Tag Archive for: ransomware

Zagrożenie atakiem oprogramowania ransomware a strategia w zakresie tworzenia kopii zapasowych i odzyskiwania danych.

, , , , ,

W ostatnim czasie rodzaje wirusów ransomware stały się bardziej zróżnicowane. Złośliwe oprogramowania atakują systemy niezależnie od organizacji lub rozmiaru systemu, od międzynarodowych firm i liderów branży po małe indywidualne jednostki czy systemy informacyjne.

Raport izraelskiej branży bezpieczeństwa Check Point wskazał, że w trzecim kwartale roku 2020 globalne ataki ransomware wzrosły aż o 50%. Średnia dzienna aktywność ataku wzrosła o 50% w porównaniu z pierwszą połową tego roku, a nowa ofiara pojawiała się co 10 sekund. Oczywiście zagrożenie dla bezpieczeństwa informacji się pogłębia.

Oprócz wprowadzenia z wyprzedzeniem środków ostrożności i reagowania na sytuacje awaryjne w przypadku ataku, wcześniejsze utworzenie mechanizmu tworzenia kopii zapasowych jest nadal jedynym sposobem zapobiegania katastrofom.
Posiadanie kopii zapasowych powoduje, że jeśli dane zostaną zaszyfrowane przez oprogramowanie ransomware, pliki niezainfekowane nadal będą dostępne do codziennego użytku, a co za tym idzie przywrócenie poprzedniej kopii umożliwi działalność jednostki bez zakłóceń.

Opracuj strategię tworzenia kopii zapasowych

Obecnie przedsiębiorstwa stają przed wieloma wyzwaniami w zakresie tworzenia kopii zapasowych. Gdy personel IT przedsiębiorstwa zaczyna planować lub ponownie analizować istniejące strategie tworzenia kopii zapasowych, zaleca się najpierw przeprowadzić inwentaryzację danych, aby potwierdzić zawartość i zakres danych, które mają być objęte kopią zapasową.

Krok pierwszy to sprawdzenie środowiska, w którym wykorzystywane są dane. Obecnie, gdy infrastruktura IT staje się coraz bardziej zróżnicowana i złożona, większość firm znajduje się już w środowisku hybrydowym, w którym współistnieją fizyczne, wirtualne, a nawet chmurowe rozwiązania. Personel IT musi zarządzać zadaniami tworzenia kopii zapasowych z różnych platform, takich jak platforma fizyczna, wirtualna i chmura. 

Dlatego przed sformułowaniem strategii tworzenia kopii zapasowych należy przeprowadzić inwentaryzację nie tylko danych ale też urządzeń, takich jak serwery, komputery PC, laptopy i inne urządzenia fizyczne lub z platform SaaS, maszyn wirtualne i podjąć decyzję, dla których z nich będziemy tworzyć kopie zapasowe.

Krok drugi to ewaluacja informacji czyli spis usług, które będą używane do i wyszczególnienie, które dane są najbardziej krytyczne i wymagają kopii zapasowej. Na przykład w przypadku serwerów plików, systemów ERP, systemów zasobów ludzkich, maszyn wirtualnych usług podstawowych i serwerów fizycznych wykorzystywanych w podstawowych operacjach biznesowych, a także kluczowych urządzeń, takich jak komputery PC kadry kierowniczej, należy ustanowić regularny mechanizm harmonogramu tworzenia kopii zapasowych. Ze względu na wagę usługi warto opracować odpowiednie RTO (docelowy czas odzyskiwania) i RPO (cel punktu odzyskiwania).

Następnie dane można dalej podzielić na dane „zimne” lub „gorące”. Standard danych gorących i zimnych zależy głównie od tego, czy dane te są często używane. Na przykład większość korporacyjnych systemów ERP, systemów pocztowych i serwerów plików to gorące dane. Korporacyjne systemy ERP to usługi, do których pracownicy muszą mieć dostęp każdego dnia, a ilość danych będzie się ciągle zmieniać.

Inaczej będziemy klasyfikować dane w przypadku systemu monitorowania obrazu wdrożonego w przedsiębiorstwie, gdzie dane obrazu muszą być codziennie archiwizowane lecz jeśli jednak nie wystąpi określone zdarzenie, nie będzie potrzeby dostępu. Tego typu dane o niskiej częstotliwości dostępu są idealnym przykładem zimnych danych.
Po zinwentaryzowaniu platformy źródłowej, urządzeń i ważności danych można ustawić częstotliwość tworzenia kopii zapasowych, liczbę wersji do wykonania kopii zapasowej oraz docelowe urządzenie kopii zapasowej dla różnych danych. Gorące i zimne dane będą wymagały różnych poziomów tworzenia kopii zapasowych. Gorące dane wymagają urządzenia pamięci masowej ze stosunkowo wysokim parametrem IOPS. Zimne dane wymagają stosunkowo niskiego IO. Podstawowa kwestia dla wszystkich przedsiębiorstw to upewnienie się, że pojemność pamięci masowej jest wystarczająca do wyznaczonych celów.

