infrastruktury IT odbywa się z wykorzystaniem VPN i dwu składnikowego mechanizmu uwierzytelnienia (tzw. 2FA - Two Factor Authentication)
Tomasz Sawiak, wicedyrektor zespołu Cybersecurity&Technology PwC Polska
