4 príklady ransomwaru

4 príklady ransomwaru

13. dec 2023

 

Príklad 1: Útok na malú firmu

Obeť: Malá firma (20 zamestnancov) s obmedzenými zdrojmi.

Priebeh útoku: Útočníci začali tým, že poslali jednému zamestnancovi firmy e-mail s prílohou, ktorá sa zdala byť faktúrou od dodávateľa. Zamestnanec otvoril infikovanú prílohu, čím umožnil ransomwaru sa nainštalovať do jeho počítača. Z jeho počítača útočníci získali prístup do lokálnej siete a začali šifrovať dáta na neaktualizovaných počítačoch a zdieľaných priečinkoch.

Priebeh útoku (pokračovanie): Ransomware sa rýchlo šíril po firemnej sieti a zašifroval dôležité súbory, ako faktúry, zoznamy klientov, výrobné postupy, osobné údaje a finančné údaje. Po zavedení opatrení na zastavenie šírenia ransomwaru ostala organizácii už len jedna možnosť, a to kontaktovať útočníkov a zaplatiť výkupné.

Následky: Firma nemala dostatočne odzálohované všetky dáta a stratila prístup k dôležitým údajom (vrátane účtov, faktúr a výrobných postupov), čo spôsobilo prerušenie prevádzky. Útočníci požadovali výkupné 120 000 EUR za dešifrovanie dát, čo bolo pre firmu takmer likvidačné a musela sa s útočníkmi dohodnúť a čerpať nevýhodný úver. Tento incident spôsobil zastavenie rastu a rozvoja firmy na 2 roky.

Postup obrany:

Vzdelávanie: Zamestnanci musia vedieť rozpoznať podozrivé e-maily, a tak isto musia vedieť postupy pri takomto druhu kybernetického incidentu.

Aktualizácia softvéru: Firma musí pravidelne aktualizovať svoj softvér a operačné systémy (za ideálnych podmienok neodkladne), aby minimalizovala zraniteľnosti. Odporúčame vypracovať postupy a plány aktualizácií.

Zálohovanie dát: Dôležité je mať pravidelné zálohy dát a ukladať ich na fyzicky oddelenom mieste.

Firewall a antivírusový softvér: Používajte len spoľahlivý firewall a antivírusový (prípadne tzv. XDR - (Extended Detection and Response) softvér od overených výrobcov.

 

Príklad 2: Útok na nemocnicu

Obeť: Veľká krajská nemocnica so zdravotnými záznamami pacientov.

Priebeh útoku: Útočníci získali prístup k počítačovej sieti nemocnice prostredníctvom zraniteľnosti
v zabezpečení. Ransomware sa rýchlo šíril po celej sieti a zašifroval zdravotné záznamy pacientov, čím bránil lekárom pristupovať k dôležitým informáciám a taktiež zamedzil príjmu nových pacientov, pretože veľká časť informačných systémov bola nefunkčná.

Priebeh útoku (pokračovanie): Nemocnica bola nútená prerušiť niektoré operácie a zákroky, čo mohlo ohroziť zdravie pacientov. Útočníci požadovali výkupné vo výške 500 000 EUR, aby poskytli kľúč na dešifrovanie záznamov a možnú obnovu.

Následky: Zdravotné údaje pacientov boli nedostupné, čo malo negatívny vplyv na liečbu pacientov (viacerí museli byť urgentne prevezení do iných nemocníc), spôsobilo to finančné straty, podkopanie dôvery v očiach pacientov a následné kontroly zo strany štátnych kontrolných orgánov. Nakoľko niektoré záznamy o pacientoch boli zverejnené na internete, na nemocnicu bola podaná hromadná žaloba zo strany dotknutých pacientov. Nemocnica nefungovala v bežnom stave 5 týždňov a po roku od incidentu stále nie sú vyriešené všetky spôsobené negatíva.

Postup obrany:

Zabezpečenie siete: Nemocnica by mala mať silné zabezpečenie siete a systémov na úrovni Next Generation Firewall (NGFW) – firewall, DPI, IDS, aplikačná kontrola, antivírusová a antispywarová ochrana a VPN siete a ideálne používať softvér typu XDR na všetkých koncových staniciach s prístupom k informačným systémom a citlivým dátam.

Zálohovanie a obnova dát: Pravidelné zálohovanie zdravotných záznamov a testovanie obnovy dát môže pomôcť minimalizovať následky útoku. Dôležité je mať pravidelné zálohy dát a ukladať ich na fyzicky oddelenom mieste.

Aktualizácia systémov: Nemocnica musí pravidelne aktualizovať svoj softvér a operačné systémy, aby minimalizovala zraniteľnosti. Odporúčame vypracovať postupy a plány aktualizácií.

Vzdelávanie: Zamestnanci musia byť poučení v problematike počítačovej a informačnej bezpečnosti, a tak isto musia vedieť ako majú postupovať pri kybernetickom bezpečnostnom incidente.

