Ce este ransomware-ul?
Aflați mai multe despre ransomware, cum funcționează și cum vă puteți proteja dvs. și firma împotriva acestui tip de atac cibernetic.
Definiția ransomware-ului
Ransomware-ul este un tip de software rău intenționat sau malwarecare amenință o victimă, distrugând sau blocându-i accesul la date sau sisteme critice până când se plătește o răscumpărare. De-a lungul timpului, cea mai mare parte din ransomware a vizat persoane, dar, mai recent, ransomware-ul operat de oameni, care vizează organizațiile, a devenit amenințarea mai mare și mai dificil de prevenit și de contracarat. Cu ransomware-ul operat de oameni, un grup de atacatori își utilizează inteligența colectivă pentru a obține acces la rețeaua de întreprindere a unei organizații. Unele atacuri de acest tip sunt atât de sofisticate, încât atacatorii utilizează documente financiare interne pe care le-au descoperit pentru a seta prețul de răscumpărare.
Atacurile ransomware la știri
Din păcate, mențiunile despre amenințări cu ransomware de la știri au devenit ceva obișnuit. Atacurile recente de tip ransomware foarte mediatizate au afectat infrastructura critică, serviciile medicale și furnizorii de servicii IT. Pe măsură ce aceste atacuri au devenit mai extinse, efectele lor au devenit mai imprevizibile. Iată câteva detalii despre atacuri ransomware și cum au afectat ele organizațiile:
- În martie 2022, sistemul poștal din Grecia a devenit victima ransomware-ului. Atacul a întrerupt temporar livrarea corespondenței și a afectat procesarea tranzacțiilor financiare.
- Una dintre cele mai mari companii aeriene din India s-a confruntat cu un atac ransomware în mai 2022. Incidentul a dus la întârzieri și anulări ale zborurilor, precum și la sute de pasageri blocați.
- O mare companie de resurse umane a suferit un atac cu ransomware în decembrie 2021, moment în care sistemul său de salarizare și de gestionare a timpului liber pentru clienții care îi utilizau serviciul cloud a fost afectat.
- În mai 2021, o conductă de carburant din Statele Unite și-a oprit serviciile pentru a preveni alte breșe după ce un atac cu ransomware a compromis informațiile personale a mii de angajați. Efectele au făcut ca prețurile la gaze să crească pe toată coasta de est.
- O firmă germană de distribuire a produselor chimice a suferit un atac ransomware în aprilie 2021. S-au furat informații precum data nașterii, codul numeric personal și numărul permisului de conducere, precum și anumite date medicale de la peste 6.000 de persoane.
- Cel mai mare furnizor de carne din lume a devenit ținta unui atac de ransomware în mai 2021. După ce și-a pus temporar site-ul offline și a oprit producția, firma a ajuns să plătească o răscumpărare de 11 milioane USD în Bitcoin.
Cum funcționează ransomware-ul?
Atacurile cu ransomware se bazează pe preluarea controlului asupra datelor sau dispozitivelor unei persoane sau ale unei organizații ca mijloc de a solicita bani. În anii trecuți, atacurile de inginerie socială erau cele mai frecvente, dar, recent, ransomware-ul operat de oameni a devenit popular pentru infractori, din cauza potențialului de câștiguri uriașe.
Ransomware de inginerie socială
Aceste atacuri utilizează phishingul,o formă de înșelătorie în care un atacator se prezintă ca o firmă sau un site web legitim, pentru a păcăli o victimă să facă clic pe un link sau să deschidă o atașare de e-mail care va instala ransomware pe dispozitivul său. Atacurile includ adesea mesaje alarmiste care îi solicită victimei să acționeze de frică. De exemplu, un infractor cibernetic se poate prezenta drept o bancă renumită și poate trimite un e-mail prin care avertizează pe cineva că i-a fost blocat contul din cauza unei activități suspecte, solicitându-i să facă clic pe un link din e-mail pentru a rezolva problema. Odată ce se face clic pe link, se instalează ransomware-ul.
Ransomware operat de oameni
Ransomware-ul operat de oameni începe adesea cu acreditări de cont furate. După ce atacatorii au obținut acces la rețeaua unei organizații în acest mod, aceștia utilizează contul furat pentru a determina acreditările conturilor cu domenii de acces mai largi și caută date și sisteme de uz critic, cu potențial de câștiguri ridicate. Apoi instalează ransomware pe aceste date confidențiale sau sisteme de uz critic, de exemplu, prin criptarea fișierelor confidențiale, astfel încât organizația să nu le poată accesa până când nu plătește o răscumpărare. Infractorii cibernetici au tendința de a solicita plata într-o criptomonedă, din cauza anonimatului său.
