Backupy trzeba robić dobrze. Bo inaczej będzie źle.
W Polsce niebawem przybędzie firm, które wejdą do tzw. krajowego systemu cyberbezpieczeństwa. Stanie się tak za sprawą nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa, która zaimplementuje unijną dyrektywę NIS2. Te akty prawne sprawią, że dla wielu firm analiza ryzyka i proaktywne podejście do bezpieczeństwa nie będą już tylko opcją. Będą obowiązkowe, a ich zaniedbanie będzie wiązać się z karami. Jednak nawet dla mniejszych podmiotów, które pozostaną poza tym systemem, cyberbezpieczeństwo będzie niezwykle istotne. Choćby dlatego, że w przypadku tych mniejszych podmiotów jeden atak może dosłownie zaorać firmę. Zwłaszcza atak jednego, konkretnego rodzaju.
Ransomware na szczycie listy ryzyk
Minęło już sporo czasu od wielkich i głośnych ataków ransomware’u takich jak Petya czy WannaCry, które były widoczne w skali całego świata. Z tego powodu niektórzy błędnie sądzą, że ransomware to stary problem. Niestety od tego czasu znacznie zwiększyła się liczba rodzin oprogramowania ransomware. Pojawiło się więcej grup przestępczych działających w ramach bardziej rozproszonego modelu RaaS. Oznacza to, że jedna grupa przestępcza ma dziesiątki lub setki podwykonawców dokonujących ataków w zamian za prowizję. Można powiedzieć, że rynek ransomware’u bardzo się zoptymalizował pod kątem wydajności.
Niedawny atak na EuroCert, instytucję generalnie ważną dla bezpieczeństwa, był efektem ransomware’u. Stosunkowo niewiele czasu minęło od pierwszego ataku ransomware’u na polski bank (w Zambrowie). Jednak obok tych wielkich i omawianych w prasie ataków było dużo więcej mniejszych, o których prawdopodobnie nie słyszeliście. Ten problem jest częstszy niż może się wydawać.
Skutki ataku ransomware to nie tylko utrata danych. Grupy przestępcze w ramach tzw. podwójnego wyłudzenia dodatkowo wykradają dane i publikują je na stronach w darknecie. Wszystko po to, aby zwiększyć presję na zapłacenie okupu. Dochodzi więc do wycieku danych, ale firma będąca ofiarą przestępstwa może też dostać karę za wyciek np. od Prezesa Urzędu Ochrony Danych. Tak było m.in. ze spółką American Heart of Poland. Pozwy ze strony klientów czy kontrahentów też wchodzą w grę.
W 2024 roku Polska znalazła się na 7. miejscu na świecie pod względem liczby ataków ransomware. Według danych ESET aż o 37% wzrosła liczba ataków ransomware w Polsce w II półroczu 2024 r. w odniesieniu do I półrocza. Na poniższej mapce pokazującej rozkład ataków na świecie jesteśmy – niestety – dość wyraźnym punktem.
źródło: ESET Threat Report
Dodajmy do tego wnioski z innego raportu ESET, o tym że w wielu polskich firmach nawet nie ma oprogramowania antywirusowego, a ochrona przed ransomware’em to musi być coś więcej niż antywirus.
Pierwsza sprawa – backupy
Niezależnie od tego jak przeciwdziałamy atakom na firmę, w przypadku ransomware’u pierwszym problemem jest przywrócenie danych i ciągłości działania i już na tym etapie pojawiają się problemy.
– Często okazuje się, że backupy są niekompletne, przestarzałe lub same padły ofiarą ataku. Nawet w optymalnych warunkach przywrócenie pełnej funkcjonalności systemów może zająć dni lub tygodnie, co powoduje poważne przestoje i straty finansowe dla firmy (…) Często opracowane strategie backup’owe mogą zostać zniweczone, jeśli kopie zapasowe nie są odpowiednio zabezpieczone przed manipulacją oraz nie są regularnie testowane – mówi Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET.
Przestępcy są tego świadomi i bywa, że w komunikatach o zaszyfrowaniu systemów od razu wspominają o backupach!
Notka ransomware wspominająca o kopiach zapasowych
Oczywiście ofiara zawsze ma dwie inne opcje poza odzyskiwaniem backupów. Może zapłacić okup albo spróbować odzyskać dane korzystając z publicznych kluczy do deszyfrowania publikowanych choćby w ramach inicjatywy No More Ransom. Niestety płacenie okupu może zrodzić problemy prawne tzn. może być potraktowane jako finansowanie grupy przestępczej. Z kolei publiczne klucze do deszyfrowania nie zawsze są dostępne od razu, a ich użycie również nie będzie całkiem łatwe. Wydaje się więc, że lepiej zapobiegać niż leczyć tzn. trzeba mieć testowane i dobrze zabezpieczone backupy. Czy można sobie jakoś ułatwić proces ich tworzenia i przechowywania?