Zasada tworzenia kopii zapasowych 3-2-1

Po zakończeniu przeglądu firma może potwierdzić, czy aktualnie wybrany sprzęt do tworzenia kopii zapasowych spełnia wymagania, a następnie sporządzić odpowiedni plan tworzenia kopii zapasowych i wybrać najbardziej efektywny plan wdrożenia w ramach dostępnego budżetu.

Zaleca się aby przy wdrażaniu planów tworzenia kopii zapasowych firmy przyjęły „zasadę 3-2-1”, co oznacza, że ważne pliki muszą być przechowywane w 3 kopiach, pliki są przechowywane na co najmniej 2 różnych nośnikach, z czego 1 z nich znajduje się poza siedzibą firmy.

Ponadto przedsiębiorstwa powinny również tworzyć kopie zapasowe wielu wersji danych krytycznych i wybrać pakiet usług, który obsługuje tworzenie kopii zapasowych na lokalnych urządzeniach pamięci masowej, zewnętrznych urządzeniach pamięci masowej i przestrzeni w chmurze publicznej. Ponadto firma powinna  zarezerwować wystarczającą ilość miejsca na przechowywanie kopii zapasowych wielu wersji, aby zapewnić jak najlepszą ochronę krytycznych danych.
Przykładowo, gdy przedsiębiorstwo tworzy kopię zapasową serwera plików, do którego pracownicy mają dostęp każdego dnia, może zapisywać kopie zapasowe wielu wersji na lokalnym serwerze NAS za pomocą funkcji migawki, a następnie kopiować pliki migawek na zdalny serwer NAS. Trzecia kopia zapasowa danych może być poddana deduplikacji i skompresowana. 

Oprócz regularnego wykonywania kopii zapasowych jest jeszcze jedna rzecz, na którą należy zwrócić uwagę w obliczu oprogramowania ransomware: kopie zapasowe muszą być utrzymywane w trybie offline. Ponieważ obecne warianty oprogramowania ransomware już próbowały zaatakować i usunąć wszelkie dostępne pliki i dane kopii zapasowych, niektóre złośliwe oprogramowanie mogą nawet ponownie zaszyfrować te pliki kopii zapasowych. Dlatego bardzo ważne jest również przechowywanie zaszyfrowanej kopii zapasowej danych w trybie offline oraz regularne utrzymywanie i testowanie integralności danych.

Wyobraźmy sobie rzeczywisty scenariusz aplikacji: jeśli strategia tworzenia kopii zapasowych w przedsiębiorstwie polega na zaplanowaniu replikacji migawki codziennie o 12:00 oraz o 17:00 i 18:00, to nawet jeśli ich system zostanie zaatakowany przez oprogramowanie ransomware o 13:00, będzie można przywrócić niezainfekowaną wersję pliku z migawki zrobionej godzinę wcześnie.

Dobrym przykładem korzyści z posiadania dobrego planu tworzenia kopii zapasowych jest również sytuacja, gdzie firma wykonuje zdalne kopie zapasowe a ich lokalna pracownia komputerowa tymczasowo ulegnie awarii. W tym przypadku serwer pomocniczy może przejąć i otworzyć plik kopii zapasowej, aby natychmiast zapewnić usługi dostępu i uniknąć ryzyka przerwania usługi.

Zarządzanie kopiami zapasowych i odzyskiwanie danych po awarii

Warto przypomnieć, że dla pracowników działu IT przedsiębiorstwa, sposób zarządzania zadaniami tworzenia kopii zapasowych jest również ważnym punktem, który należy wziąć pod uwagę podczas planowania. Szczególnie teraz, kiedy istnieje wiele danych z heterogenicznych urządzeń i platform, którymi należy zarządzać. Idealne oprogramowanie do tworzenia kopii zapasowych powinno zapewniać ujednolicony interfejs do łatwego zarządzania oraz dostosowane raporty wyjściowe, aby ułatwić późniejsze śledzenie i zarządzanie danymi.

Kluczowe jest monitorowanie zadań tworzenia kopii zapasowych danych pod kątem nietypowych warunków użytkowania, generowanie fałszywych alarmów w przypadku wystąpienia nietypowych zachowań lub dostarczanie danych do odpowiednich jednostek w celu przeprowadzenia audytów bezpieczeństwa informacji.

Jednocześnie odzyskiwanie i integralność danych mają również kluczowe znaczenie dla tworzenia kopii zapasowych danych.
Oprócz wdrażania planów tworzenia kopii zapasowych danych w wielu wersjach i wielu miejscach docelowych, firmy powinny również regularnie przywracać i testować stan kopii zapasowych. Jest to niezbędne, aby zapewnić integralność oraz dostępność danych.