Acești atacatori vizează organizații mari care pot plăti o răscumpărare mai mare decât media individuală, solicitând uneori milioane de dolari. Din cauza mizelor mari pe care le presupune o breșă de o asemenea anvergură, multe organizații aleg să plătească răscumpărarea, decât să aibă scurgeri de date confidențiale sau să riște alte atacuri din partea infractorilor cibernetici, chiar dacă nici plata răscumpărării nu garantează prevenirea unui astfel de efect.
Pe măsură ce atacurile ransomware operate de oameni au crescut, infractorii din spatele acestor atacuri au devenit tot mai bine organizați. De fapt, multe operațiuni ransomware utilizează acum un model de ransomware ca serviciu, ceea ce înseamnă că un grup de dezvoltatori infractori creează ransomware-ul propriu-zis și apoi angajează alți infractori cibernetici afiliați pentru a accesa ilegal rețeaua unei organizații și a instala ransomware-ul, împărțind profiturile între cele două grupuri într-un procentaj convenit.
Diferite tipuri de atacuri cu ransomware
Ransomware-ul apare în două forme principale: ransomware criptocrafic și ransomware cu blocare.
Ransomware criptografic
Atunci când o persoană sau o organizație este victima unui atac ransomware criptografic, atacatorul criptează datele sau fișierele confidențiale ale victimei, astfel încât să nu poată avea acces decât dacă plătește o răscumpărare solicitată. Teoretic, odată ce victima plătește, primește o cheie de criptare pentru a obține acces la fișiere sau date. Cu toate acestea, chiar dacă plătește răscumpărarea, nu există nicio garanție că infractorii cibernetici vor trimite cheia de criptare sau vor renunța la control. Doxware este o formă de ransomware criptografic care criptează și amenință să dezvăluie public informațiile personale ale unei victime, de obicei cu scopul de a o umili sau a expune rușinii și a o convinge să plătească răscumpărarea.
Ransomware cu blocare
Într-un atac ransomware cu blocare, o victimă este blocată pe dispozitiv și nu se poate conecta. Victima va vedea o notă de răscumpărare pe ecran care explică faptul că i s-a blocat conectarea și va primi instrucțiuni pentru a plăti o răscumpărare și a redobândi accesul. Această formă de ransomware nu implică de obicei criptarea, așadar, după ce victima redobândește accesul la dispozitivul său, toate fișierele și datele confidențiale sunt păstrate.
Răspunsul la un atac cu ransomware
Dacă deveniți victima unui atac ransomware, aveți opțiuni pentru îndepărtarea și eliminarea acestuia.
Fiți precaut în legătură cu plata răscumpărării
Deși poate fi tentant să plătiți răscumpărarea în speranța de a elimina problema, nu există nicio garanție că infractorii cibernetici se vor ține de cuvânt și vă vor acorda acces la datele dvs. Experții în securitate și agențiile de aplicare a legii recomandă ca victimele atacurilor ransomware să nu plătească răscumpărarea solicitată, deoarece acest lucru ar putea lăsa victima descoperită în fața amenințărilor viitoare și ar susține în mod activ o industrie infracțională. Dacă ați plătit deja, contactați imediat banca. Este posibil să puteți opri plata dacă ați plătit cu un card de credit.
Izolați datele infectate
De îndată ce reușiți, izolați datele compromise, pentru a împiedica ransomware-ul să se răspândească în alte zone din rețea.
Rulați un program antimalware
Multe atacuri ransomware pot fi rezolvate prin instalarea unui program antimalware pentru a elimina ransomware-ul. După ce ați ales o soluție antimalware de renume, cum ar fi Microsoft Defender, nu uitați să o mențineți la zi și să o faceți să funcționeze întotdeauna, astfel încât să fiți protejați împotriva celor mai recente atacuri.
Raportați atacul
Contactați agențiile locale sau federale de aplicare a legii pentru a raporta atacul. În Statele Unite, acestea sunt filiala FBI locală, IC3 sau Serviciile Secrete. Deși acest pas probabil nu va rezolva niciuna dintre preocupările dvs. imediate, este important, deoarece aceste autorități urmăresc și monitorizează în mod activ diferite atacuri. Furnizarea de detalii despre experiența dvs. ar putea fi utilă în imaginea de ansamblu pentru a găsi și a urmări un infractor sau un grup infracțional cibernetic.
