Specyfika ransomware w styczniu 2019
Od początku roku 2019 notujemy wzmożoną liczbę ataków szyfrujących dane - Ransomware. Jest to rodzaj oprogramowania szyfrującego, które blokuje dostęp do sytemu lub uniemożliwia odczyt zapisanych w nim danych, a następnie żąda od ofiary okupu za możliwość ich odzyskania.
Ataki łączy wspólny wektor - serwer bądź komputer do którego można łączyć się zdalnie. Takie połączenie zdalne robione jest często linią najmniejszego oporu - poprzez wypuszczenie serwera przez RDP (Remote Desktop Protocol – Protokół Pulpitu Zdalnego) do Internetu.
W ostatnich miesiącach wszyscy zgłaszający się do nas z problemami z ransomware, zostali zaatakowani właśnie w taki sposób.
Jak przebiega atak?
Przestępcy masowo skanują Internet w poszukiwaniu otwartych serwerów RDP zarówno działających na porcie domyślnym jak i innym. Po znalezieniu serwera RDP przestępcy usiłują zalogować się do niego korzystając z najczęściej używanych loginów i haseł oraz poprzez atak brute force, wykonywany przez wiele różnych komputerów zombie w Internecie. Komputery te próbują odgadnąć login i hasło i bardzo często im się to udaje – sześcioznakowe hasło zawierające liczby, ma około 2 miliardy możliwych kombinacji. Rozszyfrowanie go potężnym procesorem, który próbuje 30 haseł na sekundę, zajmuje więcej niż dwa lata. Dodanie pojedynczej, potężnej karty GPU pozwala temu samemu komputerowi przetestować 7 100 haseł na sekundę i złamać hasło w 3,5 dnia.
Podczas naszych testów w ciągu godziny było ok. 100 prób takich ataków. Jeśli atak się powiedzie, wirus potrafi wyłączyć oprogramowanie antywirusowe oraz uruchomić program szyfrujący dysk. W tym momencie wszystkie nasze zaszyfrowane dane możemy równie dobrze spisać na straty. Płacenia okupu wiąże się z wydatkami idącymi w tysiącach, a to, że je odzyskamy wcale nie jest oczywiste. Na pewno zaleca się profilaktykę niż batalię z hakerami.
W jaki sposób można sprawdzić czy problem mnie dotyczy?
Należy przede wszystkim sprawdzić konfigurację routera brzegowego w zakresie przekierowania portów. Dzięki temu będziemy wiedzieć, do których z naszych urządzeń można połączyć się z Internetu. W wielu routerach ta funkcja nazywa się Port Forwarding/ Port Triggering. Szczegółowych instrukcji polecamy szukać w dokumentacji routera brzegowego. Warto pamiętać, że nie tylko port odpowiadający za RDP może być zagrożeniem (dobrze sprawdzić takie usługi jak SSH, Telnet, FTP).W jaki sposób chronić się przed atakami ?
Niestety sam program antywirusowy tutaj nie pomoże – przestępcy potrafią go wyłączyć. Zalecane jest ustawienie ochrony hasłem interfejsu programu AV, lecz jest to półśrodek i nie pomoże w starciu z profesjonalistą.
Przede wszystkim zalecamy zablokować dostęp RDP z Internetu – protokół RDP nie jest zabezpieczony przed tego typu atakami i powinien być dostępny jedynie w ramach sieci lokalnej. W przypadku konieczności zdalnego dostępu do maszyny polecamy korzystać z technologii VPN, która realizowana jest przez urządzenia UTM. Pozwoli to na bezpieczne korzystanie z pulpitu zdalnego poprzez szyfrowany tunel VPN. Szyfrowane połączenie i podwójna weryfikacja stanowi gwarancję bezpiecznego połączenia zdalnego. Należy pamiętać, że VPN do poprawnego działania musi zostać profesjonalnie skonfigurowany. Zalecamy również audyt konfiguracji posiadanego systemu bezpieczeństwa oraz swojej sieci.