Ważne jest także, aby regularnie sprawdzać korzystanie z mechanizmów odtwarzania po awarii oraz uczestniczyć w szkoleniach edukacyjnych.

Firma powinna wiedzieć jak reagować w przypadku gdy krytyczne dane zostały usunięte przez oprogramowanie ransomware i z jakich źródeł należy pobrać kopię zapasową oraz wiedzieć, w jaki sposób sprawdzić czy informacje o kopii zapasowej są kompletne. Dzięki ćwiczeniom na wypadek awarii możemy dodatkowo upewnić się, że dane są naprawdę bezpieczne.
W obliczu stale zmieniającego się oprogramowania ransomware przedsiębiorstwa muszą zachować elastyczność oraz dostosowywać swoje reakcje w każdym momencie. 

Reasumując wszystkie zebrane powyżej informacje, firmy powinny regularnie wykonywać kopie zapasowe plików. Jest to pozytywne działanie mające na celu ochronę ważnych danych. Zaleca się, aby najpierw dokonały rozeznania w zakresie inwentaryzacji danych, pamiętały o zasadzie „kopii zapasowej 3-2-1” i sformułowały dla siebie najbardziej odpowiednią strategię tworzenia kopii zapasowych i przywracania danych. Poprzez ćwiczenia pokazujące w jaki sposób poradzić sobie z krytyczną sytuacją utraty danych czy ataku ransomware, każda firma jest w stanie stworzyć odpowiednią linię obrony dla swojego środowiska.

Potrzebujesz pomocy w tym zakresie? Szukasz rozwiązania do bezpiecznego przechowywania danych? Skontaktuj się z nami.

Sklep Synology.

UWAGA! Użytkownicy QNAP zostali zaatakowani nowym wirusem QLOCKER szyfrującym pliki.

,

Oprogramowanie ransomware o nazwie Qlocker zaczęło atakować urządzenia QNAP 19 kwietnia 2021 r. Od tego czasu na różnych forach pomocy technicznej odnotowano ogromną aktywność. Natomiast ID-Ransomware odnotowało wzrost liczby zgłoszeń.

Przebieg ataku wygląda w ten sposób, że przestępcy używają 7-zip do przenoszenia plików na urządzeniach QNAP do archiwów chronionych hasłem. Podczas blokowania plików QNAP Resource Monitor wyświetli wiele procesów „7z”, które są wykonywalnymi wierszami poleceń 7zip. Po zakończeniu działania oprogramowania ransomware pliki urządzenia QNAP będą przechowywane w chronionych hasłem archiwach 7-zip z rozszerzeniem .7z. Aby rozpakować te archiwa, ofiara musi wprowadzić hasło znane tylko atakującemu. Po zaszyfrowaniu urządzeń QNAP użytkownicy otrzymują wezwanie do okupu READ_ME.txt zawierające unikalny klucz klienta, który ofiara musi wprowadzić, aby zalogować się na stronie płatności „ransomware’s Tor”.

Firma QNAP przekazała informację, że ich zdaniem Qlocker wykorzystuje lukę CVE-2020-36195 do uruchamiania oprogramowania ransomware na podatnych urządzeniach.

QNAP podaje, iż luka została naprawiona w kolejnych wersjach Multimedia Console i dodatku Media Streaming, jak również w wersjach systemu QTS 4.3.3 i QTS 4.3.6:

  • QTS 4.3.3: Dodatek Media Streaming 430.1.8.10 lub nowszy
  • QTS 4.3.6: Dodatek Media Streaming w wersji 430.1.8.8 lub nowszej
  • QTS 4.4.xi nowsze: Multimedia Console 1.3.4 i nowsze
  • QTS 4.3.3.1624, kompilacja 20210416 lub nowsza
  • QTS 4.3.6.1620 kompilacja 20210322 lub nowsza

Aby naprawić lukę, zdecydowanie zaleca się zaktualizowanie Multimedia Console lub dodatku Media Streaming do najnowszej wersji. Ponadto w przypadku urządzeń z systemem QTS 4.3.3 i QTS 4.3.6 zdecydowanie zaleca się zaktualizowanie systemu QTS.

Jak to zrobić?

Aktualizacjia QTS:

  1. Zaloguj się do QTS jako administrator.
  2. Wybierz Panel sterowania > System > Aktualizacja oprogramowania .
  3. sekcji Aktualizacja na żywo kliknij Sprawdź aktualizacje .
    QTS pobiera i instaluje najnowszą dostępną aktualizację.

Wskazówka: aktualizację można również pobrać z witryny QNAP. Wybierz Pomoc > Centrum pobierania, a następnie przeprowadź ręczną aktualizację dla swojego urządzenia.