Protecția anti-ransomware
Cu atacuri ransomware mai mari ca oricând și cu atât de multe informații personale ale persoanelor conținute digital, potențialele efecte ale unui atac sunt descurajatoare. Din fericire, există multe modalități de a vă păstra viața digitală doar a dvs. Iată cum să vă găsiți liniștea cu protecția anti-ransomwareproactivă.
Instalați un program antimalware
Cea mai bună formă de protecție este prevenția. Multe atacuri ransomware pot fi detectate și blocate cu un serviciu antimalware de încredere, cum ar fi Microsoft Defender pentru punct final, Microsoft Defender XDR sau Microsoft Defender for Cloud. Atunci când utilizați un program antimalware, dispozitivul scanează mai întâi toate fișierele sau linkurile pe care încercați să le deschideți, asigurându-vă că acestea sunt sigure. Dacă un fișier sau un site web este rău intenționat, programul antimalware va emite o avertizare și vă va sugera să nu-l deschideți. De asemenea, aceste programe pot elimina ransomware-ul de pe un dispozitiv deja infectat.
Organizați instruiri periodice
Angajații trebuie să fie mereu informați despre cum pot să depisteze semnele de phishing și alte atacuri cu ransomware cu ajutorul instruirilor regulate. Pe lângă faptul că vor învăța practici mai sigure pentru munca lor, vor ști și cum să utilizeze dispozitivele personale în siguranță.
Treceți la mediul cloud
Atunci când mutați datele într-un serviciu bazat pe cloud, precum serviciul Azure de backup în cloud sau copia de backup a stocării blob de blocuri Azure, veți putea face cu ușurință backup datelor pentru a le păstra în mai mare siguranță. Dacă datele dvs. sunt compromise vreodată de ransomware, prin utilizarea acestor servicii vă asigurați că recuperarea lor este imediată și cuprinzătoare.
Adoptați un model Zero Trust
Un model Zero Trust face o evaluare a riscurilor pentru toate dispozitivele și utilizatorii înainte de a le permite să acceseze aplicații, fișiere, baze de date și alte dispozitive, diminuând probabilitatea ca o identitate sau un dispozitiv rău intenționat să acceseze resurse și să instaleze ransomware. De exemplu, s-a demonstrat că implementarea autentificării multifactor, o componentă a unui model Zero Trust, poate reduce eficiența atacurilor de identitate cu peste 99%. Pentru a evalua faza de maturitate a modelului Zero Trust din organizația dvs., efectuați testul de maturitate Zero Trust de la Microsoft.
Alăturați-vă unui grup de partajare a informațiilor
Grupurile de partajare a informațiilor, frecvent organizate în funcție de domeniul de activitate sau de locația geografică, încurajează organizațiile cu structură similară să lucreze împreună la soluții de securitate cibernetică . De asemenea, grupurile oferă organizațiilor diverse beneficii, printre care răspunsul la incidente și servicii de expertiză digitală, știri despre cele mai recente amenințări și monitorizarea intervalelor de adrese IP publice și a domeniilor.
Păstrați copii de backup offline
Dat fiind că unele programe ransomware vor încerca să caute și să șteargă toate copiile backup online pe care le-ați puteți avea, se recomandă să păstrați offline o copie backup actualizată a datelor confidențiale pe care le testați în mod regulat, pentru a vă asigura că acestea pot fi restaurate chiar dacă ați fost victima unui atac cu malware. Din păcate, menținerea unui backup offline nu va remedia problema dacă ați fost afectat de un atac ransomware criptografic, dar poate fi un instrument eficient de utilizat într-un atac ransomware cu blocare.
Mențineți software-ul actualizat
Pe lângă actualizarea oricăror soluții antimalware (luați în considerare alegerea actualizărilor automate), nu uitați să descărcați și să instalați orice alte actualizări de sistem și corecții de software imediat ce devin disponibile. Acest lucru ajută la minimizarea vulnerabilităților de securitate pe care le-ar putea exploata un infractor cibernetic pentru a obține acces la rețea sau la dispozitivele dvs.
Creați un plan de răspuns la incidente
La fel cum un plan de evacuare de urgență în caz de incendiu vă face să fiți mai sigur și mai pregătit, crearea unui plan de răspuns la incidente care să specifice ce trebuie să faceți dacă ați fost victima unui atac cu ransomware vă va oferi pașii concreți de urmat în diferite scenarii de atac, astfel încât să puteți reveni la starea de funcționare normală și sigură cât mai curând posibil.
Protejați-le pe toate cu Microsoft Security
Microsoft Sentinel
Obțineți o vizualizare completă asupra întreprinderii dvs. cu o soluție nativă în cloud de gestionare a evenimentelor și incidentelor de securitate (SIEM).
