Ransomware – czym jest i jak działa? | Centrum e-Zdrowia

Tego typu ataki są zazwyczaj starannie zaplanowane. Cyberprzestępcy wybierają moment i sposób działania tak, by maksymalnie sparaliżować ofiarę, niezależnie od tego, czy jest to firma, instytucja publiczna czy osoba prywatna. Ma to szczególne znaczenie w sektorze ochrony zdrowia, gdzie konsekwencjami może być utrata życia lub zdrowia przez pacjentów.

Stosowane algorytmy szyfrowania są na tyle zaawansowane, że bez oryginalnego klucza odzyskanie danych jest praktycznie niemożliwe. Ofiara musi więc wybierać między utratą plików a ryzykownym spełnieniem żądań przestępców w nadziei na ich odzyskanie.

Warto podkreślić, iż nie należy ulegać szantażowi i dokonywać płatności. Takie działania mogą zostać uznane za wspieranie działalności przestępczej i nie dają żadnej gwarancji odzyskania danych. Nie dają również pewności, że dane nie zostaną opublikowane.

Ransomware najczęściej dostaje się do systemu przez luki w zabezpieczeniach, szkodliwe linki oraz załączniki przesyłane pocztą elektroniczną, brak aktualizacji, słabe hasła i zabezpieczenia dostępu zdalnego. Dlatego tak istotne są działania prewencyjne, które prezentujemy poniżej.

1. Jak przygotować się na potencjalny atak?

   1. Opracuj plany reagowania i przeprowadzaj okresowo symulacje incydentów (np. w formie gier decyzyjnych).
   2. Twórz regularne kopie zapasowe (zgodnie z zasadą 3-2-1):
      • minimum trzy egzemplarze kopii danych,
      • na dwóch różnych nośnikach,
      • jeden przechowywany w formie offline odseparowanej od infrastruktury organizacji.
   3. Testuj regularnie odzyskiwanie danych z backupów.
   4. Zarządzaj procesem aktualizacji:
      • monitoruj środowisko pod kątem wdrożonych wersji oraz dostępnych aktualizacji,
      • staraj się automatycznie aktualizować oprogramowanie oraz systemy (priorytetowo krytyczne łatki), pamiętając o zachowaniu ciągłości działania,
      • określ stałe „okna czasowe” na instalację aktualizacji,
      • przygotuj procedurę wycofywania wadliwych wersji.
   5. Wprowadź proces zarządzania uprawnieniami:
      • ogranicz uprawnienia dla poszczególnych użytkowników,
      • stosuj zasadę najmniejszych uprawnień,
      • dokumentuj wszelkie zmiany uprawnień,
      • ogranicz dostęp do kont uprzywilejowanych (powinny być one udostępnione tylko dla wybranych administratorów).
   6. Stosuj uwierzytelnianie wieloskładnikowe (MFA):
      • dla wszystkich użytkowników – ze szczególnym uwzględnieniem kont administracyjnych,
      • dla dostępu zdalnego (VPN).
   7. Wprowadź rozwiązania typu NGAV/EDR/XDR do ochrony stacji roboczych.
   8. Stosuj segmentację sieci:
      • izoluj systemy krytyczne,
      • twórz dedykowane VLANy (w zależności od roli pełnionej przez urządzenia znajdujące się w danej podsieci),
      • stosuj rozwiązania klasy IDS/IPS.
   9. Regularnie edukuj użytkowników w zakresie phishingu i cyberzagrożeń.
   10. Zbieraj, monitoruj i analizuj logi z wykorzystaniem SIEM, UEBA.
   11. Wprowadź politykę Application Whitelisting abyuruchamiać tylko zweryfikowane i zaaprobowane przez dział IT aplikacje.
   12. Stosuj zasadę domyślnego nlokowania portów USB i kontroluj nośniki wymienne, aby zapobiec nieautoryzowanemu wprowadzaniu złośliwego oprogramowania.
   13. Przeprowadzaj regularne testy penetracyjne i audyty konfiguracji.
   14. Określ, jak długo i w jakiej formie przechowywane są kopie zapasowe oraz prowadź szczegółowy rejestr operacji na kopiach.
   15. Zapewnij zasilanie awaryjne (UPS, generatory).

2. Jak wykryć wskaźniki trwającego ataku?

   1. Monitoruj alerty z narzędzi klasy EDR/NGAV o nietypowym zachowaniu aplikacji.
   2. Śledź anomalie w ruchu sieciowym (NDR/NTA) oraz próby nawiązywania połączeń do C2 (serwerów Command and Control).
   3. Obserwuj nagłe zmiany w harmonogramach backupów (wyłączanie/uszkodzenia).
   4. Kontroluj logowania administracyjne – szczególnie o nietypowych porach i lokalizacjach.
   5. Korzystaj z systemów honeypot/deception (fałszywe konta administracyjne).
   6. Wykrywaj zmiany w konfiguracji zabezpieczeń i wyłączenia narzędzi antywirusowych.
   7. Monitoruj aktywność i alerty związane z próbami dostępu do zasobów wrażliwych.
   8. Zbieraj i analizuj logi dotyczące uruchomienia makr, aby wiedzieć, kiedy i kto je uruchomił.
   9. Obserwuj zmiany w konfiguracjach.

3. Jak postępować w przypadku ataku ransomware?

   1. Natychmiast izoluj zaatakowane urządzenia od sieci (zdalna izolacja przez EDR, banowanie MAC adresów, fizyczne odpięcie od sieci lokalnej).
   2. Nie wyłączaj z prądu żadnych urządzeń.
   3. Poinformuj klientów, partnerów oraz wymagane organy regulacyjne (UODO, policja, odpowiedni CSIRT).
   4. Powiadom osoby decyzyjne, w tym dyrekcję, o incydencie.
   5. Przeprowadź szybką ocenę zakresu ataku (identyfikacja zainfekowanych maszyn i danych).
   6. Przygotuj się do odbudowy infrastruktury obejmującej serwery, urządzenia sieciowe (firewalle, routery, koncentratory VPN) oraz stacje robocze.
   7. Każde z urządzeń będące w zaatakowanej sieci potraktuj jak skompromitowane.
   8. Rozpocznij odzyskiwanie danych z kopii zapasowych na osobnych urządzeniach (ogranicz się do niezbędnych plików i baz danych).
   9. Nie odtwarzaj obrazów systemów ani ich konfiguracji, ponieważ mogą one być już skompromitowane.
   10. Dokonaj analizy powłamaniowej (digital forensics) i przygotuj raport z przyczyn ataku.
   11. Po zakończeniu incydentu wprowadź zalecenia z analizy, popraw procedury bezpieczeństwa oraz zaktualizuj plany reagowania.
   12. Zapewnij łatwe i szybkie kanały zgłaszania incydentów (dedykowany e-mail, telefon do SOC lub działu IT).
   13. Przygotuj komunikaty kryzysowe oraz procedury ich szybkiego publikowania i dystrybucji.
   14. Zarchiwizuj wszystkie logi z czasu incydentu oraz maksymalny zakres logów przed wystąpieniem incydentu, na zewnętrznych nośnikach lub do izolowanego środowiska, aby nie zostały nadpisane lub usunięte przez atakujących.
   15. Zabezpiecz próbki ransomware i artefakty ataku do analizy. Przechowuj próbki w bezpiecznym, odizolowanym środowisku.