Ransomware to coraz popularniejsze źródło dochodu przestępców. Od kiedy w 2012 r. wykryto pierwszy wariant wirusa Police Locker, wiele odmian tego rodzaju szkodliwego kodu osiągnęło bardzo zaawansowany poziom. Niektóre potrafią szyfrować nie tylko pliki w zainfekowanym komputerze, ale także w napędach sieciowych, zewnętrznych nośnikach pamięci czy nawet zmapowane napędy chmurowe.

Ostatnie śledztwa prowadzone przez FBI pokazały, że autorzy ransomware zaczynają chętnie korzystać z usług anonimizujących, jak Tor, do komunikacji między zainfekowanym komputerem a giełdami kryptowaluty Bitcoin w celu opłacenia okupu. Na pewno nie jest to ostatnie słowo przestępców. Możemy spodziewać się kolejnych, coraz bardziej zaawansowanych odmian ransomware. Stąd konieczne jest stosowanie skutecznych metod ochrony na wielu poziomach, m.in. sieci.

Podstawową sprawą jest stosowanie wielowarstwowych zabezpieczeń. Ochrona przed ransomware i innymi szkodliwym oprogramowaniem nie może się ograniczać do zabezpieczenia bramki sieciowej i urządzeń końcowych. Istotne jest rozszerzenie bezpieczeństwa poprzez stosowanie systemów antywirusowych, IDS i innych technologii. Wdrożenie wielu warstw zabezpieczeń powoduje, że eliminuje się słabe punkty w architekturze bezpieczeństwa.

Warto wprowadzić segmentację firmowej sieci. Większość ransomware po zainfekowaniu urządzenia próbuje się rozsyłać do pozostałych urządzeń w danej sieci. Segmentacja sieci i umieszczenie krytycznych urządzeń i aplikacji w odizolowanej sieci lub VLAN-ie może znacznie ograniczyć ekspansję ransomware.

Można też wskazać szereg bardziej szczegółowych zaleceń:

1. Stosuj silne filtry antyspamowe, aby zapobiec atakom typu phishing (blokowanie fałszywych wiadomości zanim dotrą do użytkowników). Przychodzące wiadomości warto uwierzytelniać z użyciem takich technologii, jak Sender Policy Framework (SPF), Domain Message Authentication Reporting and Conformance (DMARC) czy DomainKeys Identified Mail (DKIM), aby zapobiec podszywaniu się przestępców pod prawdziwych nadawców.

2. Skanuj wszystkie przychodzące i wychodzące e-maile, aby wykrywać zagrożenia i blokować pliki wykonywalne zanim dotrą do użytkowników końcowych.

3. Skonfiguruj zapory sieciowe tak, aby blokowały dostęp do adresów IP, o których wiadomo, że służą przestępcom.

4. Aktualizuj aplikacje, systemy operacyjne oraz firmware w urządzeniach. Rozważ korzystanie z centralnego rozwiązania do zarządzania aktualizacjami.

5. Ustaw oprogramowanie antywirusowe tak, aby regularnie wykonywało automatyczne skany.

6. Zarządzaj kontami użytkowników o podwyższonych uprawnieniach. Żaden użytkownik nie powinien mieć przyznanych praw administratora, jeśli nie jest to konieczne. Natomiast użytkownicy z kontami administratorów powinni ich używać tylko, jeśli jest to konieczne.

7. Korzystaj z mechanizmów kontroli dostępu, włączając w to dostęp do plików, katalogów oraz udziałów sieciowych. Użytkownikom nadawaj minimalne uprawnienia wymagane do ich pracy. Jeśli użytkownik potrzebuje tylko odczytać określone pliki, nie powinien mieć nadawanych praw do zapisu tych plików, katalogów czy udziałów sieciowych.

8. Wyłącz obsługę makr w plikach dokumentów przesyłanych pocztą elektroniczną.

9. Rozważ korzystanie z oprogramowania typu Office Viewer zamiast pełnego pakietu Microsoft Office do otwierania dokumentów przesyłanych w e-mailach.

10. Stosuj takie zabezpieczenia, jak Software Restriction Policies (SRP), aby zapobiec uruchamianiu ransomware z popularnych dla tego typu wirusów lokalizacji, np. folderów tymczasowych używanych przez przeglądarki internetowe czy programy do kompresji plików. Warto też dodać do listy wykluczeń foldery AppData/LocalAppData.

a) Rozważ wyłączenie protokołu Remote Desktop Protocol (RDP), jeśli nie jest używany.

11. Stosuj białe listy aplikacji, dzięki którym w systemie uruchamiane będą tylko wybrane, zaakceptowane aplikacje.

12. W miarę możliwości uruchamiaj systemy operacyjne i aplikacje w maszynach wirtualnych.

13. Podejrzane pliki umieszczaj w kwarantannie i analizuj. Technologie typu Sandbox umożliwiają zbadanie zagrożenia zanim dotrze do sieci. Podejrzane pliki mogą być przechowywane w bramce internetowej do momentu weryfikacji. Jeśli okażą się faktycznym zagrożeniem, można je usunąć oraz wprowadzić dodatkowe reguły, np. zablokować komunikację z adresami IP, z których dany plik został pobrany.

14. Kategoryzuj dane na podstawie ich wartości dla firmy, a następnie zastosuj fizyczną i logiczną separację sieci, aby oddzielić dane wykorzystywane przez różne jednostki organizacje w firmie.

15. Zabezpiecz nie tylko komputery z system Windows, ale również urządzenia mobilne z systemem Android. Są one coraz częstszym celem ataków ransomware.

Oprócz stosowania całej gamy zabezpieczeń technologicznych nie można zapomnieć o szkoleniach dla pracowników. To bodaj najistotniejszy element ochrony przed ransomware. Celem takich szkoleń jest wpojenie podstawowych zasad bezpiecznego korzystania z komputera i Internetu.

Podziel się na:
  • Facebook
  • Google Bookmarks
  • LinkedIn