Núdzový plán: Nemocnica musí mať pripravený núdzový plán na riadenie kybernetických útokov, ktorý by mal zahrňovať postupy na izoláciu útoku a obnovu poškodených systémov.

 

Príklad 3: Útok na strednú školu (400 žiakov + 60 zamestnancov)

Obeť: Stredná škola so študentskými záznamami a učebnými materiálmi.

Priebeh útoku: Útočníci sa infiltrovali do siete školy prostredníctvom škodlivého odkazu na sociálnych médiách, na ktorý jeden z pedagógov klikol zo školského notebooku. Ransomware sa rýchlo šíril po školských počítačoch, čím zašifroval učebné materiály a študentské záznamy. Ransomware sa dostal aj na server, kde bežala školská aplikácia so všetkými dátami o študentoch.

Priebeh útoku (pokračovanie): Škola bola nútená na určitý čas pozmeniť výučbu, pretože nemala prístup k učebným materiálom a záznamom. Útočníci požadovali výkupné vo výške 30 000 EUR, aby poskytli kľúč na dešifrovanie dát.

Následky: Škola utrpela škody na svojej reputácii a stratila vzdelávacie materiály, čo ovplyvnilo výučbu. Útočníci po dohode sprístupnili školskú aplikáciu, ale súbory mimo aplikácie boli stratené (výučbové
a vzdelávacie materiály, zoznamy a osobné údaje).

Postup obrany:

Antivírusový softvér a firewall: Škola by mala mať nainštalovaný a pravidelne aktualizovaný antivírusový softvér na všetkých počítačoch a silný firewall na ochranu svojej siete.

Vzdelávanie: Zamestnanci musia byť poučení v problematike počítačovej a informačnej bezpečnosti, a tak isto musia vedieť ako majú postupovať pri kybernetickom bezpečnostnom incidente.

Zálohovanie dát: Dôležité je pravidelne zálohovať dôležité dáta a uchovávať ich na mieste mimo siete, napr. v cloude dodávateľa školskej aplikácie.

Aktualizácia a zabezpečenie systémov: Škola by mala udržiavať všetky počítačové systémy a aplikácie aktuálne a zabezpečené proti známym zraniteľnostiam.

 

Príklad 4: Útok na mestský úrad

Obeť: Okresné mesto (245 zamestnancov).

Priebeh útoku: Útočníci začali tým, že spôsobom brute force attack začali hádať administrátorské heslo na doménový server úradu. Nakoľko heslo bolo slovníkové slovo, rýchlo sa dostali na server. Obhliadli si komplet infraštruktúru úradu aby dokázali čo najefektívnejšie nastaviť infiltráciu.

Priebeh útoku (pokračovanie): Behom víkendu, v noci začali šifrovať  kritickú infraštruktúru a následne celú sieť so všetkými počítačmi. Ransomware sa rýchlo šíril po sieti úradu a zašifroval dôležité súbory, ako faktúry, zmluvy, osobné údaje obyvateľov a informačné systémy. Po zavedení opatrení na zastavenie šírenia ransomwaru, na úrad prišla výzva na zaplatenie výpalného.

Následky: Po príchode zamestnancov v pondelok ráno do práce, tí zistili čo sa stalo. Úrad nedokázal
4 týždne poskytovať občanom služby, ktoré boli spravované cez informačné systémy a servery. Mesto muselo zvolať krízový štáb a kontaktovať políciu a NBÚ. Útočníci nakoniec poskytli úradu kľúč na dešifrovanie údajov aj bez zaplatenia výpalného, ale všetky dáta s najväčšou pravdepodobnosťou útočníci naďalej majú a v budúcnosti môžu byť zneužité. Úrad tak isto musel vynaložiť financie na zakúpenie nových serverov.

Postup obrany:

Password policy: Vytvoriť a striktne dodržiavať politiku hesiel. Silné a pravidelne menené heslo je základom informačnej bezpečnosti.

Zálohovanie dát: Dôležité je mať pravidelné zálohy dát a ukladať ich na fyzicky oddelenom mieste.

Firewall a antivírusový softvér: Používajte len spoľahlivý firewall a antivírusový (prípadne tzv. XDR - (Extended Detection and Response) softvér od overených výrobcov.

 

Tieto opatrenia môžu pomôcť minimalizovať riziko ransomware útokov a zabezpečiť, že organizácie budú pripravené reagovať na takúto hrozbu v prípade akútnej potreby. Nezabúdajte, že ani to najlepšie a zároveň najdrahšie vybavenie vás neochráni na 100%. Najdôležitejším prvkom bezpečnosti sú poučení a uvedomelí zamestnanci, ktorí najskôr čítajú a až potom klikajú – prevencia je vždy lacnejšia a jednoduchšia ako riešenie kybernetických incidentov.

Tu si môžete pozrieť naše školenia.

Ing. Lukáš Maliniak

konzultant informačnej bezpečnosti