Cele mai multe companii își răscumpără datele după ce suferă atacuri ransomware. Cum pot fi ele gestionate?26 min read
8 aspecte despre atacurile ransomware pe care le-am aflat de la Cornel Popescu, senior systems engineer la Veeam România.
Atacurile de tip ransomware, în care atacatori malițioși criptează datele de pe sistemele la care capătă acces și cer apoi o sumă de bani pentru a nu le șterge, publica sau vinde mai departe au devenit una dintre cele mai mari bătăi de cap pentru toate tipurile de companii sau instituții.
Cel puțin asta transmite Disponibil pe veeam.com publicat de compania de protecție și recuperare a datelor Veeam Software, bazat pe sondarea a peste 1.200 de specialiști din IT din 14 țări. 85% din organizațiile respondente au suferit cel puțin un atac de tip ransomware în ultimele 12 luni – o creștere cu 12% față de 2022. Iar, în 80% din cele 35% din cazuri în care atacurile care s-au soldat cu date criptate s-a ajuns la răscumpărarea lor, asta deși 41% dintre companiile țintite aveau o politică de a nu plăti în astfel de situații.
Cifrele sunt similare „Report: 85% of companies experience at least one ransomware attack per year”, venturebeat.com și arată că acest tip de atacuri sunt tot mai profitabile. Majoritatea companiilor afectate preferă să plătească răscumpărarea pentru a evita bătăile de cap care ar putea fi produse de publicarea sau ștergerea lor definitivă, iar strategiile de protecție sunt adesea ineficiente.
La evenimentul recent VeeamON Tour 2023, de pe 22 iunie, care a avut ca temă specifică atacurile ransomware, am vorbit cu Cornel Popescu – senior systems engineer la Veeam România, cu experiență de peste 20 de ani în managementul și protecția datelor – despre ce pot face atât companiile, cât și utilizatorii individuali pentru a se proteja în fața unor astfel de atacuri, cum ar trebui să acționeze atunci când sunt victime și în ce situații pot ajuta soluțiile de backup și recuperare software.
Ingineria protecției datelor este tot mai strâns legată de atacurile ransomware
„Eu sunt, la bază, un data protection engineer – un inginer care trebuie să asigure, practic, continuitatea serviciilor digitale în cazuri precum întreruperea alimentării cu energie electrică sau atacuri cibernetice. Aici, principala provocare este cum să reacționezi ca să le restaurezi cât mai rapid.
Astăzi, vedem foarte des atacurile de tip ransomware, care sunt generate în mai toate cazurile cu scopul de a obține profit. Atacatorii îți capturează datele, le criptează ca să nu ai acces la ele, Termenul a fost folosit atât de inginer, cât și în cadrul prezentărilor de la Veeam on Tour pentru a se referi la răscumpărările cerute de atacatori în schimbul datelor Iar în cazul în care n-o plătești într-un termen stabilit de atacator, există posibilitatea să le pierzi definitiv.
Eu le văd ca o evoluție a virușilor informatici. În urmă cu 25 de ani, când un virus se transfera de pe dischetă și-ți formata computerul, îți ștergea datele, cel care îl punea pe dischetă făcea chestia asta doar ca să distreze. Astăzi, atacatorii au găsit metode de a monetiza faptul că sunt mai isteți decât mulți dintre utilizatorii de computere sau telefoane.
Personal, eu o asociez foarte mult cu evoluția criptomonedelor. Pentru că un transfer bancar ilegal poate fi urmărit după tranzacții – te duci după bani și găsești persoana responsabilă –, în schimb, dacă ți se cere acum o recompensă în criptomonede, nu știi la cine ajunge exact plata. Sunt foarte mulți care sunt prinși în capcana asta și ajung să plătească, ceea ce a dus la o creștere exponențială a atacurilor, și nu văd cum ar putea fi redusă.
Și, chiar și dacă s-ar proteja corect toți utilizatorii în fața atacurilor ransomware, întotdeauna vor fi găsite căi noi de atac sau vulnerabilități. Sunt multe în software – de exemplu, anumite tipuri de procesoare pot fi exploatate dacă rulezi seturi de instrucțiuni specifice. În prezent, atacurile ransomware au devenit cel întâlnit mod de a face un sistem nefuncțional.”
Nu există un profil al victimelor, iar plata nu duce mereu la recuperarea datelor
„În ceea privește pericolul de atacuri ransomware, nu există o diferențe majore în funcție de locație sau tipul organizației. Am văzut cazuri în care companii multinaționale au operațiunile din diverse țări atacate simultan.
Cel puțin în ultimii ani, am avut clienți din toate segmentele, fie companii private sau publice, de dimensiuni mari, medii sau mici. Și, din experiența cu aceștia, e foarte greu să încadrăm ținte specifice ale atacurilor – mai toți sunt atacați, nu putem spune că sunt țintite doar un anumit tip de afaceri sau sisteme.