Microsoft Defender XDR
Securizați punctele finale, identitățile, e-mailul și aplicațiile cu detectare și răspuns extinse (XDR).
Microsoft Defender for Cloud
Protejați mediile multicloud și hibride de la dezvoltare la rulare.
Inteligența contra amenințărilor Microsoft Defender
Înțelegeți actorii amenințărilor și instrumentele lor cu o hartă completă, actualizată continuu a internetului.
Combateți amenințările de ransomware
Rămâneți înaintea amenințărilor utilizând întreruperea automată și răspunsul la atacuri cu Microsoft Security.
Raport de protecție digitală Microsoft
Familiarizați-vă cu peisajul curent al amenințărilor și construiți o apărare digitală.
Construiți un program anti-ransomware
Explorați modul în care Microsoft a creat Starea optimă de reziliență împotriva ransomware-ului pentru a elimina ransomware-ul.
Utilizarea unui manual de proceduri pentru a bloca ransomware-ul
Exprimați și vizualizați rolul tuturor în procesul de blocare a ransomware-ului.
Întrebări frecvente
-
Din păcate, aproape orice persoană cu o prezență online poate deveni victima unui atac cu ransomware. Dispozitivele personale și rețelele de întreprindere sunt ținte frecvente ale infractorilor cibernetici.
Totuși, investirea în soluții proactive, precum serviciile de protecție împotriva amenințărilor, reprezintă o modalitate viabilă de a împiedica infectarea rețelei sau a dispozitivelor dvs. cu ransomware. Prin urmare, persoanele și organizațiile care dispun de programe antimalware și alte protocoale de securitate, cum ar fi un model Zero Trust, înainte de a avea loc un atac, au cele mai mici șanse să devină victimele atacurilor cu ransomware.
-
Atacurile cu ransomware tradiționale au loc atunci când o persoană este păcălită să interacționeze cu conținut rău intenționat, cum ar fi să deschidă un e-mail infectat sau să acceseze un site web dăunător, care instalează ransomware pe dispozitivul său.
Într-un atac cu ransomware operat de oameni, un grup de atacatori atacă și obțin acces la datele confidențiale ale unei organizații, de obicei folosind acreditări furate.
De obicei, atât pentru ransomware-ul de inginerie socială, cât și pentru ransomware-ul operat de oameni, o victimă sau o organizație va primi o notă de răscumpărare care detaliază datele furate și costul returnării acestora. Cu toate acestea, plata răscumpărării nu garantează că datele vor fi returnate cu adevărat sau că breșele viitoare vor fi împiedicate.
-
Efectele unui atac cu ransomware pot fi devastatoare. Atât la nivel individual, cât și la nivel organizațional, victimele se pot simți forțate să plătească răscumpărări mari, fără garanția că datele le vor fi returnate sau că nu vor mai avea loc atacuri suplimentare. Dacă un infractor cibernetic divulgă informațiile confidențiale ale unei organizații, reputația sa ar putea fi deteriorată și organizația ar putea fi văzută ca nefiind de încredere. Și, în funcție de tipul de informații divulgate și de dimensiunea organizației, mii de persoane ar putea risca să devină victimele furtului de identitate sau ale altor infracțiuni cibernetice.
-
Infractorii cibernetici care infectează dispozitivele victimelor cu ransomware vor bani. Ei au tendința de a stabili răscumpărările în criptomonede, din cauza naturii lor anonime și nedetectabile. Într-un atac cu ransomware de inginerie socială ce vizează o persoană, răscumpărarea poate fi de sute sau mii de dolari. Într-un atac ransomware operat de oameni care vizează o organizație, răscumpărarea ar putea fi de milioane de dolari. Aceste atacuri mai sofisticate împotriva organizațiilor pot utiliza informațiile financiare confidențiale găsite de infractorii cibernetici atunci când încalcă rețeaua ca motiv pentru a seta o răscumpărare pe care consideră că organizația și-o poate permite.
-
Victimele ar trebui să raporteze atacurile cu ransomware la autoritățile de aplicare a legii locale sau federale. În Statele Unite, acestea sunt filiala FBI locală, IC3 sau Serviciile Secrete. Experții în securitate și reprezentanții autorităților de aplicare a legii recomandă ca victimele să nu plătească răscumpărările; dacă ați plătit deja, contactați imediat banca și autoritățile locale. Este posibil ca banca dvs. să poată bloca plata dacă ați plătit cu un card de credit.
Urmăriți Microsoft