Aktualizacja Multimedia Console:

  1. Zaloguj się do QTS jako administrator.
  2. Otwórz App Center, a następnie kliknij .
    Pojawi się pole wyszukiwania.
  3. Wpisz „Konsola multimedialna”, a następnie naciśnij ENTER .
    Konsola multimedialna pojawi się w wynikach wyszukiwania.
  4. Kliknij Aktualizuj .
    Pojawi się komunikat potwierdzający.
    Uwaga: Aktualizacja przycisk jest niedostępny, jeśli konsola multimedialna jest już aktualne.
  5. Kliknij OK .
    Aplikacja jest aktualizowana.

Aktualizacja dodatku Media Streaming:

  1. Zaloguj się do QTS jako administrator.
  2. Otwórz App Center, a następnie kliknij .
    Pojawi się pole wyszukiwania.
  3. Wpisz „Media Streaming add-on”, a następnie naciśnij ENTER .
    W wynikach wyszukiwania pojawi się dodatek Media Streaming.
  4. Kliknij Aktualizuj .
    Pojawi się komunikat potwierdzający.
    Uwaga: Aktualizacja przycisk jest niedostępny, jeśli komputer Media Streaming dodatek już aktualne.
  5. Kliknij OK .
    Aplikacja jest aktualizowana.

Jeśli QNAP NAS został już zaatakowany, przedstawiamy rozwiązanie, które powinno pomóc.

Kluczowe jest nie restartowanie NAS!!!!

  1. NIE RESTARTUJ NAS
  2. Połącz się z urządzeniem przez SSH
  3. Wykonaj poniższe polecenie żeby sprawdzić, czy trwa szyfrowanie:
    ps | grep 7z
  4. Jeśli 7z działa, wykonaj komendę:
    cd /usr/local/sbin; printf '#!/bin/sh \necho $@\necho $@>>/mnt/HDA_ROOT/7z.log\nsleep 60000′ > 7z.sh; chmod +x 7z.sh; mv 7z 7z.bak; mv 7z.sh 7z;
  5. Poczekaj kilka minut i przy użyciu „cat” odczytaj klucz szyfrujący:
    cat /mnt/HDA_ROOT/7z.log
    Szukany wpis wygląda podobnie do:
    a -mx=0 -sdel -pmFyBIvp55M46kSxxxxxYv4EIhx7rlTD [FOLDER PATH]
    mFyBIvp55M46kSxxxxxYv4EIhx7rlTD To klucz do odszyfrowania plików – uwaga, dla każdego NAS może być inny
  6. Zrestartuj NAS i przy użyciu klucza mFyBIvp55M46kSxxxxxYv4EIhx7rlTD Odszyfruj pliki.

Więcej informacji dostępne jest na stronie QNAP.

Jak się chronić przed oprogramowaniem ransomware? Użyj NAKIVO Backup & Replication.

, , , , ,

Oprogramowanie ransomware stanowi zagrożenie zarówno dla osób fizycznych jak i dla firm. Atak ransomware może zniszczyć cenne dane oraz spowodować straty finansowe, jak również utratę zaufania. Liczba ataków ransomware na całym świecie rośnie z każdym rokiem, powodując utratę petabajtów danych. Z tego powodu ważne jest aby wiedzieć jak chronić się przed oprogramowaniem ransomware. W tej publikacji postaramy przybliżyć problem złośliwych ataków jak również sposoby ochrony przed nimi.

Oprogramowanie ransomware to nic innego, jak złośliwe oprogramowanie wymuszające okup, które blokuje użytkownikowi dostęp do systemu lub plików osobistych, a następnie żąda opłaty w zamian za ich przywrócenie. Jak się przed tym chronić?

Ochrona przed oprogramowaniem wymuszającym okup

Strategię ochrony przed oprogramowaniem ransomware można podzielić na dwa główne etapy:

  • Środki zapobiegawcze
  • Środki naprawcze

Środki zapobiegawcze służą zapobieganiu infekcjom ransomware. Znacznie lepiej jest zapobiegać atakowi ransomware niż łagodzić jego skutki. Środki zapobiegawcze można zastosować bez przestojów lub przy minimalnych przestojach. Obejmują one oprogramowanie antywirusowe i ochronę poczty e-mail.

Środki naprawcze są podejmowane w trakcie i po ataku ransomware, zwłaszcza gdy taki atak powoduje utratę danych i przerwanie normalnego działania. Wymagają one więcej wysiłku i czasu w porównaniu ze środkami zapobiegawczymi, ponieważ odzyskiwanie obejmuje przywracanie danych i obciążeń. Jeśli nie jesteś przygotowany na katastrofy i ataki ransomware, odzyskanie może okazać się zbyt trudne lub nawet niemożliwe.

