W Europie Środkowej (w tym w Polsce) odnotowano wiele infekcji wirusem ransomware o nazwie RYUK. Nie jest to jednak typowy atak. W odróżnieniu od standardowych ataków, RYUK nie jest rozsyłany masowo, a dystrybuowany ręcznie na wybrane przez cyberprzestępców cele.
Infekcja organizacji wirusem RYUK w 6 krokach
RYUK działa inaczej niż tradycyjne wirusy. Jego celem nie jest jedynie komputer użytkownika, a urządzenia w całej organizacji, z którą dane urządzenie jest powiązane. Jak wygląda cały proces infekcji RYUKiem?
- Następuje atak na komputer użytkownika losowym oprogramowaniem malware;
- W przypadku zainfekowania, następuje weryfikacja czy komputer należy do pojedynczej osoby, czy znajduje się w sieci organizacji tzw. High value target (cel o wysokim stopniu znaczenia). Im organizacja posiada więcej zasobów w postaci danych, środków finansowych, infrastruktury, tym jest cenniejszym celem cyberprzestępców;
- Jeżeli udało się przejąć komputer użytkownika – następuje atak na kontroler domeny i komputer w domenie organizacji, który zarządza dostępami użytkowników i bezpieczeństwem;
- Cyberprzestępcy konfigurują uprawnienia administratorskie, dzięki czemu uzyskują dostęp do kont całej organizacji;
- Następuje kradzież danych organizacji oraz zasobów – posiadając dostęp na poziomie domeny, za pomocą RYUKa można zrobić de facto wszystko;
- Atak wirusem RYUK kończy się szyfrowaniem zainfekowanej infrastruktury. Jest wysyłane żądanie okupu.
Dlaczego RYUK jest tak groźny?
Oprogramowanie ransomware RYUK usuwa dane tzw, shadow copy, co oznacza, że w przypadku braku kopii zapasowej w chmurze organizacja może mieć duży problem z przywróceniem backupu danych. Ransomware samo w sobie jest bardzo groźnym zjawiskiem z uwagi na powodowanie dużych strat finansowych. RYUK dodatkowo osiąga znacznie wyższe kwoty okupu niż standardowe ataki ransomware. Wynika to przede wszystkim z przemyślanej strategii cyberprzestępców co do wyboru celów ataków.
Jak ochronić się przed ransomware, również przed RYUK?
Ataki ransomware są obecnie jednymi z najgroźniejszych rodzajów cyberataków. Powodują duże straty zarówno w gospodarce jak i wśród użytkowników prywatnych. Jak chronić organizację przed ransomware? Sprawdź czy Twoja organizacja wdrożyła poniższe procedury (warto sobie stworzyć taką chek-listę i regularnie ją sprawdzać):
- Przeszkolony z zakresu cyberbezpieczeństwa personel organizacji, znający podstawowe wzorce zachowań zabezpieczających przed zainfekowaniem komputera np. nieotwieranie podejrzanych e-maili, linków etc.
- Silne oprogramowanie antywirusowe posiadające moduł ochrony przed ransomware np. Bitdefender lub ESET NOD32,
- Monitoring sieci organizacji pozwalający na wykrycie ataku na wczesnym stadium i zapobiegnięcie zainfekowaniu całej struktury,
- Tworzenie zewnętrznej kopii zapasowej danych, najlepiej w formie backupu w chmurze,
- Zabezpieczenie kontrolera/ kontrolerów domeny organizacji przed nieautoryzowanym dostępem lub instalacją obcego oprogramowania,
- Audyt wewnętrznych systemów administracyjnych oraz kont administratorskich w organizacji,
Powyższa lista nie jest 100% gwarancją ochrony organizacji przed ransomware, ale na pewno stworzy silne wsparcie strategii obrony przed cyberprzestępcami oraz zmniejszy podatność firmy na ataki.
