Bezpieczeństwo

Ransomware RYUK – jak z nim walczyć?

Google+ Pinterest LinkedIn Tumblr

W Europie Środkowej (w tym w Polsce) odnotowano wiele infekcji wirusem ransomware o nazwie RYUK. Nie jest to jednak typowy atak. W odróżnieniu od standardowych ataków, RYUK nie jest rozsyłany masowo, a dystrybuowany ręcznie na wybrane przez cyberprzestępców cele.

Infekcja organizacji wirusem RYUK w 6 krokach

RYUK działa inaczej niż tradycyjne wirusy. Jego celem nie jest jedynie komputer użytkownika, a urządzenia w całej organizacji, z którą dane urządzenie jest powiązane. Jak wygląda cały proces infekcji RYUKiem?

  1. Następuje atak na komputer użytkownika losowym oprogramowaniem malware;
  2. W przypadku zainfekowania, następuje weryfikacja czy komputer należy do pojedynczej osoby, czy znajduje się w sieci organizacji tzw. High value target (cel o wysokim stopniu znaczenia). Im organizacja posiada więcej zasobów w postaci danych, środków finansowych, infrastruktury, tym jest cenniejszym celem cyberprzestępców;
  3. Jeżeli udało się przejąć komputer użytkownika – następuje atak na kontroler domeny i komputer w domenie organizacji, który zarządza dostępami użytkowników i bezpieczeństwem;
  4. Cyberprzestępcy konfigurują uprawnienia administratorskie, dzięki czemu uzyskują dostęp do kont całej organizacji;
  5. Następuje kradzież danych organizacji oraz zasobów – posiadając dostęp na poziomie domeny, za pomocą RYUKa można zrobić de facto wszystko;
  6. Atak wirusem RYUK kończy się szyfrowaniem zainfekowanej infrastruktury. Jest wysyłane żądanie okupu.

Dlaczego RYUK jest tak groźny?

Oprogramowanie ransomware RYUK usuwa dane tzw, shadow copy, co oznacza, że w przypadku braku kopii zapasowej w chmurze organizacja może mieć duży problem z przywróceniem backupu danych. Ransomware samo w sobie jest bardzo groźnym zjawiskiem z uwagi na powodowanie dużych strat finansowych. RYUK dodatkowo osiąga znacznie wyższe kwoty okupu niż standardowe ataki ransomware. Wynika to przede wszystkim z przemyślanej strategii cyberprzestępców co do wyboru celów ataków.

Jak ochronić się przed ransomware, również przed RYUK?

Ataki ransomware są obecnie jednymi z najgroźniejszych rodzajów cyberataków. Powodują duże straty zarówno w gospodarce jak i wśród użytkowników prywatnych. Jak chronić organizację przed ransomware? Sprawdź czy Twoja organizacja wdrożyła poniższe procedury (warto sobie stworzyć taką chek-listę i regularnie ją sprawdzać):

  • Przeszkolony z zakresu cyberbezpieczeństwa personel organizacji, znający podstawowe wzorce zachowań zabezpieczających przed zainfekowaniem komputera np. nieotwieranie podejrzanych e-maili, linków etc.
  • Silne oprogramowanie antywirusowe posiadające moduł ochrony przed ransomware np. Bitdefender lub ESET NOD32,
  • Monitoring sieci organizacji pozwalający na wykrycie ataku na wczesnym stadium i zapobiegnięcie zainfekowaniu całej struktury,
  • Tworzenie zewnętrznej kopii zapasowej danych, najlepiej w formie backupu w chmurze,
  • Zabezpieczenie kontrolera/ kontrolerów domeny organizacji przed nieautoryzowanym dostępem lub instalacją obcego oprogramowania,
  • Audyt wewnętrznych systemów administracyjnych oraz kont administratorskich w organizacji,

Powyższa lista nie jest 100% gwarancją ochrony organizacji przed ransomware, ale na pewno stworzy silne wsparcie strategii obrony przed cyberprzestępcami oraz zmniejszy podatność firmy na ataki.

Dodaj komentarz