Użyj oprogramowania antywirusowego

Zainstaluj program antywirusowy na wszystkich komputerach z systemem Windows, aby wykrywać zainfekowane pliki i złośliwe iniekcje w pamięci urządzeń oraz blokować zainfekowane treści i strony w witrynach internetowych. Niestety w ostatnim czasie użytkownicy macOS również doświadczają ataków ze strony oprogramowań ransomware.

Najlepiej jeśli używasz programu antywirusowego, który obsługuje oparte na zachowaniu wykrywanie oprogramowania ransomware i analizę heurystyczną. W przypadku wykrycia złośliwego zachowania program antywirusowy powinien zablokować podejrzane pliki i wyświetlić powiadomienia o alertach. Rozważ użycie programu antywirusowego, który może monitorować typowe lokalizacje w których oprogramowanie ransomware może tworzyć lub modyfikować pliki.

Na co warto zwrócić uwagę przy wyborze oprogramowania antywirusowego?

  • Czy program wykrywa podejrzane procesy próbujące zaszyfrować pliki
  • Czy posiada ochronę wybranych folderów przed nieautoryzowanym dostępem i modyfikacją plików
  • Czy zapewnia ochronę w czasie rzeczywistym
  • Czy zapewnia ochronę przed exploitami

Powyższe funkcje antywirusowe są ważne, ponieważ zapewniają znacznie lepszą ochronę niż proste skanowanie oparte na sygnaturach (które wykorzystuje antywirusowe bazy danych z sygnaturami).

Co jeszcze istotne? Aktualizuj antywirusowe bazy danych regularnie co najmniej raz dziennie. Twórcy oprogramowania ransomware zazwyczaj testują oprogramowanie ransomware przed rozpoczęciem ataku, aby upewnić się, że nowa wersja oprogramowania ransomware nie zostanie wykryta za pomocą oprogramowania antywirusowego. Dlatego w Twoim najlepszym interesie jest posiadanie najświeższej dostępnej bazy danych wirusów w programie antywirusowym, aby wykrywać najnowsze wirusy.

Powinieneś także używać programu antywirusowego dla swoich maszyn wirtualnych. Istnieją rozwiązania antywirusowe, które obsługują integrację z vShield ivSphere oraz zapewniają bezagentowe zabezpieczenia antywirusowe dla maszyn wirtualnych działających na hostach ESXi(jeśli masz środowisko wirtualne VMware). Rozważ użycie takiego programu antywirusowego do optymalizacji obciążeń na hostach ESXi zamiast tradycyjnych programów antywirusowych, które powinny być instalowane na każdej maszynie wirtualnej.

Ochrona poczty e-mail

Skonfiguruj filtry antyspamowe i anty-malware na serwerach pocztowych. Poczta e-mail to jedna z najpopularniejszych metod rozpowszechniania oprogramowania ransomware i infekowania komputerów w celu rozprzestrzeniania infekcji na inne komputery podłączone do sieci. Atakujący lubią udostępniać linki do złośliwych witryn i dołączać dokumenty Worda lub Excela z makrami, aby infekować urządzenia. Właściwa konfiguracja filtrów antyspamowych i anty-malware na serwerach pocztowych zapobiega otrzymywaniu przez użytkowników wiadomości e-mail ze szkodliwymi odsyłaczami lub złośliwymi załącznikami (lub przynajmniej znacznie zmniejsza to prawdopodobieństwo). Konfiguracje filtrów należy regularnie aktualizować, korzystając z baz danych zaufanych dostawców.

W zależności od polityki bezpieczeństwa możesz skonfigurować filtry chroniące przed złośliwym oprogramowaniem i oprogramowaniem ransomware, aby wyświetlać komunikat ostrzegawczy lub usuwać wiadomość, zanim dotrze do użytkownika. Popularni dostawcy świadczący usługi w chmurze i usługi poczty e-mail, tacy jak Google (G Suite) i Microsoft (Microsoft 365 Exchange), chronią klientów przed spamem.

Konfiguracja routera

Routery, które są nieprawidłowo skonfigurowane, mogą być używane do przeprowadzania ataków ransomware. Atakujący zwykle skanują standardowe porty w poszukiwaniu powszechnie używanych usług w celu wykrycia, który port jest otwarty i próbują zainicjować atak przy użyciu tego portu.

Bardzo istotne jest skonfigurowanie zapory na routerach w celu ochrony przed infiltracją ransomware. Zaleca się również zablokowanie dostępu do nieużywanych portów. Inną rzeczą, którą możesz zrobić jest zmiana standardowych numerów portów na niestandardowe (nieużywane) numery portów, jeśli to możliwe.

Następnie możesz skonfigurować filtrowanie adresów URL i blokowanie reklam. Reklamy mogą służyć do infekowania złośliwym oprogramowaniem. Szkodliwa reklama nazywana jest „malware”. Witryny o złej reputacji, które są wykorzystywane do rozpowszechniania złośliwej zawartości, należy blokować za pomocą filtrów adresów URL na routerach zapewniających dostęp do internetu użytkownikom w Twojej organizacji. Nowoczesne oprogramowanie może dynamicznie dodawać nowe złośliwe witryny do konfiguracji filtrów zawartości, dlatego należy zapewnić aktualność systemu filtrowania adresów URL.

