Ransomware jde po cloudech

Opět můžeme zaznamenat další významný trend co do cíle útoku ransomware. Ten kromě desktopů, mobilů a serverů napadá nyní i celé cloudy.

Stále více ransomware útoků je vedeno na cloudy využívaných ze strany firem, protože tam útočníci očekávají větší příjmy než od běžných uživatelů PC, kterým zašifrovali jejich osobní data.

Někteří v této souvislosti neváhají hovořit o možné katastrofě. Znovu tak vyvstává otázka, zda je umístění kritického informačního systému do cloudu dobrý nápad či nikoliv.

Je tomu tak proto, že provozovatel cloudu garantuje určitou dostupnost, a v případě, že data nejsou k dispozici, tak musí platit sankce a je ohrožen jeho business. Stejně tak je ohroženo fungování organizací, která svá data do cloudu uložily, a aby mohly fungovat, potřebují je hned, a jsou proto ochotni za jejich zpřístupnění zaplatit.

Což je pro ně někdy jediná možnost, protože v opačném případě budou mít náklady daleko vyšší. Samozřejmě, že tím podporují tento nelegální business a navíc nemají jistotu, že se po zaplacení k datům opravdu dostanou. Správným řešením je zajistit:

  • soustavné školení zaměstnanců a zvyšování jejich bezpečnostního povědomí a odolnosti vůči těmto útokům (ransomware se zpravidla šíří jako příloha phishing e-mailu);
  • omezení privilegií v systému (zaměstnanci by neměli mít právo instalovat nový SW, zasahovat do konfigurace a spouštět spustitelné soubory doručené poštou nebo stažené z internetu);
  • včasnou aktualizaci software, aby nemohlo dojít ke zneužití známých zranitelností (bohužel, zákony zranitelností jsou neúprosné a většina ransomware zneužívá dlouho známých zranitelností);
  • spolehlivé antimalware řešení na stanici (ideálně s technologií HIPS, která by měla detekovat podezřelé chování)
  • důslednou segmentaci sítě, aby se ransomware nemohl šířit po síti na další zařízení (ve spoustě firem jsou třeba dostupné databázové servery z uživatelského segmentu a mohou tak být zašifrovány);
  • striktní řízení přístupu, aby měl v kontextu napadeného uživatele jen omezené právo zápisu (což je problém, protože např. z výzkumu GetApp vyplynulo, že 48 % zaměstnanců má přístup k datům, ke kterým by podle principu need to know přístup mít neměli a 12 % pak má dokonce přístup ke všem datům);
  • nepřetržitý monitoring sítě a detekce anomálií (pomocí NBA měli byste detekovat podezřelý provoz na síti v podobě nestandardní komunikace)
  • pravidelné zálohování dat, aby je bylo možné v případě napadení obnovit (přičemž byste si i měli ověřit, že se záloha dá obnovit a kolik vám to zabere času);
  • pečlivé testování DRP (je možné, že budete muset obnovit celé prostředí ze zálohy, abyste měli jistotu, že došlo i k odstranění ransomware)

Je nezbytné detekovat všechna napadená zařízení, ta odpojit od sítě a přeinstalovat je. Z tohoto důvodu je nutné zjistit IoC a způsob šíření. Nezapomínejte na to, že ransomware může být silně perzistentní přitom bezsouborový (může být ukryt v registrech) a multiplatformní (může se nacházet v jakémkoli IoT zařízení), takže jeho úplné odstranění je nezbytné, protože jinak se může po obnově SW a dat opět spustit a začít šířit.

Pro citování tohoto článku ve své vlastní práci můžete použít následující odkaz:
ČERMÁK, Miroslav. Ransomware jde po cloudech. Online. Clever and Smart. 2019. ISSN 2694-9830. Dostupné z: https://www.cleverandsmart.cz/ransomware-jde-po-cloudech/. [cit. 2025-02-16].

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky: ,


K článku “Ransomware jde po cloudech” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: