Ransomware – taka piękna katastrofa

Co zarząd każdej firmy powinien wiedzieć o atakach ransomware i dlaczego branża finansowa powinna martwić się o to bardziej?

Odpowiedź na postawione powyżej pytanie jest w zasadzie prosta – atak ransomware jest obecnie jednym z największych zagrożeń dla biznesu. Niewiele jest takich, które mogą sponiewierać firmę równie skutecznie jak udany atak ransomware.

Taki atak to koszt utraconych danych lub pieniędzy na okup bez pewności, że dane zostaną odzyskane, poważnie nadszarpnięta reputacja firmy oraz ewentualne konsekwencje prawne, jeśli atakujący opublikują pozyskane informacje.

Każda organizacja, niezależnie od swojej wielkości czy rodzaju prowadzonej działalności może trafić na celownik hakera i ostatecznie paść ofiarą ataku. Cyberprzestępcy nie są wybredni i nie dyskryminują.

Ransomware służy wymuszeniu okupu. Wystarczy zainfekowanie jednego komputera złośliwym oprogramowaniem, by rozeszło się ono po całej firmowej sieci. Następnie złośliwy program szyfruje pliki i wyświetla informację z żądaniem okupu. Samodzielna deszyfracja jest praktycznie niemożliwa. Ofiara jest zdana na łaskę hakera. Zapłacenie szantażyście nie gwarantuje odzyskania danych. Firmy, które nie chcą negocjować, mają niepowtarzalną szansę zobaczyć swoje największe tajemnice w sieci na ogólnodostępnych stronach.

Udany atak ransomware to sytuacja szczególnie niebezpieczna dla firm z sektora usług finansowych. W ich przypadku utrata zaufania klientów może stanowić bardzo, ale to bardzo poważny problem. Z takim kłopotem musiał zmierzyć się np. Bank Inwestycyjny Morgan Stanley. Przedstawiciele banku dopiero w lipcu tego roku przyznali, że w styczniu podczas ataku ransomware z jego baz wykradziono numery ubezpieczeń społecznych oraz poufne dane osobowe klientów korporacyjnych. Według dostępnych informacji nic nie zostało przez hakerów udostępnione w sieci. Przynajmniej na razie.

Ale jak do tego doszło?

Zazwyczaj, do ataku tego typu dochodzi z powodu ludzkiej niefrasobliwości. Systemy infekowane są najczęściej za pomocą wiadomości phishingowych, załączników lub linków. Czasami „dziurawe” jest oprogramowanie serwera (Tak stało się właśnie w przypadku Morgan Stanley. Cyberprzestępcy uzyskali dostęp do jego systemów, włamując się do serwera obsługiwanego przez zewnętrznego dostawcę.) Jedno nieopatrzne kliknięcie w podejrzany załącznik, odwiedziny na niezabezpieczonej stronie internetowej, a nawet odczytanie zainfekowanego pendrive’a USB i wirus hula po firmowej sieci.

Szczególnie ten ostatni sposób wart jest uwagi. Nie jest bowiem tak, że użytkownicy są zupełnie nieświadomi zagrożeń. Wiele osób z wielką ostrożnością podchodzi do dziwnych wiadomości i nie zagląda na podejrzane strony naprawdę zachowując ostrożność. Ale kto oprze się sprawdzeniu, co jest na pendrivie znalezionym tuż przy dziale księgowości, na którym widnieje etykietka „Lista płac zarządu”?

Ransomware nie atakuje od razu. Bardzo często nim się objawi, działa w ukryciu. Najpierw gromadzi wszelkie firmowe dane i wysyła je na serwery przestępców. W tym samym czasie hakerzy ostrożnie infiltrują zawartość firmowych dysków, by mieć pewność, że gra jest warta świeczki. A potem biorą zakładników.

Czas pandemii, czyli hakerskie żniwa

Według rocznego raportu na temat globalnego bezpieczeństwa cybernetycznego w 2020 roku przygotowanego przez renomowany serwis Statista na całym świecie miało miejsce łącznie 304 miliony ataków ransomware. Był to wzrost o 62% w porównaniu z rokiem poprzednim.