Szkolenia pracowników

Urządzenie pojedynczego użytkownika może być punktem wyjścia do ataku ransomware obejmującego całą firmę. Błędy ludzkie zajmują czołowe miejsce w statystykach ransomware. Ważne jest przeszkolenie pracowników w organizacji, aby rozumieli i rozpoznawali zagrożenia ransomware oraz metody działania.

Prowadząc szkolenia z cyberbezpieczeństwa dla pracowników możesz zmniejszyć liczbę incydentów infekcji złośliwym oprogramowaniem związanych z błędami ludzkimi i nieumyślnymi naruszeniami, a tym samym poprawić ochronę przed oprogramowaniem ransomware w organizacji. Poinformuj użytkowników, że nie powinni otwierać podejrzanych wiadomości e-mail, klikać wszystkich linków zawartych w wiadomościach e-mail, klikać banerów reklamowych w witrynach internetowych, włączać makr podczas otwierania dokumentów załączonych do wiadomości e-mail, klikać plików wykonywalnych ani otwierać innych potencjalnie ryzykownych treści. Użytkownicy powinni używać silnych haseł i włączać uwierzytelnianie dwuskładnikowe.

Jeśli nie zwiększysz świadomości pracowników na temat ataków ransomware i ogólnie zagrożeń cyberbezpieczeństwa, ale po prostu zablokujesz wszystko po swojej stronie, użytkownicy nadal mogą ominąć tę ochronę. Na przykład pracownicy mogą używać swoich dysków flash USB do kopiowania informacji z / do komputerów roboczych, podłączania osobistych laptopów do sieci organizacji itp. Należy zachować równowagę między ścisłą polityką bezpieczeństwa z surowymi ograniczeniami a świadomością pracowników. W przeciwnym razie surowa polityka bezpieczeństwa może utrudnić procesy robocze i zakłócać codzienną pracę pracowników.

Należy również upewnić się, że pracownicy używają silnych haseł i przestrzegać polityki zmiany haseł. Ważne jest aby pamiętać, że jeśli skomplikowane hasła są zmieniane zbyt często, użytkownicy zwykle nie mogą ich zapamiętać, chyba że zapiszą je w plikach jako zwykły tekst lub na naklejkach przyczepionych w pobliżu komputerów. Stwarza to zagrożenie wyciekiem haseł.

Ogranicz uprawnienia

Przyznaj użytkownikom tylko te uprawnienia, które są im niezbędne do wykonywania pracy w oparciu o zasady dostępu. Oznacza to, że zwykły użytkownik nie może mieć poświadczeń administratora domeny do zapisywania niektórych plików w udostępnionym folderze używanym przez jego dział. Jeśli częścią pracy użytkownika jest tworzenie kopii zapasowych danych, możesz utworzyć osobne konto i oddzielne repozytorium kopii zapasowych dla tego użytkownika. Zasada najniższych uprawnień pozwala zmniejszyć ryzyko nieautoryzowanego dostępu i poprawić ochronę przed oprogramowaniem ransomware. Użyj dedykowanego konta, aby uzyskać dostęp do repozytorium kopii zapasowych, w którym przechowywane są kopie zapasowe danych.

Chroń swoją sieć

Aby chronić swoją sieć, użyj segmentacji sieci. Prawidłowe połączenie wielu podsieci i routerów może ograniczyć rozprzestrzenianie się wirusów w sieci firmowej w przypadku zainfekowania urządzeń.

Rozważ użycie standardu IEEE 802.1X z obsługiwanymi metodami uwierzytelniania w celu bezpiecznego uwierzytelniania w sieci i skonfiguruj kontrolę dostępu do sieci. W ten sposób podpisany certyfikat i ważne poświadczenia są wymagane do połączenia się z siecią w celu przejścia uwierzytelnienia i ustanowienia szyfrowanego połączenia. Architektura składa się z trzech głównych komponentów: klienta, wystawcy uwierzytelnienia i serwera uwierzytelniającego. Aby rozpoznać użytkownika korzystającego z przewodowego połączenia Ethernet, potrzebny jest serwer RADIUS i przełącznik obsługujący standard 802.1X.802.1X (może być używany w sieciach przewodowych i Wi-Fi).

Jeśli to możliwe, przeprowadź testy penetracyjne sieci. Ten rodzaj testowania pomaga wykryć luki w zabezpieczeniach, które można wykorzystać do uzyskania dostępu do sieci i zainicjowania ataku ransomware. Napraw znalezione problemy, aby chronić się przed oprogramowaniem ransomware.

