Stručnjaci PwC-a tvrde kako je opasnost od financijskih gubitaka zbog zlonamjernih softvera koji enktriptiraju podatke korisnika računala, poznatiji kao cryptolockeri ili ransomware, u porastu. Naglašavaju da samo polovica društava koje je PwC istražio ima alate za otkrivanje neovlaštenog ulaska i da aktivno nadgledaju i analiziraju podatke o informacijskoj sigurnosti, dok manje od polovice društava izrađuje procjene ranjivosti, procjene prijetnji i pretplaćeni su na usluge prikupljanja informacija o prijetnjama.
>>>Za globalni kibernetički napad možda ‘zaslužni’ sjevernokorejski hakeri
Hakeri neprestano unaprjeđuju svoje taktike, otkrivajući nove načine za izvlačenje novca od ciljanih poduzeća i pojedinaca. Prije samo nekoliko godina, glavna metoda bili su phishing napadi koji bi zarazili računala korisnika internetskog bankarstva, od kojih je traženo da preuzmu malware klikom na poveznice u elektroničkoj pošti. Nakon što bi ciljana računala bila zaražena, napadači bi pratili korisničke transakcije i krali njihove podatke u svrhu odobravanja neovlaštenih transakcija ili bi pomoću tehnika socijalnog inženjeringa na prijevaru nagovorili nesvjesne klijente da novac prebace na račune prevaranata.
- Napadači danas za izvlačenje novca sve više koriste nove metode utemeljene na iznudi. Već nekoliko godina vidimo porast prijetnje ransomwarea. Nakon što je instaliran na računalo, taj softver enkriptira datoteke i zahtijeva od korisnika plaćanje naknade za dekripciju, rekao je Piotr Urban, PwC-ov partner koji vodi interni tim za kibernetičku sigurnost.
Ako korisnik ne plati naknadu, gubi pristup podacima ili ti podaci budu objavljeni, nanoseći štetu ugledu korisnika i njegove organizacije.
Velika poduzeća često izrađuju sigurnosne kopije podataka o korisnicima i proizvodnji, tako da se enkriptirani podaci mogu povratiti. Iako se na prvi pogled poduzeća na taj način čine otpornima na ovu vrstu prijetnje, to nije uvijek tako.
- Povrat podataka nakon enkripcije putem ransomwarea samo je prvi korak. Ugled društva također je važan i u opasnosti je ako se ukradene informacije objave ili ako se otkrije informacija o samom incidentu. Osim toga, napadači mogu instalirati druge komponente malware koje omogućuju daljinski pristup zaraženoj IT infrastrukturi, a da ne spominjemo troškove prekida poslovanja zbog zaraze ili potrebu izoliranja sustava kako bi se problem riješio i umanjila prijetnja, rekao je Tomasz Sawiak, zamjenik direktora tima za kibernetičku sigurnost.
Kako WannaCryptor (WannaCry) ransomware funkcionira?
Epidemija zaraze WannaCry ransomwareom u porastu je od petka, 12. svibnja. Mnoga velika međunarodna društva pogođena su tim napadom. Kao i u većini takvih slučajeva, računala mogu biti zaražena putem elektroničke pošte koja potiče korisnike da otvore privitke, ali ovaj napad razlikuje se mehanizmom samorazmnožavanja koji je ugrađen u malware i omogućava širenje zaraze s jednog računala na druga koja se nalaze u istom IT okruženju.
Osnovno je pravilo u ovakvim slučajevima (ako ne postoji prijetnja ljudskim životima) ne započinjati razgovor s napadačima i ne plaćati otkupninu.
Malware koristi poznatu sigurnosnu rupu u sustavu Windows koju je Microsoft zakrpio svojim ažuriranjem MS17-010 u ožujku. Nažalost, ažuriranja softvera i instalacije zakrpi zahtijevaju puno vremena u velikim IT okruženjima te mnoga računala ostaju ranjiva.
>>>Hakerski napadi: Microsoft Hrvatska poziva na ažuriranje Windowsa
Osim toga, računala s ranjivim sustavima Windows mogu se zaraziti povezivanjem na javne Wi-Fi mreže na koje su spojena druga zaražena računala. Malware se može automatski ažurirati te instalirati dodatne verzije koje izbjegavaju standardne metode otkrivanja antivirusnih sustava.
Kako bi se ograničila opasnost od zaraze i rad malwarea WannaCry, važno je poduzeti sljedeće postupke:
• Brza izolacija zaraženih radnih stanica od ostalih dijelovaIT infrastrukture poduzeća.
• Ograničavanje mogućnosti komunikacije komponenata infrastrukture s Internetom pomoću SMB protokola koji se koristi za prijenos i dijeljenje datoteka (blokiranje javne internetske komunikacije prema i od pristupnih točaka 137, 139 i 445).
• Ograničavanje mogućnosti korištenja SMBv1 verzije protokola za dijeljenje datoteka u cijeloj IT infrastrukturi.
• Ograničavanje mogućnosti pokretanja nepotpisanih makronaredbi u dokumentima programa Microsoft Office promjenom postavki pravila grupe i omogućavanjem samo odobrenih i pravilno potpisanih makronaredbi.
• Osiguravanje izvršenja daljinskog pristupa IT infrastrukturi putem VPN-a, koristećipotvrdu u 2 koraka (engl. two-factorauthentication).
• Prepoznavanje i ograničavanje pristupa koristeći infrastrukturne komponente (bez instalirane zakrpe MS17-010) ključnim aplikacijama i komponentama IT infrastrukture poduzeća.Ugradnja zakrpe MS17-010 na sva ranjiva računala IT infrastrukture.
• Prisilna ažuriranja antivirusnih potpisa.
• Omogućavanje radnim stanicama da razriješe imena domena i komuniciraju s „killswitch“ domenama korištenima u najpopularnijoj verziji malwareaWannaCry.
• Praćenje komunikacije i deblokiranje razrješenja za domene:iuqerfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com i ifferfsodp9ifjaposdfjhgosurijfaewrwergwea[.]com).
• Neprestana edukacija i podizanje svijesti zaposlenikaomalwareu i vektorima napada koji uključuju elemente socijalnog inženjeringa.