Jaka jest wysokość okupu? Dla każdej firmy inna. Wszystko zależy oczywiście od wielkości firmy. Należy pamiętać, że zapuszczając wirusa w firmową sieć, hakerzy mają dostęp do najgłębiej skrywanych informacji, również finansowych i to nie tylko tak ekscytujących jak „Lista płac zarządu”.

Warto natomiast przyjrzeć się ogólnemu kosztowi ataków tego typu na całym świecie, który uwzględnia nie tylko wypłacone okupy, ale także np. przerwy w działalności związane z zablokowaniem systemów komputerowych, odszkodowania, utracone kontrakty etc.

27 kwietnia 2021 zajmująca się cyberbezpieczeństwem firma Sophos ogłosiła wyniki przeprowadzonego  na całym świecie badania „The State of Ransomware 2021”^[1]. Zgodnie z danym zebranymi przez Sophos ​​średni całkowity koszt powrotu firmy do życia po ataku ransomware wzrósł ponad dwukrotnie w ciągu roku, z 761 106 USD w 2020 r. do 1,85 mln USD w 2021 r. Średnia zapłacona kwota okupu to 170 404 USD. Statystyki pokazują również, że tylko 8% organizacji zdołało odzyskać wszystkie swoje dane po zapłaceniu okupu, a 29% odzyskało nie więcej niż połowę swoich danych.

W wypadku polskich firm z raportu Sophos wynika, że spadł wprawdzie odsetek firm zaatakowanych – doświadczyło tej nieprzyjemności „tylko” 13% przedsiębiorstw w porównaniu z 28% rok wcześniej. I jest to jeden z najniższych wskaźników na świecie (średnio 37% wobec 51% w roku minionym).

Ile to kosztuje w złotych? Jak ustalił Sophos średni koszt ataku, jaki ponosi polska firma to… 1,49 mln zł. Mowa oczywiście o średniej. Jednak 46% polskich średnich i dużych przedsiębiorstw straciło do od 50 do 254 tys. zł. Ale aż 31% przyznało, że ich straty zamknęły się w kwocie od 2,5 do 5 mln zł.

Duże pieniądze zawsze kuszą

Nie wszystkie firmy są dla cyberprzestępców równie interesujące. W pierwszym kwartale 2021 r. prawie 25% ataków phishingowych na całym świecie wymierzonych było przeciwko instytucjom finansowym. Na drugim miejscu znalazły się firmy oferujące usługi SaaS i pocztowe (23,6% ataków) – takie dane podaje wspomniany wcześniej serwis Statista. Te dwie branże są wiec najczęściej atakowanymi.

Przedstawicieli sektora finansowego zainteresują zapewne wyniki innego badania. Firma Carbon Black (część VMware), zajmująca się cyberbezpieczeństwem, opublikowała w maju 2020 roku raport „Modern Bank Heist”.  W raporcie czytamy między innymi, że od początku lutego do końca kwietnia 2020 roku ataki na sektor finansowy wzrosły o 238%! Przypomnijmy, to czas, w którym na świecie na dobre rozhulała się pandemia.

Według firmy ubezpieczeniowej Allianz kluczowym powodem tak intensywnych ataków na branżę usług finansowych jest fakt, że instytucje z tego obszaru dysponują wieloma poufnymi informacji o firmach, osobach fizycznych i rządach. A przy okazji dysponują zazwyczaj także sporymi pieniędzmi.

Podstawowe wnioski z raportu „Modern Bank Heist”:

• 80% ankietowanych instytucji finansowych zgłosiło wzrost liczby cyberataków w ciągu ostatnich 12 miesięcy.
• 82% ankietowanych instytucji finansowych stwierdziło, że działania cyberprzestępców są coraz bardziej wyrafinowane.
• 33% ankietowanych instytucji finansowych zauważyło, że w ciągu ostatnich 12 miesięcy zetknęło się z atakiem wykorzystującym metodę „islands hopping” (z ang. przeskakiwanie wysp). To metoda polegająca na tym, że atakuje się nie bezpośrednio upatrzoną firmę, ale jej partnerów z łańcucha dostaw. Dopiero po niezauważalnym zainfekowaniu kolejnych „wysp”, haker dostaje się do celu.

Jak się bronić?

