Cyberbezpieczeństwo 
Do najczęstszych cyberzagrożeń branży produkcyjnej należy oprogramowanie wymuszające okup, ataki na łańcuch dostaw, zagrożenia wewnętrzne, wyłudzanie informacji oraz ataki z wykorzystaniem inżynierii społecznej. W 2023 r...
Publikowany w dniu 17 kwietnia, 2023
Zrozumienie ataków z użyciem oprogramowania wymuszającego okup jest pierwszym krokiem do zapobiegania skutecznym atakom na organizację. Aby zapobiegać atakom z użyciem oprogramowania wymuszającego okup, organizacje muszą stosować silne procedury bezpieczeństwa, obejmujące regularne tworzenie kopii zapasowych systemu i szkolenie pracowników w celu unikania oszustw socjotechnicznych oraz inne środki.
Czytaj dalej, aby dowiedzieć się więcej o atakach z użyciem oprogramowania wymuszającego okup, i co organizacje mogą zrobić, aby chronić się przed tego typu atakami.
Czym jest atak z użyciem oprogramowania wymuszającego okup?
Oprogramowanie wymuszające okup to rodzaj złośliwego oprogramowania, które szyfruje pliki urządzeń i blokuje użytkownikom dostęp do systemu do momentu zapłacenia cyberprzestępcy okupu. Cyberprzestępca obiecuje, że jeśli ofiara zapłaci okup, umożliwi jej odszyfrowanie plików, aby mogła odzyskać do nich dostęp. Jednak należy pamiętać, że atakujący nie zawsze dotrzymują słowa. Niektórzy atakujący posuwają się nawet do publikowania lub sprzedaży skradzionych poufnych danych w dark webie, nawet po zapłaceniu okupu. Płacenie okupu nie daje gwarancji, że dane organizacji będą bezpieczne.
Dlaczego wzrasta liczba ataków z użyciem oprogramowania wymuszającego okup?
Ataki z użyciem oprogramowania wymuszającego okup stają się coraz powszechniejsze z wielu powodów, w tym:
- They require little technical expertise to launch. Less technically sophisticated attackers can even purchase Ransomware-as-a-Service (RaaS) packages on dark web forums.
- W przeciwieństwie do naruszeń danych, w których cyberprzestępcy muszą najpierw ukraść dane, a następnie znaleźć chętnych nabywców, oprogramowanie wymuszające okup niemal natychmiast przynosi korzyści finansowe.
- Mimo to wiele ofiar decyduje się na zapłacenie okupu. W 2022 r. atakujący z użyciem oprogramowania wymuszającego okup zmusili ofiary do zapłacenia co najmniej 456,8 mln USD.
Koszt ataków z użyciem oprogramowania wymuszającego okup
Ataki z użyciem oprogramowania wymuszającego okup są coraz bardziej kosztowne. Średni koszt takiego ataku wynosi 4,54 mln USD. Oprócz kosztów bezpośrednich, takich jak okup i naprawy uszkodzonych systemów, organizacje ponoszą znaczne koszty pośrednie związane z koniecznością ograniczenia operacji lub czasowego zamknięcia w trakcie napraw. Średni czas przestoju spowodowany atakiem z użyciem oprogramowania ransomware wynosi 9 dni, ale niektórym organizacjom nie udaje się przetrwać takiego ataku i są zmuszane do trwałego zamknięcia.
Chociaż ubezpieczenie cybernetyczne może pokryć niektóre z tych kosztów, organizacje nie mogą liczyć, że polisy cybernetyczne przywrócą je do sprawnego działania po ataku z użyciem oprogramowania wymuszającego okup. Typowa polisa ubezpieczeniowa nie obejmuje kar prawnych za naruszenie wymogów zgodności (takich jak norma PCI Data Security Standard (PCI DSS) i ustawa Health Insurance Portability and Accountability Act (HIPAA)), ataków spowodowanych szkodliwymi działaniami wewnętrznymi, w tym przez niezadowolonych pracowników, byłych pracowników i dostawców zewnętrznych; wpływu finansowego szkód na reputację lub wszystkich straty organizacji spowodowanych przestojem.
Jeśli organizacja musi zostać zamknięta na dłuższy czas lub jeśli podczas ataku zostanie naruszona cyfrowa własność intelektualna (IP), organizacje mogą ponieść nieodwracalne szkody.
Pojawiające się zagrożenie podwójnym wymuszeniem
Podwójne wymuszenie, znane również jako publiczne zawstydzenie, ma miejsce, gdy cyberprzestępcy nie tylko szyfrują dane ofiary, ale także je kradną, a następnie grożą ich opublikowaniem lub sprzedażą w dark webie, jeśli okup nie zostanie zapłacony. Podwójne wymuszenie skutecznie przekształca ataki z użyciem oprogramowania wymuszającego okup w naruszenia danych.