Studiul pe care l-am efectuat arată că 85% dintre organizații spun că au suferit atacuri de tip ransomware în ultimul an. În 39% din cazuri, atacul se termină cu datele organizației criptate sau șterse. Atunci când sunt criptate, există șansa să le restaurezi aflând cheia de criptare, pe care atacatorul promite că ți-o va da în schimbul recompensei. Dar, chiar și în situația în care plătești recompensa, s-ar putea să nu primești cheia de criptare, pentru că un atacator cibernetic nu e neapărat o persoană serioasă.”
Doi parametri-cheie pot face diferența dintre un atac reușit și recuperarea rapidă a datelor
„Sunt două componente la gestionarea unui atac de tip ransomware. Primul este recovery time objective, adică cât de repede poți redeveni operațional, timpul planificat pentru a reveni la o starea funcțională a serviciilor.
Pentru că, într-un incident de genul acesta, sunt multe cazuri în care trebuie să redevii cât mai rapid operațional – de exemplu, în cazul băncilor, care nu-și permit să nu funcționeze timp de mai multe zile – noi avem o serie de funcționalități în produsele noastre care să ajute să minimizeze acest timp. Putem, de exemplu, să facem backup-uri la intervale regulate, în background, sau să facem restaurări granulare, unde nu este necesar să repunem seturi întregi de petabytes de date, ci reparăm doar datele strict necesare sau ce s-a piedut.
Al doilea parametru important este recovery point objective, adică ultima copie a datelor care a fost efectuată. Acum câțiva ani, era normal să se facă un backup o dată pe săptămână. Astăzi, însă, aproape toate sistemele au nevoie de backup cel puțin o dată pe zi. Vedem și clienți care au nevoie să facă asta la fiecare oră sau chiar mai rapid. Atunci când faci backup o dată pe oră, pierderea e minimă, dar asta aduce un stres pe toată infrastructura necesară pentru a menține acele copii.
Așa că mereu există nevoia unui compromis între aspectul financiar, costul în schimbul căruia noi asigurăm aceste servicii, care trebuie să fie la îndemână pentru orice tip de companie, dar și oferirea unor rezultate cât mai mici pentru ambii parametri. Sigur, o companie mare care are are nevoie de pierderi aproape de zero poate investi foarte mult într-o astfel de strategie, astfel încât în zece minute să poată fi operațională din nou. Însă este important de știut și că poți ajunge și cu o soluție software la astfel de rezultate.”
Utilizatorul și sistemele vechi sunt punctele critice
„Eu cred că sunt două puncte critice în atacurile cu ransomware. În primul rând, utilizatorii pot fi păcăliți de metode precum phishing-ul – în care atacatorul se dă drept altcineva, de multe ori prin e-mail, și te trimite pe website-uri unde este foarte ușor să fii păcălit să-ți introduci credențialele.
Aici, educația este cheie – departamentele de IT nu vor prinde toate aceste tentative, unele vor trece de filtre, așa că avem nevoie de utilizatori informați, care știu cum să raporteze astfel de incidente.
În al doilea rând, sunt sistemele de operare în sine, care ar trebui ținute întotdeauna cu actualizările la zi, ca să existe cât mai puține vulnerabilități care pot fi exploatate. Dar văd foarte multe companii care rulează sisteme vechi, precum Windows XP, deși acesta nu mai este susținut cu update-uri de Microsoft. Acestea au găuri de vulnerabilitate, uși deschise din care atacatorii pot intra.”
Backup-urile pot fi protejate împotriva modificării de către atacatori
„După ce pătrund în sistem, atacatorii rămân acolo pentru a scana rețeaua și a se împrăștia peste tot – pentru că blocarea unui server sau a unui laptop nu e mare tragedie, dar dacă nimic nu merge vei simți nevoia de a plăti ca să redevii operațional cât mai rapid.
Iar cineva care vrea să te facă să plătești o recompensă pentru datele tale n-o să vrea să-ți lase posibilitatea să restaurezi rapid datele, dacă știe că ai posibilitatea să o faci. Așa că, odată ce a căpătat acces, o să-ți atace și backup-ul, încercând să-l șteargă sau să-l cripteze.
Așa că un lucru extrem de important este ca datele în sine să nu poată fi modificate, criptate. Pentru asta în limba engleză există termenul de immutability. Eu l-am tradus în română, conform DEX, inamovibilitate, care este definită ca imposibilitatea de a muta sau a schimba din funcție atunci când vorbim de un funcționar public.
Atunci când faci un backup, ai opțiunea asta de a face datele inamovibile – practic, acel backup nu poate fi șters sau modificat, existând garanția că vei avea o copie a datelor care nu poate fi alterată. Pentru securitate adițională, poți face și o copie deconectată, sau cu «air gap» cum i se spune – de exemplu, un backup pe benzi magnetice stocate într-un seif, ceea ce nu oferă posibilitatea unui atacator să se conecteze la el.”
