Ransomware - konsekwencje nieopłacenia okupu
Ransomware - co to jest?
Ransomware to złośliwe oprogramowanie, które po włamaniu na nasz komputer lub serwer szyfruje pliki. Niestety wiele firm wciąż nie posiada kompletnej kopii zapasowej, która w takich sytuacjach może uratować od konsekwencji finansowych i innych.
Program typu ransomware skanuje pliki w poszukiwaniu plików do zaszyfrowania. Celem są pliki, które program uzna za ważne dla danego przedmiotu. Oto lista niektórych skanowanych typów plików: .xlsx, .docx,.jpeg, .png, .jpeg, .gif, .dwg, .sql, .ai, .m4a, .mp4.
Dodatkowym problemem jest możliwość upublicznienie przez włamywacza tych danych, które mogą zawierać dane osobowe lub nawet dane wrażliwe.
Ransomware - możliwe konsekwencje dla usługi hostingowej.
Scenariusze związane z możliwościami postępowania w takiej sytuacji opiszemy poniżej. W tym punkcie chcemy się skupić na tym, jaki wpływ na usługi hostingodawcy może mieć nieopłacenie okupu lub zlekceważenie ataku przez klienta na jego domenę.
Co wspólnego może mieć hosting i działanie strony internetowej z zaszyfrowanymi plikami? Cyberprzestępcy w ramach zemsty mogą dokonać zmasowanych ataków DDos na adres IP domeny. Jeśli jednak zostanie on przeniesiony na inny adres IP, wówczas atak może zostać skierowany na całą klasę IP danego usługodawcy hostingu, aby zwiększyć szanse na zablokowanie domeny klienta. Przy okazji cierpią pozostali klienci, którzy mają swoje strony www, pocztę elektroniczną pod daną klasą adresów IP. Skutek jest tym bardziej groźny, gdyż zamiast jednego klienta, problem dotyczy wszystkich. Brak poczty, stron internetowych, to obecnie w czasie cyfrowego przesyłania informacji bardzo duży problem. Oczywiście, jako usługodawca hostingowy, próbujemy na wszelkie sposoby zneutralizować działania cyberprzestępców, nie chcemy pozostawić żadnego z klientów bez działających usług. Atak DDos może spotkać każdego, bez względu na wybór usługodawcy. Większość małych ataków DDOS firma hostingowa jest w stanie powstrzymać, ale w przypadku większych niestety musi wyłączyć usługi.
*ataki DDoS są ukierunkowane na witryny internetowe i serwery przez naruszanie usług sieci w dążeniu do wyczerpania zasobów. Osoby przygotowujące ataki zalewają witrynę mylącym ruchem, co powoduje nieprawidłowe działanie strony internetowej/poczty lub całkowite przeniesienie jej do trybu offline.
Wyciek danych - co z tym robić?
Do tych zaszyfrowanych danych ma dostęp wrogie oprogramowanie i włamywacz. Niestety nie ma możliwości stwierdzenia, czy dane te nie zostały skopiowane. Należy jednak przyjąć, że taka możliwość nastąpiła. W związku z tym należy przeanalizować jakie to były dane. Jeżeli były to dane osobowe lub dane wrażliwe, to należy to zgłosić do UODO.
Ransomware - płacić okup, czy nie?
Pytanie, co zrobili administratorzy danych przed atakiem?
Czy były wykonywane kopie zapasowe? Jeśli tak, to gdzie były przechowywane?
Powiedzmy, że zachowaliśmy wszelkie środki bezpieczeństwa i mamy kopie danych - wówczas z całą pewnością informujemy o tym przestępców, którzy mając świadomość posiadania przez nas kopii, często rezygnują z dalszych działań.
Sytuacja ma się nieco inaczej, gdy nie posiadamy kopii danych. Wówczas należy przeanalizować, co będzie kosztowało nas więcej - zapłacenie okupu, czy ewentualne straty związane z brakiem zaszyfrowanych danych. Trzeba jednak nadmienić z doświadczenia osób, które zapłaciły okup, że nie zawsze otrzymywały one klucz do odszyfrowania plików, a czasami przestępcy żądają większej zapłaty niż początkowo.
Strona gov.pl opublikowała najważniejsze kroki, co należy zrobić przed podjęciem ostatecznej decyzji, jeśli nie mamy kopii zapasowej.
1. Odłącz urządzenie od internetu (zarówno sieci przewodowych i bezprzewodowych), ale NIE WYŁĄCZAJ zasilania (pamięć urządzenia może zawierać informacje niezbędne do analizy rodzaju ransomware)
2.Zachowaj plik z notatką dot. zaszyfrowania i okupu (ransome note) oraz przykładowe zaszyfrowane pliki;
3. Z innego urządzenia wejdź na portal NoMoreRansom.org (jest to polska strona wsparcia dla ofiar ataku ransomware). Możliwe, że znajdziesz tam deskryptor, który pozwoli na odblokowanie Twoich plików;
4. Zgłoś problem specjalistom. Jeśli nie znalazłeś pomocy na stronie NoMoreRansom.org, incydent możesz zgłosić do Zespołu Reagowania na Incydenty Bezpieczeństwa Komputerowego CSIRT NASK: https://incydent.cert.pl/
W zgłoszeniu przekaż informacje o podjętych do tej pory krokach oraz inne informacje, o które zostaniesz poproszony w formularzu.
Jak możemy zapobiec atakowi ransomware?
Przede wszystkim wykonując regularnie kopie zapasowe - zarówno po stronie usługodawcy hostingu (firmy utrzymującej nasze dane) oraz urządzeń końcowych w naszej firmie czy domu. Ważne, aby na każdym urządzeniu były zainstalowane programy antywirusowe i regularnie wykonywane aktualizacje oprogramowania. Na co dzień należy pamiętać o tym, aby nie klikać w podejrzane linki oraz ostrożnie korzystać z publicznych sieci Wi-Fi.