21. listopad 2020.

Čuli ste za phishing. A znate li što je ransomware? Zbog toga tvrtka može zauvijek nestati

ransomware, kibernetički napad   
Piše: Marko Gulan, ICT Consultant
Piše: Marko Gulan, ICT Consultant

Bez obzira na veličinu tvrtke i poslovanja, svatko može postati žrtva ransomware. Tvrtka koja postane žrtva pretrpjet će gubitak zbog zastoja poslovanja, financijski gubitak oporavka, ali i ono najvažnije, narušit će povjerenja između tvrtke i kupaca.

Za 2020. godinu sa sigurnošću možemo reći samo jedno - da je u najmanju ruku posebna. Uz COVID-19 krizu i pad gospodarstva, jedna grana ipak bilježi rast, a riječ je o kibernetičkom kriminalu. Možda do sada nismo obraćali pažnju, ali svaki globalni poremećaj zadnjih desetak godina uzrokuje rast prisutnosti malicioznih kodova.

Bilo da se radi o kibernetičkom napadu phishing ili ransomware (ovo nisu jedini oblici kibernetičkih napada, ali su najčešći) jedno im je zajedničko – spadaju u skupinu napada socijalnog inženjeringa, što znači da su orijentirani prema ljudima i da koriste ljudske slabosti kako bi se maliciozni kod izvršio.

Kako izgleda kibernetički napad?

Većinu filmskih scenarija futurističkih filmova kojima je radnja kibernetički napad možete zaboraviti ili biti sigurni da kibernetički napad ne izgleda tako. Obično do napada dolazi u uredovno vrijeme i putem komunikacije bez koje ne možemo zamisliti moderno poslovanje – e-maila. Napadač se npr. u e-mailu predstavi kao interna podrška informacijskog sustava upozoravajući korisnika kako mora obavezno preuzeti i instalirati najnovija ažuriranja softwarea. U privitku e-maila nalazi se datoteka koju korisnik treba pokrenuti kako bi pristupio repozitoriju ažuriranja.

Korisnik u većini slučajeva u najboljoj namjeri pokreće datoteku. Na računalu se pojavljuje plavi ekran. Ransomware je pokrenut i širi se dalje mrežom, zahvaća druga računala na mreži i računala ostaju kriptirana, točnije podatci na računalu ostaju kriptirani i korisnici više nisu u mogućnosti koristiti računala. Međutim ni tvrtka više nije u mogućnosti koristiti servere. Poslovanje je stalo. Izvršenje napada trajalo je možda pola sata.

Što je ransomware?

Ransomware je zlonamjerni kod ili skup zlonamjernih kodova koji korisnikovo računalo, mobitel ili tablet čini nemogućim za rad. Nakon zaraze računala korisnikovi podatci ostaju kriptirani. Najčešće se ransomware širi po računalnoj mreži i inficira sva računala na mreži, a autor zlonamjernog koda od tvrtke ili pojedinca traži plaćanje otkupnine u zamjenu za ključ kojim će tvrtka ili pojedinac otključati svoje podatke i dalje nesmetano koristiti računala. 

Savršeno planirani kibernetički napadi

Neka istraživanja pokazuju da kibernetički napadi mogu trajati i do 180 dana, međutim to nije vrijeme koliko dugo se izvršava kibernetički napad. U tom periodu haker je „provalio“ u sustav i pritajen prati sustav, proučava arhitekturu sustava i ranjivosti. Tek kad prikupi dovoljno informacija spreman je za djelovanje. Uz sve (ne)savršenosti tehnologije čovjek je i dalje najslabija karika u lancu i zato su napadi vrlo često usmjereni prema čovjeku. Sadržaji poruka koji se šalju korisnicima gotovo uvijek pozivaju na važnu radnju, kao na primjer preuzimanje najnovijih ažuriranja softwarea. ---

image
Marko Gulan, ICT Consultant
foto

Ransomware i negativni utjecaj na poslovanje

Kibernetički napadi, u ovom slučaju ransomware nisu rezervirani samo za npr. velike tvrtke. Mikro, mala i srednja poduzeća vrlo često imaju mišljenje „Ma, kome sam ja zanimljiv?“, što je najčešće kobna greška. Svaki gospodarski subjekt neovisno o veličini za kibernetičkog kriminalca jednako je zanimljiv. Uspješnim napadom, najvjerojatnije, ostvarit će cilj i dobiti otkupninu u zamjenu za kripto ključ.