Strategia de protecție este crucială, dar trebuie și testată înainte
„Noi recomandăm o strategie de protecția datelor care să aibă o perspectivă mai de ansamblu decât soft-ul sau de soluția de backup pe care o folosești. Există, de exemplu, metoda 3-2-1-1-0: cel puțin trei copii ale datelor, pe două tipuri diferite de media, cu o copie ținută într-o altă locație și una inamovibilă.
Respectarea unei strategii de acest gen, poate și cu patru-cinci copii ale datelor, dar din care cel puțin una să fie inamovibilă, înseamnă că datele pot fi recuperate în orice scenariu, inclusiv după un atac ransomware care reușește să-ți cripteze toate datele.
Mai ales că strategiile eficiente pot fi implementate acum la costuri accesibile. Acum 10-15 ani, costa foarte mult să ai Un centru de date separat de cel principal, care este folosit doar atunci când este nevoie de recuperarea datelor Astăzi este mult mai ușor, poți folosi un partener de servicii sau cloud-urile publice, ca să ai acces la un astfel de site. Nu trebuie să neapărat să-l construiești ca să poți beneficia de el într-un model care să fie acceptabil economic.
Este important, totuși, ca strategia să fie testată înainte. De exemplu, poți să-ți faci backup-uri doar în cloud, și asta este o soluție care poate fi extrem de sigură. Dar greșeala numărul unu apare când nu testezi acele servicii dinainte, și le folosești prima dată atunci când ești lovit, crezând că este doar un «click-click-next». Apoi îți apare o eroare, începi să faci tot felul de conversii de format ale backup-lui ca să o rezolvi și, pentru că totul este contratimp, s-ar putea să nu poți recupera datele la timp.”
Și utilizatorii obișnuiți pot avea o strategie anti-ransomware
„Cred că cel mai important pentru un utilizator obișnuit este să-și pună serios problema că ar putea fi ținta unui astfel de atac. Observăm în continuare, chiar și în companii, oameni care nu știu ce să facă în cazul unui atac. De multe ori, primul lucru pe care îl fac este să sune pe cineva, un coleg sau prieten, ca să ceară ajutor.
Mai toate produsele de securitate, inclusiv ale noastre, au linii de suport pentru astfel de cazuri. Dar mulți nu știu să deschidă un caz de suport. Avem echipă dedicată care poate oferi ajutorul într-un timp foarte scurt, dar pentru asta trebuie să știi cum să-i contactezi și să o faci cât mai repede. Dacă în momentul în care ești atacat încep să cauți numărul de telefon sau nu știi pe ce să pui mâna, deja pierzi timp într-o situație în care ești contratimp.
Bineînțeles, utilizatorii individuali au și ei opțiuni de a se proteja înainte să fie atacați. Backup-urile inamovibile sau soluțiile de recuperare sunt astăzi la îndemâna oricui, dar tot trebuie să știe la cine să apeleze sau cui să ceară ajutor specializat.
Pentru prevenție, trebuie lucrat foarte mult în zona educației. Inclusiv persoanele tehnice, precum administratorii de sistem, trebuie să se informeze constant și să educe, mai departe, utilizatorii din sistemele lor. Există foarte multe instrumente care pot fi folosite gratuit pentru a crește vigilența utilizatorilor. De exemplu, pot fi trimise email-uri capcană propriilor utilizatori care, în momentul în care ei dau click pe link, îi informează că nu e bine ce au făcut și cum ar trebui să se protejeze.”
Soluțiile de recuperare ar trebui să fie ultima linie împotriva atacurilor
„Soluții precum ale noastre vin doar să completeze nevoile de securitate – ele sunt ultimul lucru de care ai nevoie pentru a restaura datele compromise. Ele sunt soluții de restaurare rapidă – pentru că dacă poți restaura datele, evident că nu ai de ce să plătești recompensa – dar sunt doar o parte a unei strategii eficiente împotriva atacurilor de tip ransomware.
Noi oferim chiar și o garanție, pentru clienții premium, împotriva unor astfel de atacuri, ceea ce înseamnă că ne asumăm că, în caz că nu putem să restaurăm datele, plătim noi recompensa. Însă evident că nu vrem să ajungem în situația asta, așa că facem regulat inventare ale implementării, vedem dacă totul merge bine, că au fost făcute copiile de care avem nevoie.
Însă prevenția prin educarea utilizatorului rămâne prioritară – atacatorii exploatează mai întâi vulnerabilitatea și neștiința acestora, și abia apoi capătă acces la sisteme. Iar mai apoi, pornind de la o strategie de protecție bună, putem să implementăm și o soluție bună, care nu costă o mână și un picior.”