MŚP i samorządy miejskie są narażone na wysokie ryzyko ataku z użyciem oprogramowania wymuszającego okup
Gdy pojawiło się oprogramowanie wymuszające okup, ofiarami były zazwyczaj bardzo duże przedsiębiorstwa. Działo się tak, ponieważ ofiary miały wystarczająco duże zasoby finansowe, aby zapłacić okup. Jednak duże firmy mogą również pozwolić sobie na wzmocnienie zabezpieczeń w celu zapobiegania przyszłym atakom. Cyberprzestępcy, po napotkaniu utrudnień w postaci kompleksowych zabezpieczeń cybernetycznych w większych przedsiębiorstwach, zwrócili swoją uwagę na małe i średnie firmy (MŚP), a także władze stanowe i miejskie, które nie mogą sobie pozwolić na wprowadzenie takiego samego poziomu zabezpieczeń.
Nie oznacza to, że duże przedsiębiorstwa są odporne na ataki z użyciem oprogramowania wymuszającego okup. W pierwszym kwartale 2023 r. miała miejsce seria ataków na duże korporacje, w tym między innymi Dole Food Company i Dish Network.
Czy organizacje powinny płacić okup?
To, czy organizacja powinna zapłacić okup, wywołuje wiele dyskusji, nawet wśród specjalistów ds. cyberbezpieczeństwa. Ubezpieczyciele cybernetyczni często zachęcają ofiary do zapłacenia okupu, ponieważ większość polis obejmuje okup. Niektórzy specjaliści ds. bezpieczeństwa twierdzą, że koszty okupu są zazwyczaj niższe niż koszty odzyskiwania danych, zwłaszcza w przypadku MŚP, które nie mogą sobie pozwolić na przedłużone przestoje. Przestoje w placówkach opieki zdrowotnej i agencjach rządowych mogą stanowić zagrożenie dla zdrowia i życia ludzkiego.
Inni specjaliści ds. bezpieczeństwa, a także większość organów ścigania, twierdzą, że płacenie okupu jedynie zachęca do przyszłych ataków, a zapłata nie gwarantuje przywrócenia systemu. Ponadto w przypadkach podwójnego wymuszenia cyberprzestępcy nadal posiadają skradzione dane. Niezależnie od obietnic zniszczenia danych po otrzymaniu okupu, nadal mogą je sprzedać, opublikować lub wykorzystać jako punkt wyjścia do przyszłych ataków, takich jak naruszenie firmowej poczty e-mail (BEC).
Przy tak dużym ryzyku optymalnym rozwiązaniem jest przede wszystkim zapobieganie atakom z użyciem oprogramowania wymuszającego okup.
Jak zapobiegać atakom z użyciem oprogramowania wymuszającego okup?
Oprogramowanie antywirusowe i większość systemów zarządzania tożsamością i dostępem (IAM) niewiele dają w zakresie ochrony organizacji przed oprogramowaniem wymuszającym okup. Ochrona przed oprogramowaniem wymuszającym okup wymaga wieloaspektowego, proaktywnego podejścia.
Oto kilka działań, które organizacje powinny podjąć w celu zapobiegania atakom z użyciem oprogramowania wymuszającego okup.
Wykonuj regularne kopie zapasowe systemu
Regularne tworzenie kopii zapasowych systemu jest niezbędne nie tylko do odzyskania danych po incydencie z wymuszeniem okupu lub innym cyberataku, ale także po katastrofalnych awariach systemu i uszkodzeniu sprzętu.
Szkol pracowników, aby unikali oszustw socjotechnicznych
Ponieważ wiele prób wymuszenia okup jest podejmowanych poprzez wiadomości phishingowe, szkolenie pracowników w zakresie unikania wyłudzania informacji i innych oszustw socjotechnicznych jest kluczowym krokiem w zapobieganiu atakom z oprogramowaniem wymuszającym okup. Nie jest to jednak złoty środek, ponieważ ataki siłowe prześcignęły próby wyłudzania informacji i stały się najczęstszą metodą wprowadzania oprogramowania wymuszającego okup na urządzenia ofiar.
Ataki siłowe wykorzystują metodę prób i błędów do odgadnięcia danych uwierzytelniających i innych poufnych informacji. Ten rodzaj ataku jest jeszcze skuteczniejszy, jeśli pracownicy wielokrotnie używają tych samych haseł na wielu kontach, używają słabych haseł lub udostępniają hasła współpracownikom w sposób niezabezpieczony.
Zabezpieczaj hasła pracowników
Słabe i naruszone hasła są największym zagrożeniem dla cyberbezpieczeństwa organizacji, a dodatkowo napędzają one ataki siłowe, które są najczęstszą metodą wprowadzania oprogramowania wymuszającego okup na urządzenia ofiar. W rzeczywistości złe nawyki pracowników dotyczące haseł stoją za przeważającą większością naruszeń danych.