Zainstaluj poprawki zabezpieczeń

Zainstaluj poprawki zabezpieczeń dla systemów operacyjnych i innych aplikacji zainstalowanych na komputerach, aby zapobiec wykorzystywaniu luk w zabezpieczeniach do inicjowania ataków ransomware. Historia zna wiele przypadków wykorzystania luk w zabezpieczeniach do rozpoczęcia ataków ransomware i rozprzestrzeniania oprogramowania ransomware w sieci jako robaka. W tym przypadku automatyczne aktualizacje są przydatne do ochrony przed oprogramowaniem ransomware.

Monitoruj swoje środowisko

Monitoruj swoje środowisko, aby zapewnić szybkie wykrycie oprogramowania ransomware i złagodzić skutki ataku. Podejrzane / nieprawidłowe obciążenie procesora i aktywność dysku mogą wskazywać, że oprogramowanie wymuszające okup jest aktywne. Jeśli nowe kopie zapasowe zajmują dwa razy więcej miejsca niż zwykle, coś może być nie tak. Na przykład ostatni punkt odzyskiwania dla przyrostowej kopii zapasowej może zawierać zaszyfrowane dane, które są zupełnie inne niż poprzedni punkt odzyskiwania z poprawnymi danymi. W tym przypadku ostatni punkt odzyskiwania jest nieprawidłowy. W takim przypadku rozważ skonfigurowanie Honeypot.

Honeypot to technologia wykrywania nieprawidłowej aktywności. Jest to zestaw specjalnych plików w niestandardowych lokalizacjach na serwerze. Najczęściej składa się z komputera, danych i wyodrębnionego obszaru sieci lokalnej, które udają prawdziwą sieć, lecz są odizolowane od niej i odpowiednio zabezpieczone. W przypadku wykrycia dostępu do nich administrator systemu zgłasza nieprawidłową aktywność. Podczas normalnej pracy produkcyjnej nie powinno się uzyskiwać dostępu do tych plików.

Regularnie wykonuj kopie zapasowe danych

Posiadanie kopii zapasowej jest jednym z najważniejszych kroków, które należy podjąć aby mieć pewność, że w przypadki ataku ransomware nadal możesz odzyskać dane przy minimalnych szkodach. Jeśli mimo wszystkich środków zapobiegawczych programowi ransomware nadal udaje się uszkodzić lub zaszyfrować pliki, odzyskiwanie z kopii zapasowej jest najskuteczniejszą metodą przywracania danych. Odzyskiwanie z kopii zapasowych jest jeszcze bardziej wydajne pod względem zasobów niż użycie narzędzia deszyfrującego.

Kilka najlepszych praktyk, których należy przestrzegać, aby zapewnić płynne odzyskiwanie po ataku ransomware:

  • Przechowuj kopie zapasowe w bezpiecznym miejscu. Chroń kopie zapasowe przed dostępem oprogramowania ransomware i usunięciem. Nowoczesne oprogramowanie ransomware próbuje znaleźć i zaszyfrować kopie zapasowe, aby uniemożliwić odzyskanie danych.
  • Nie używaj konta administratora Active Directory, aby uzyskać dostęp do magazynu kopii zapasowych i serwera kopii zapasowych. Jeśli kontroler domeny zostanie przejęty, oprogramowanie ransomware może uzyskać dostęp do kopii zapasowych i je uszkodzić. Nie udostępniaj użytkownikom konta używanego do uzyskiwania dostępu do serwera kopii zapasowych oraz nie udostępniaj miejsca przechowywania kopii zapasowych zwykłym użytkownikom.
  • Postępuj zgodnie z regułą tworzenia kopii zapasowych 3-2-1. Przechowuj co najmniej trzy kopie danych: kopię produkcyjną i dwie inne kopie zapisane na różnych nośnikach, przy czym jedna z nich będzie przechowywana poza siedzibą firmy. Aby uzyskać najlepszą ochronę przed oprogramowaniem ransomware, możesz pójść jeszcze dalej i przechowywać dodatkową kopię w trybie offline. Na przykład kopia zapasowa w chmurze publicznej może być traktowana jako kopia poza siedzibą firmy, a kopia zapasowa na taśmie jako kopia offline.
  • Kopiowanie kopii zapasowej na nośnik tylko do odczytu to dobry pomysł, aby chronić dane przed modyfikacją przez oprogramowanie ransomware. Kasety z taśmami lub dyski optyczne to przykłady nośników, których można używać w trybie tylko do odczytu i których nie można łatwo przepisać. Pozostawienie dysków z kopiami zapasowymi w trybie offline zapobiega szyfrowaniu danych przez oprogramowanie ransomware w przypadku zainfekowania komputerów.
  • Utwórz kopię zapasową i skopiuj dane z jednego repozytorium do drugiego. Przykładowo jedno repozytorium kopii zapasowych znajduje się na serwerze Linux i jest dostępne za pośrednictwem protokołu SMB na komputerach z systemem Windows. Kopia zapasowa jest tworzona w repozytorium kopii zapasowych na tym samym komputerze z takim samym systemem lub na innym komputerze, do którego można uzyskać dostęp tylko z serwera kopii zapasowych systemu Linux (na przykład przez NFS).
  • Okresowo testuj kopie zapasowe aby upewnić się, że nadają się do użytku i że możesz odzyskać dane.