Jak już napisałem hakerzy nie dyskryminują, ale statystyki pokazują, że mają swoje preferencje, stąd branża finansowa jest jedną z najbardziej zagrożonych. I mało jest prawdopodobne, by straciła tę niepożądaną „popularność”. Co nie znaczy, że zarządy innych firmy mogą spać spokojnie. Dlatego tak samo ważne są wdrożenie licznych reguł bezpieczeństwa i… edukacja.

Zacznijmy od tego drugiego. Edukując pracowników należy im przypominać, by nigdy nie klikali „dziwnych” linków z jeszcze dziwniejszych źródeł, unikali podawania danych osobowych przez telefon, nie otwierali podejrzanych załączników, nie używali nieznanych pamięci USB i używali tylko oficjalnych źródeł pobierana programów. To elementarne zasady bezpieczeństwa, które często jednak umykają w ferworze walki z Excelem.

Na szczeblu organizacji należy pamiętać, że:

• rozwagi wymaga stosowanie rozwiązań chmurowe, które w dużej mierze opierają się na wtyczkach innych firm. Dostawca chmury musi być jak żona Cezara – poza wszelkimi podejrzeniami. Najlepiej jest unikać rozwiązań, które wymagają do działania wielu wtyczek firm trzecich oraz takich, które na barki usługobiorcy zrzucają ciężar aktualizacji i poprawek bezpieczeństwa.
• oprogramowanie ransomware nie polega już tylko na szyfrowaniu plików w celu wymuszenia okupu. Coraz częściej pierwszym „cichym” etapem jest kradzież danych, a dopiero potem zaszyfrowanie plików. Napastnikowi udaje się w ten sposób upiec dwie pieczenie na jednym ogniu – dostanie okup, a dane sprzeda w dark webie. Hakerzy nie grymaszą – atakują pracowników każdego szczebla. Nie potrzebują dostępu do laptopa prezesa. Potrzebują jakiegokolwiek dostępu do sieci, przez jakikolwiek połączony z nią komputer firmowy.
• wymuszone przez COVID-19 wprowadzenie pracy zdalnej zwiększają ryzyko udanego ataku. Błędy konfiguracji, swobodny zdalny dostęp do sieciowych dysków, brak VPN – to jak proszenie się o kłopoty.
• ataki ransomware to nie tylko problem techniczny. To przede wszystkim problem olbrzymi problem wizerunkowy. Oczywiście, od strony finansowej może być to również wyzwanie, ale dla instytucji zajmującej się pieniędzmi klientów, informacja o tym, że utraciła ich dane może być gwoździem do trumny.
• żadna firma nie jest odporna na oprogramowanie ransomware, ale można zmniejszyć ryzyko dbając o kopie danych. Dlatego kluczowe jest zarządzanie nimi. Strategia tworzenia kopii zapasowych musi być bardzo precyzyjna, a procedury ściśle przestrzegane. Po pierwsze, kopie zapasowe powinny być oddzielone od sieci podstawowej. Po drugie, kopie zapasowe powinny być regularnie sprawdzane, tak by w razie ataku można było bez trudu przywrócić firmę do życia.

Nie zanosi się na to, by ransomware zniknął. Trendy pokazują coś zupełnie przeciwnego. Jedyne co można zrobić, to próbować minimalizować ryzyko i chronić zasoby robiąc kopie kopii i jeszcze jedną kopię na zapas. Czy to kosztowne? Zapewne tak. Ale utrata reputacji boli znacznie bardziej. A i pieniędzy szkoda.

Więcej o tym, jak przygotować firmę i jak zabezpieczyć swoje dane przed atakami ransomware możesz usłyszeć na nagraniu wystąpienia Pawła Chruśniaka [kliknij tutaj aby obejrzeć nagranie], które miało miejsce w ramach Kongresu Forum Technologii Bankowych 2021

[1] Badanie „State of Ransomware 2021” przeprowadzone zostało przez Vanson Bourne w styczniu i lutym 2021 r. Wzięło w nim udział z 5,4 tys. respondentów, głównie specjalistów IT w 30 krajach, w tym w Polsce. Respondenci pochodzili z firm zatrudniających od 100 do 5 tys. pracowników.