Na rynku są różne rozwiązania, które mają to robić. Jednym z nowszych jest ESET Ransomware Remediation (RR). Służy ono automatycznemu tworzeniu kopii zapasowych w chronionej przestrzeni na dysku. Rozwiązanie nie opiera się na Windows Volume Shadow Copy, co eliminuje popularny wektor ataków. Pozwala także na przywracanie danych w locie bez ryzyka utraty kopii w wyniku ataku.
Jak działa RR?
W razie wystąpienia podejrzanych działań ESET RR aktywuje tzw. Ransomware Shield (RS). Podobnie jak inne systemy wykrywające zachowania (np. HIPS) działa on w połączeniu z technologiami ESET LiveSense, analizując i badając złośliwe oprogramowanie. Jeśli istnieje prawdopodobieństwo ataku ransomware, RS oznacza zagrożenie i rozpoczyna proces neutralizacji.
Następnie ESET RR tworzy kopie zapasowe plików dla każdej operacji na plikach oznaczonego procesu (zanim ten dokona jakichkolwiek zmian). Proces ten trwa do momentu, gdy RS uzna, że dany proces jest bezpieczny – wtedy kopia zapasowa zostaje usunięta. W przeciwnym razie, jeśli RS uzna proces za złośliwy, zostaje on zatrzymany, a pliki są przywracane z kopii zapasowej. Dodajmy, że to rozwiązanie jest wysoce konfigurowalne. To z jednej strony dobre (można dostosować rozwiazanie do organizacji), ale z drugiej strony administrator musi rozumieć możliwości narzędzi i dodać typy plików do filtra, który RR stosuje podczas tworzenia backupów. Jedynym ograniczeniem dla kopii zapasowych jest rozmiar dysku oraz maksymalny rozmiar 30 MB na plik.
Prędkość tworzenia backupów zależy oczywiście od wydajności komputera, ale w większości przypadków powinna być niezauważalna.
Konfiguracja ESET RR – przykład
Jak wspomniano RR ma własną chronioną sekcję pamięci na dysku, w której pliki nie mogą być modyfikowane ani uszkadzane, a kopia zapasowa nie może zostać usunięta przez atakującego. Rozwiązuje to jeden z najczęstszych problemów tradycyjnych kopii zapasowych po ataku ransomware, jednocześnie aktywnie blokując takie zagrożenia.
Dobre nie znaczy “wystarczające”
Firma ESET w swoich instrukcjach uczciwie informuje o jednym – korzystanie z ESET RR nie zwalnia nikogo z tworzenia kopii zapasowych według zasady 3-2-1. Nadal należy mieć trzy kopie ważnych danych, z czego dwie powinny być na różnych nośnikach, a jedna powinna znajdować się poza centrum przetwarzania danych. Poza tym pamiętajmy, że tworzenie backupów ma nas przygotować na atak, który w idealnej sytuacji nigdy nie powinien nastąpić. W tym miejscu warto przypomnieć, że:
- Większość ataków ransomware zaczyna się od phishingu oraz poczty e-mail. Szkolenie pracowników ma zatem kluczowe znaczenie niezależnie od innych stosowanych form ochrony. Pracownicy powinni być uczeni nie tylko “nieklikania w link”, ale również reagowania na incydenty. Powinni też poznać bardziej złożone scenariusze ataków.
- Większość ataków ransomware dotyczy komputerów z systemem Windows, a około jedna trzecia część tych ataków dotyczy maszyn z nieaktualnym oprogramowaniem. Zadbanie o aktualne oprogramowanie z systemem antywirusowym to absolutne minimum, natomiast dodatkowo można zastosować rozwiązania oparte o wielowarstwową ochronę, gdzie wiele elementów systemu bezpieczeństwa uzupełnia się nawzajem, jak choćby moduły które wykrywają nietypowe zachowania.
Przed skutkami ransomware mają nas chronić kopie zapasowe, ale te nie zawsze są aktualne i bywają… celem ataków ransomware. Najlepiej byłoby zrobić bezpieczne kopie na chwilę przed atakiem i cóż… w pewnym sensie jest to możliwe.
23-400 Ruda-Zagrody 10b