Podczas ataku siłowego cyberprzestępcy uzyskują listę haseł skradzionych w wyniku naruszenia danych, a następnie próbują wykorzystać je do naruszenia serwerów i punktów końcowych, zazwyczaj za pomocą botów. Ponieważ tak wiele osób używa słabych, popularnych i łatwych do odgadnięcia haseł i używa ich wielokrotnie na różnych kontach, ataki te są bardzo skuteczne.
Atakom siłowym można zapobiec, nakazując pracownikom używanie silnych, niepowtarzalnych haseł do wszystkich kont, używanie uwierzytelniania wieloskładnikowego (MFA) na wszystkich kontach, które je obsługują, oraz korzystanie z menedżera haseł. Menedżer haseł to narzędzie, które może pomóc pracownikom w generowaniu haseł, zapewniając jednocześnie bezpieczeństwo w zaszyfrowanym magazynie haseł. Dzięki rozwiązaniu do zarządzania hasłami nie trzeba się martwić o ponowne używanie haseł przez pracowników lub używanie słabych haseł.
Zainwestuj w rozwiązanie do monitorowania dark web
Nawet jeśli użytkownik jest sumienny w używaniu silnych, niepowtarzalnych haseł, jego hasło może zostać naruszone. Ofiary naruszenia danych zazwyczaj są ostatnimi, które wiedzą, że hasła zostały skradzione. Średni czas spędzany na „zwiedzaniu”, czyli okres między początkowym naruszeniem a momentem jego wykrycia przez firmę, to 11 dni. Czas „zwiedzania”, który znacznie przekracza tę średnią, nie jest rzadkością.
Z tego powodu usługi monitorowania dark web, takie jak BreachWatch®, są niezbędne do zapobiegania atakom z użyciem oprogramowania wymuszającego okup. W ramach tych usług skanowane są fora dark web, w wyniku czego firmy otrzymują powiadomienie w czasie rzeczywistym, jeśli hasła pracowników zostały wystawione na sprzedaż, co umożliwia administratorom IT natychmiastowe wymuszenie resetowania haseł.
Jak Keeper pomaga organizacjom w zapobieganiu atakom z użyciem oprogramowania wymuszającego okup?
Platforma do zarządzania hasłami i bezpieczeństwa Keeper Security, oparta na architekturze zero-knowledge zapewnia organizacjom pełny wgląd w praktyki pracowników w zakresie haseł, umożliwiając administratorom IT monitorowanie wykorzystania haseł w całej organizacji i egzekwowanie użycia silnych, niepowtarzalnych haseł, uwierzytelniania dwuskładnikowego (2FA), kontroli dostępu opartej na rolach (RBAC) i innych zasad bezpieczeństwa. Keeper obsługuje również wiele standardów zgodności, w tym HIPAA, DPA, FINRA, NCUA i RODO.
Każdy pracownik otrzymuje prywatny, zaszyfrowany magazyn cyfrowy, do którego może uzyskać dostęp z dowolnego urządzenia przy użyciu hasła głównego – jedynego hasła, które pracownik będzie musiał zapamiętać. Menedżer haseł Keeper generuje silne, niepowtarzalne hasła dla każdego konta i automatycznie wypełnia pola logowania na stronach internetowych i w aplikacjach. Pracownicy nie mają już powodu, aby ponownie używać haseł lub używać słabych haseł, a administratorzy IT mają widoczność niezbędną do zapewnienia zgodności.
Administratorzy IT mogą całkowicie dostosować uprawnienia pracowników za pomocą precyzyjnej kontroli dostępu na podstawie ról i obowiązków, a także skonfigurować foldery udostępnione dla poszczególnych działów, zespołów projektowych lub innych grup.
Dla lepszej ochrony organizacje mogą wdrożyć wartościowe dodatki, takie jak Keeper Secure File Storage, który umożliwia pracownikom bezpieczne przechowywanie i udostępnianie dokumentów, zdjęć, filmów, certyfikatów cyfrowych i kluczy SSH oraz BreachWatch, który skanuje fora dark web i powiadamia administratorów IT o naruszeniu haseł pracowników podczas publicznego naruszenia danych.
Wdrożenie rozwiązania Keeper zajmuje tylko kilka minut, wymaga minimalnego bieżącego zarządzania i umożliwia zmianę skali działania w celu zaspokojenia potrzeb organizacji każdej wielkości. Rozwiązania Keeper do zarządzania hasłami dla firm i przedsiębiorstw pomagają tysiącom firm na całym świecie zapobiegać cyberatakom związanym z hasłami, poprawiać produktywność i egzekwować zgodność z wymowagmi.
