Ataki hakerskie coraz większym zagrożeniem dla biznesu

Haker miał dostęp do serwera obsługującego bankowość internetową
Haker miał dostęp do serwera obsługującego bankowość internetową

Rośnie siła zagrożenia związanego z wyłudzaniem środków finansowych za pomocą złośliwego oprogramowania szyfrującego dane użytkowników komputerów, czyli tzw. „cryptolocker” albo „ransomware”. Jak podkreślają eksperci PwC, w ostatnich 12 miesiącach w 96% średnich i dużych przedsiębiorstw działających w Polsce doszło do ponad 50 cyberataków.

Metody cyberataków stale ewoluują i identyfikowane są przez intruzów nowe sposoby wyłudzania środków finansowych od atakowanych przedsiębiorstw i klientów indywidualnych. Jeszcze kilka lat temu głównym sposobem wyłudzania środków finansowych były ataki phishingowe. Tego typu ataki polegały na infekowaniu komputerów użytkowników bankowości internatowej za pomocą złośliwego oprogramowania,  do którego uruchomienia użytkownicy byli namawiani przez odpowiednio spreparowane maile. Po zainfekowaniu komputera, sprawcy modyfikowali w locie zlecane transakcje przez użytkowników, przechwytywali dane uwierzytelniające pozwalające na autoryzacje transakcji w imieniu użytkowników lub za pomocą odpowiednio spreparowanych komunikatów socjotechnicznych nakłaniali nieświadomych klientów do wysłania przelewu na wskazany numer konta.

Dzisiaj intruzi coraz częściej sięgają po kolejne metody wyłudzania środków finansowych związane z szantażowaniem.  Od kilku lat obserwowane jest nasilanie zagrożenia związanego z wyłudzaniem środków pieniężnych za pomocą oprogramowania ransomware. Złośliwe oprogramowanie po zainstalowaniu na komputerze użytkownika, szyfruje pliki i nakłania użytkownika do zapłacenia określonych środków pieniężnych w zamian za odszyfrowanie danych” – mówi Piotr Urban, partner w PwC, lider zespołu Cyber Security PwC.

W przypadku braku zapłaty użytkownik straci dostęp do zaszyfrowanych danych lub dane zostaną opublikowane narażając na wizerunek użytkownika i jego przedsiębiorstwo.

W przypadku dużych przedsiębiorstw – dane użytkowników i dane produkcyjne często są odpowiednio zabezpieczone na okoliczność utraty poprzez określone backupy danych.  Zaszyfrowane i utracone dane mogą być sprawnie odzyskane. Wydawać się może, że przedsiębiorstwa są odporne na tego typu zagrożenia, ale czy tak jest faktycznie?

Odzyskiwanie danych w przypadku ich zaszyfrowania za pomocą złośliwego oprogramowanie ransomware to tylko połowa sukcesu. Istotna jest reputacja przedsiębiorstwa, która narażona może być w przypadku wycieku wykradzionych informacji lub ujawnienia informacji o incydencie związanych z infekcjami i utratą danych. Ponadto intruzi mogą instalować dodatkowe komponenty złośliwego oprogramowania pozwalającego na zdalny dostęp do zainfekowanego środowiska IT,  nie wspominając o przestojach systemów produkcyjnych wynikających z infekcji lub odseparowania w celu rozwiązania problemu i ograniczenia zagrożenia oraz potencjalnych strat” – mówi Tomasz Sawiak, wicedyrektor w zespole Cyber Security PwC.

Jak działa oprogramowaniem ransomware o nazwie WanaCryptor (WanaCry)?

Fala infekcji złośliwym oprogramowaniem WanaCry zbiera żniwo od piątku 12 maja. Wiele dużych międzynarodowych firm zostało dotkniętych atakiem.

Komputery mogą być infekowane podobnie jak w większości tego typu przypadków przez odpowiednio spreparowane maile zachęcające do uruchomienia przez użytkowników dokumentów lub plików infekujących system, ale to co wyróżnia obserwowany atak to jest wbudowany w złośliwe oprogramowanie mechanizm samo-propagacji umożliwiający na samoistnie rozprzestrzenianie się infekcji z zainfekowanego komputera na pozostałe w środowisku IT. Mechanizm infekcji wykorzystuje znaną lukę w oprogramowaniu Windows załataną przez Microsoft w modyfikacji bezpieczeństwa MS17-010 w marcu tego roku. Niestety aktualizacja oprogramowania i proces instalacji łat zajmuje w dużych środowiska IT wiele czasu, nadal w nich występuje wiele podatnych komputerów.  Dodatkowo stacje robocze użytkowników z podatnymi systemami Windows mogą również zostać zainfekowane wskutek łączenia się do publicznych niezaufanych sieci WIFI, w których występują inne zainfekowane komputery.  Złośliwe oprogramowanie na zainfekowanych komputerach może samodzielnie się aktualizować instalując swoje kolejne warianty ukrywające się przed standardowymi metodami detekcji infekcji.

Podstawową zasadą postępowania w tego typu przypadkach (w przypadku braku zagrożenia życia) jest brak wchodzenia w dialog z intruzami i niepłacenie okupu.