Međutim plaćanje otkupnine u određenom broju slučajeva nije jamac da će korisnik zaista dobiti ključ. Ako zanemarimo i ovu činjenicu, negativni utjecaj na poslovanje veći je od novčanog iznosa otkupnine.

Već prije je spomenuta situacija u kojoj je pristup računalu onemogućen, a podaci na računalu su zaključani. Zamislite samo koliki su gubitci poslovanja uslijed neoperativnosti tvrtke. Ili možda situacija gdje je najveći gospodarski subjekt na području isporuke naftnih derivata pogođen ransomwareom i da je stala proizvodnja, nema isporuke naftnih derivata, kartično plaćanje je onemogućeno ili kompromitirano, staje gospodarstvo, dio građana ostaje bez grijanja, transport je u kolapsu. U usporedbi sa navedenim situacijama, otkupnina se čini kao manji problem.

U isto vrijeme ne znate, niti možete pretpostaviti koliko vremena će trebati da se sve komponente sustava oporave, niste ni približno sigurni koliko novca uz otkupninu ćete morati utrošiti kako bi sustave vratili u normalan rad. I na kraju kad oporavite sustave, povjerenje između vas i vaših kupaca je narušeno. Kupci nisu sigurni jesu li podatci njihovih kartica kompromitirani. Vrijeme uspostave ponovnog povjerenja može trajati godinama.

Mjere zaštite

Bez obzira na veličinu tvrtke i poslovanja, svatko može postati žrtva ransomware. Tvrtka koja postane žrtva pretrpjet će gubitak zbog zastoja poslovanja, financijski gubitak oporavka, ali i ono najvažnije, narušit će povjerenja između tvrtke i kupaca.

Kako je čovjek u cijelom procesu najranjivija i najslabija karika, najvažnija mjera zaštite je pravovremena edukacija zaposlenika o rizicima kojima su svakodnevno izloženi. Isto tako je bitno definirati politiku rukovanja sa poslovnim podacima, odrediti na koji način će se osigurati izrada sigurnosnih kopija podataka.

Ako govorimo o tehničkim preporukama svakako treba povesti računa da se podatci ne pohranjuju samo na jednom računalu. Čuvanje sigurnosnih kopija podataka trebalo bi osigurati na tri odvojena mjesta. Idealno bi bilo osigurati podatke u podatkovnim centrima trećih strana ili u cloud okruženju.

Izuzetno je važno dizajnirati arhitekturu informacijskih sustava na način da pojedini kritični dijelovi sustava budu izolirani svaki za sebe. Arhitektura sustava najčešće proizlazi iz procjene rizika.

image
Sadržaj e-mail poruke koji sadrži zaraženi privitak
foto

U navedenom e-mailu radi se o vješto napisanom e-mailu gdje bi većina korisnika reagirala na poziv na akciju. Međutim u mailu se nalaze neke karakteristične greške koje bi korisnici trebali uočiti:

  • Polje pošiljatelj: „Email Support“ najčešće zvuči autoritativno i korisnici smatraju kako su dobili e-mail poruku od support tima. Međutim provjerom pošiljatelja može se utvrditi kako se radi o nepoznatoj e-mail adresi.
  • Privitak: Svaki privitak u svakoj e-mail poruci treba pažljivo pregledati. Naizgled „Email Configuration.htm“ ne izgleda sumnjivo, ali ukoliko korisnik nije siguran u ispravnost privitka u pravilu ne bi trebao primjenjivati ikakvu akciju. Ovaj privitak sadrži maliciozni kod koji podatke na računalu čini (trajno) neupotrebljivima.
  • Ukoliko je navedena korisnikova e-mail adresa svakako treba provjeriti je li domena napisana ispravno (npr Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite. ili Ova e-mail adresa je zaštićena od spambota. Potrebno je omogućiti JavaScript da je vidite. ). U velikom broju slučajeva domene nisu napisane ispravno (čak domena bude potpuno pogrešna).
  • U potpisu e-mail poruke vrlo često se nalazi osoba, grupa ili pojam koji unutar tvrtke do sad niste kontaktirali (čak ako je pošiljatelj Email Support, potpis Verification Center bitno se razlikuje od naziva pošiljatelja).

 ---