Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.


29.10.2021

Veritas po raz 16. liderem...

Firma Veritas Technologies, producent uznanych rozwiązań backup klasy enterprise,...
21.10.2021

Zarządzanie IT

We wrześniu BTC Sp. z o.o. zaprezentowała premierową wersję systemu eAuditor V8 AI.
21.10.2021

Konferencja VMworld

Imagine That. Pod takim hasłem w dniach 5–7 października 2021 r. odbyła się jedna z...
21.10.2021

Darmowy deszyfrator

Bitdefender wspólnie z organami ścigania opracował i wydał narzędzie, które pozwala...
21.10.2021

Dell C1422H

Dell Technologies wprowadza do oferty przenośny monitor do zwiększenia wydajności pracy w...
21.10.2021

Dysk dla cyfrowych twórców

Western Digital zaprezentowało nowy dysk – WD Blue SN750 NVMe SSD.
21.10.2021

Projektory laserowe

Optoma wprowadza serię projektorów laserowych Ultra Bright ZU1700, ZU1900, ZU2200 z...
21.10.2021

Orzeł wśród routerów

D-Link wprowadza na rynek smart router EAGLE PRO AI AX1500 R15.
21.10.2021

Nowe generacje Ryzen i Epyc

AMD 3D V-Cache. AMD zapowiada procesory Ryzen i Epyc z nowym rozwiązaniem.

Ransomware – zasady bezpieczeństwa firmy

Data publikacji: 27-07-2017 Autor: Dariusz Łydziński

Ataki typu ransomware, polegające na wymuszaniu okupu po zaszyfrowaniu ważnych plików na dyskach ofiar, stały się w ostatnich dwóch latach prawdziwą epidemią. Skala ataków rośnie gwałtownie, działania przestępców są efektywne, a programy antywirusowe często nie wykrywają tego typu zagrożeń w porę.

Pierwsze programy typu ransomware pojawiły się już ponad 25 lat temu, ale początki ich masowego rozprzestrzeniania przypadają na rok 2014. Wirus po udanym ataku ogranicza dostęp do informacji zgromadzonych w zainfekowanych systemach komputerowych i wymaga zapłacenia okupu (angielskie słowo „ransom” znaczy „okup”), aby ograniczenie zostało usunięte. Prognozy dotyczące rozprzestrzeniania się zagrożeń ransomware są zatrważające, a tego rodzaju szkodliwe oprogramowanie jest coraz częściej wykorzystywane przez zorganizowane cybergangi i jest dla nich źródłem niemałych dochodów. Szantażowani są zarówno przedsiębiorcy, duże organizacje i firmy oraz użytkownicy domowi.

Niebezpieczny kod na ogół kryje się w załączniku poczty elektronicznej, w którym rozsyłane są takie zagrożenia jak: CryptoWall, CryptoLocker, TeslaCrypt, TorrentLocker, a ostatnio WannaCry. Po infekcji (głównie stosowane są techniki inżynierii społecznej nakłaniające użytkownika do otworzenia załącznika lub kliknięcia odnośnika) szyfrowane są pliki przechowywane na dyskach lokalnych i sieciowych. Aby odzyskać dostęp do cennych zasobów, można przywrócić je z wcześniej wykonywanych kopii zapasowych, a gdy takich nie ma, zapłacić hakerowi okup.

> ROZPRZESTRZENIANIE WIRUSA

Zagrożenie trafia do użytkowników za pośrednictwem spamu. W większości przypadków wiadomości są rozsyłane za pomocą sieci typu botnet, pojedynczych skompromitowanych stacji lub serwerów oraz automatów wysyłkowych. Cyberprzestępcy tworzą fałszywe powiadomienia policji, wezwania do zapłaty, raporty podatkowe, w przeszłości podszywali się m.in. pod Pocztę Polską, firmy kurierskie, biura księgowe czy firmy budowlane. Treść wiadomości często wyglądającej bardzo wiarygodnie zazwyczaj sugerowała, że dotyczy dalszego ciągu sprawy, którą nadawca prowadził z adresatem. Po tym, jak użytkownik otworzy załącznik zawierający faktury lub inne urzędowe raporty, aktywuje się zagrożenie, które rozpoczyna szyfrowanie plików i po zakończonym procesie wyświetla plansze z informacją o żądaniu haraczu. W celu ukrycia przed systemami detekcji szkodliwej treści wykorzystywane są załączniki w postaci archiwów.

Do przeprowadzenia infekcji za pomocą malware najczęściej stosowane są języki skryptowe oraz makra umieszczane np. w dokumentach pakietu Microsoft Office lub w formacie PDF.

Do zarażenia może także dojść poprzez odwiedzenie strony WWW, która zawiera odpowiednio zmodyfikowane przez atakującego elementy – w szczególności pliki SWF oraz FLV. Należy zaznaczyć, że do infekcji może dojść nie tylko na stronach podejrzanego pochodzenia. Inną możliwością pobrania złośliwego oprogramowania żądającego okupu jest instalacja dodatków do popularnych gier. O ile w przypadku spamu z załącznikiem wymagana jest interakcja użytkownika, polegająca na kliknięciu w link, otwarciu załącznika lub uruchomieniu makra, o tyle coraz częściej można przeczytać doniesienia o wysypie zarażonych reklam, umieszczanych w znanych serwisach internetowych, takich jak: BBC, New York Times, MSN, AOL czy NFL. Nawet Google nie udało się obronić przed dostaniem się ransomware do sieci firmowej – do strony z zarażonym kodem flash kierowała usługa DoubleClick będąca nośnikiem reklam. Użycie reklam nie wymaga podejmowania żadnej czynności poza wejściem na odpowiednio spreparowaną stronę, a reklama znanej i cenionej instytucji zazwyczaj nie wzbudza nieufności użytkownika i w żaden sposób nie sugeruje, że zawiera złośliwy kod.

Typowy scenariusz ataku wygląda następująco:

 

  • atakujący rozsyła wiadomość e-mail
  • z zainfekowanym załącznikiem do pracowników wybranej organizacji;
  • dzięki wykorzystaniu mechanizmów inżynierii społecznej jedna lub więcej ofiar zostaje skłonionych do otwarcia załącznika;
  • złośliwy kod zostaje uruchomiony, łączy się z serwerem przestępców i pobiera kopię złośliwego kodu do sieci wewnętrznej;
  • ransomware po zainstalowaniu na komputerach pobiera klucz wykorzystywany do zaszyfrowania zawartości lokalnych i sieciowych nośników danych;
  • po zaszyfrowaniu danych na komputerze ofiary pojawia się informacja z żądaniem okupu w zamian za przywrócenie plików do stanu poprzedniego.


Łatwo sobie wyobrazić paraliż organizacji, gdy złośliwy kod rozprzestrzeni się w sieci i zaszyfrowanych zostanie kilkanaście lub kilkadziesiąt komputerów.

[...]

Autor specjalizuje się w rozwiązaniach e-security. Aktywnie uczestniczy w budowaniu zespołów reagowania na incydenty komputerowe. Menedżer, trener i koordynator projektów, audytor systemów zarządzania bezpieczeństwem informacji.

Artykuł pochodzi z miesięcznika: IT Professional

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"