Inainte de toate, să discutăm puțin despre ransomware și ce este acesta.
Un ransomware este un software malițios care criptează datele companiei și permite victimelor să-și recupereze datele doar dacă plătesc o anumită recompensă. Nu de puține ori, atacatorii amenință companiile cu publicarea datelor pe internet, dacă recompensa nu este plătită.
De cele mai multe ori, o stație de lucru din companie este infectată cu ransomware iar apoi acesta se răspândește în întreaga infrastructură și criptează toate datele la care are acces.
Adesea, utilizatorii “infectați” nu depistează problema până nu este prea târziu.
Cum funcționează un ransomware?
Infectarea unei stații de lucru:
De cele mai multe ori, ransomware-ul ajunge pe stația de lucru a unui utilizator al companiei prin accesarea unui atașament malițios primit pe email sau prin intermediul unei aplicații vulnerabile sau infectate, descărcate de pe internet.
Criptarea datelor și răspândirea în rețea:
Următorul pas este criptarea datelor pe care ransomware-ul le poate accesa. De obicei criptarea începe cu locația de unde a fost executat fișierul malițios, dar acesta se răspândește rapid peste tot pe unde are acces.
În cazul nefericit în care stația de lucru infectată are acces la serverul de fișiere sau de aplicație, ransomware-ul se răspândește peste tot, făcând un volum mare de date ale companiei inaccesibil.
Este posibil ca utilizatorul să constate că anumite fișiere nu se mai deschid și au extensii ciudate.
Notificarea victimei:
De cele mai multe ori, ransomware-ul creează un fișier text prin care anuntă utilizatorul că datele au fost criptate și solicită o recompensă pentru recuperarea datelor, împreună cu metoda de plată, adesea în Bitcoin sau o altă cripto-monedă.
Decriptarea datelor sub amenințarea că acestea vor fi făcute publice:
De obicei atacatorii amenință că dacă nu se plătește recompensa, datele “colectate” vor fi publicate pe internet. Dacă se decide plătirea recompensei pentru răscumpărarea datelor, nu este obligatoriu ca atacatorii să și onoreze promisiunea și să decripteze datele.
Tipuri de ransomware
Deși există mai multe tipuri de ransomware, cele mai populare sunt crypto-ransomware și locker ransomware. Prima variantă criptează datele și solicită o recompensă în schimbul recuperării lor, iar a doua variantă blochează accesul la întregul sistem, solicitând o taxă pentru a-l debloca.
Mai multe informații sunt disponibile aici.
Cum protejăm infrastructura IT de acest tip de amenințări?
Pentru a ne proteja de amenintări de tip ransomware, este nevoie de utilizarea unor soluții de securitate potente, implementarea unei soluții solide de backup, actualizarea periodică a soluțiilor software folosite, dar și de instruirea utilizatorilor.
Implementate și aplicate corect, aceste elemente vor diminua semnificativ riscul de a “ne trezi” că datele companiei au fost criptate și, implicit, inutilizabile.
Să luăm toate acestea pe rând.
Actualizările periodice (sesiuni de patching):
Este critic să se implementeze și programeze sesiuni de patching, adică actualizarea sistemelor de operare și aplicațiilor într-un mod regulat și controlat.
Utilizarea soluțiilor de securitate:
Pe lângă actualizarea periodică a aplicațiilor, este nevoie și de utilizarea de soluții antivirus și antiransomware, pentru securizarea stațiilor de lucru.
Este recomandată și utilizarea de firewall-uri hardware, care filtrează traficul care ajunge în rețea, întrucât acestea pot detecta și bloca ransomware-ul înainte ca acesta să afecteze rețeaua internă.
Implementarea unei politici solide de backup:
Chiar dacă backup-ul nu previne infectarea cu ransomware, restaurarea datelor afectează mai puțin și generează costuri de business infime, în comparație cu plata recompensei și speranța că datele vor fi recuperate.
Instruirea utilizatorilor pentru a identifica emailurile de tip spam:
De asemenea, este nevoie ca utilizatorii să fie instruiți să detecteze mesajele spam și să le șteargă, fără a face click pe atașamente.
Dacă aveți nevoie de ajutor pentru implementarea securitații IT a companiei, vă stăm la dispoziție.
Zemernett este o companie de externalizare IT care reușește cu succes atât să susțină buna funcționare a infrastructurilor, cât și să propună soluții tehnice personalizate după nevoile clienților, punând activ umărul la dezvoltarea IT a companiilor client.
Coyote Trojan: Malware-ul Care Vizează Instituțiile Bancare | Zemernett
[…] sensibile și credențiale de acces pentru platforme bancare. Nu este la fel de periculos precum un ransomware, deoarece acesta urmarește să golească conturi bancare, nu să compromită […]
Antivirus și Firewall Software: Ce Sunt și Cum Sporesc Împreună Securitatea Sistemului | Zemernett
[…] se numește antivirus, acesta detectează și ransomware, malware, trojan horse, spyware, adware, scareware, rootkits și alte tipuri de […]
Care Sunt Riscurile De Securitate Asociate Utilizării De Echipamente Hardware End Of Life (EOL) | Zemernett
[…] reprezentand o poartă de intrare pentru diverse tipuri de amenințări cibernetice, inclusiv ransomware, spyware, adware, scareware și troieni precum Coyote […]
Atenție la Emailurile Spam de Tip Phishing de Ziua Îndrăgostiților | Zemernett
[…] Ransomware (care blochează accesul la fișiere) […]