Miej plan reagowania

Utwórz plan reagowania na incydenty i plan odtwarzania po awarii oraz nakreśl zestaw działań, które należy wykonać w każdym przypadku.

Działania mogą obejmować:

  • Odłączenie zainfekowanych komputerów od sieci
  • Usunięcie oprogramowania ransomware za pomocą oprogramowania antywirusowego i narzędzi do usuwania
  • Odzyskanie danych z kopii zapasowej

Jeśli nie ma kopii zapasowej, spróbuj znaleźć narzędzie deszyfrujące. Prawdopodobieństwo tego nie jest niestety duże. Czasami można znaleźć narzędzie deszyfrujące dla starych typów oprogramowania ransomware. Cokolwiek by się nie działo, nie zalecamy płacenia okupu, ponieważ każda płatność zachęca cyberprzestępców do przeprowadzania większej liczby ataków ransomware. Nie ma również gwarancji, że Twoje dane zostaną przywrócone nawet po zapłaceniu okupu.

Użyj NAKIVO Backup & Replication

NAKIVO Backup & Replication to kompleksowe rozwiązanie do ochrony danych, którego można używać do tworzenia kopii zapasowych, przywracania i odtwarzania po awarii. Użyj NAKIVO Backup & Replication, aby uzyskać najlepszą ochronę przed oprogramowaniem ransomware w swoim środowisku. Produkt obsługuje tworzenie kopii zapasowych maszyn wirtualnych VMware vSphere, maszyn wirtualnych Microsoft Hyper-V, instancji Amazon EC2, fizycznych maszyn z systemem Linux i Windows, baz danych Oracle i platformy Microsoft 365. Szeroki zestaw opcji wdrażania zapewnia większą elastyczność w dopasowaniu do zasad tworzenia kopii zapasowych. Możesz zainstalować produkt na urządzeniach z systemem Linux, Windows,NAS, a nawet na Raspberry Pi.

Dzięki NAKIVO Backup & Replication możesz tworzyć repozytoria kopii zapasowych przy użyciu udziałów SMB i NFS. Możesz również utworzyć wiele repozytoriów kopii zapasowych zlokalizowanych na komputerze z systemem Linux lub Windows, na którymjest zainstalowany program Director,oraz na komputerach zdalnych, na których jest zainstalowany Transporter. Wreszcie, możesz użyć zasobnika Amazon S3 do utworzenia repozytorium kopii zapasowych.

NAKIVO Backup & Replication umożliwia wdrażanie wielu transporterów w celu korzystania z większej liczby opcji przesyłania danych, w tym kompresji i szyfrowania. Szyfrowanie danych jest obsługiwane podczas przesyłania danych między przewoźnikami.

Funkcja kopii zapasowej w rozwiązaniu umożliwia przestrzeganie zasady tworzenia kopii zapasowych 3-2-1 i przechowywanie wielu kopii danych w różnych miejscach. Kopie zapasowe na taśmie i w chmurach, takich jak Microsoft Azure, Amazon S3 i Wasabi, to dobre opcje ochrony przed oprogramowaniem ransomware. Kopie zapasowe przechowywane na taśmach nie mogą zostać usunięte przez oprogramowanie ransomware. Jeśli oprogramowanie ransomware uzyska dostęp do magazynu kopii zapasowych w Amazon S3, możesz przywrócić poprzednie wersje obiektów Amazon S3 przy użyciu wersjonowania i S3 Object Lock. Oprócz tego nowa wersja NAKIVO Backup & Replication zapewnia dodatkowy poziom ochrony przed oprogramowaniem ransomware w przypadku kopii zapasowych danych przechowywanych w Amazon S3, blokując dostęp do danych. Nowa funkcja zapewnia obsługę funkcji S3 Object Lock w Amazon S3 i sprawia, że ​​przechowywane tam dane kopii zapasowych są niezmienne.

Wnioski

Oprogramowanie ransomware może uszkodzić dane i spowodować katastrofalne skutki. Korzystaj z NAKIVO Backup & Replication, twórz kopie zapasowe swoich danych oraz śledź nasze artykuły, aby uzyskać więcej informacji na temat przechowywania danych.

Jeśli nadal masz pytania, skontaktuj się z nami. Chętnie pomożemy Ci zabezpieczyć Twoje dane.