„All your files have been encrypted.
If you want to restore them, write us to the e-mail...“
Dacă citiți un astfel de mesaj pe display-ul calculatorului pe care lucrați este foarte posibil ca acesta să fie și singurul lucru pe care îl mai puteți face pe respectivul echipament, pentru că sunteți victima unui atac ransomware.
Iar „șansa“ ca un astfel de lucru să vi se întâmple chiar și vouă este din ce în ce mai mare – conform unui studiu Bitdefender recent, în prima jumătate a lui 2020 volumul global de atacuri ransomware a crescut cu 715% față de anul anterior.
Evenimentele de securitate de acest tip sunt tot mai frecvent prezente în presă, pandemia de COVID-19 contribuind și ea la creșterea popularității lor.
La momentul actual, cel mai cunoscut caz este cel al grupului Enel, care luna trecută a fost – din nou! – victima unui atac ransomware, în urma căruia a „pierdut“ 5TB de date despre clienți, printre care se află și cei din România. Potrivit celor de la BleepingComputer, răscumpărarea cerută este de 14 milioane USD.
Exemplul Enel este unul de notorietate, însă există multe alte cazuri de atacuri care nu apar în presă, nefiind niciodată făcute publice, și în care recompensele solicitate nu ating astfel de valori. Cu toate acestea, pagubele generate sunt considerabile prin raportare la dimensiunea și reziliența financiară a victimelor.
V-am prezentat recent un astfel de caz în care am fost implicați direct - o companie locală care investește consistent în IT (între 100.000 și 200.000 de euro anual), dar care, din cauza unui server neprotejat, s-a trezit cu toate datele criptate. Iar hackerii nu au cerut „decât“ 50.000 de euro răscumpărare.
Nu-i o sumă chiar atât de mare dacă vă raportați la valoarea bugetului IT și – mai ales! – la cea a pierderilor directe generate de blocarea operațiunilor, la costurile de recuperare a datelor, la deficitul de imagine în cazul publicării lor etc.
Însă, dacă alegeți să plătiți răscumpărarea, nu aveți garanția că soluția de decriptare și funcționează. Și nici că, după un timp, nu veți fi din nou victima unui alt atac – așa cum s-a întâmplat și în cazul Enel – pentru că e foarte probabil ca atacatorii să se fi folosit de breșa de securitate existentă pentru a vă infiltra alte tipuri de malware, pe care să le detoneze după efectuarea plății.
În cazul citat, victima a ales să nu plătească răscumpărarea și a apelat la serviciile noastre. Și bine a făcut pentru că, într-un timp relativ scurt, i-am ajutat să-și recupereze toate datele, să își repornească serviciile și aplicațiile și să își securizeze infrastructura împotriva altor atacuri. Am reușit acest lucru nu căutând să ghicim cheia de decriptare, ci apelând la... back-up! Însă nu orice tip de back-up, ci unul offline – realizat pe bandă.
Respectarea „condiției“ offline este un element esențial în reușita acestei metode de blocare a atacurilor ransomware, pe care însă multe companii o ignoră, din păcate.
Ce-i drept, se întâmplă și la case mai mari – National Cyber Security Centre (NCSC), Agenția Națională de Cybersecurity din Marea Britanie, și-a actualizat abia anul acesta ghidul de protecție ransomware, specificând explicit că, dacă suporturile de back-up sunt conectate la sistemele infectate, este foarte posibil ca și ele să fie criptate și, prin urmare, nu mai pot fi utilizate pentru restaurare. („We've previously published a blog post recommending offline back-ups, but recent incidents suggest we need to emphasise the importance of this in our guidance as well.“)
În varianta actualizată a ghidului NCSC se stipulează clar că serviciile de stocare în cloud – precum cele de la Dropbox, OneDrive, SharePoint sau Google Drive – nu pot reprezenta o sursă sigură de restaurare din cauza mecanimsului de sincronizare automată, care duce la compromiterea lor. De asemenea, NCSC recomandă ca, atunci când sunt utilizate suporturi externe de stocare a back-up-ului, de tipul drive-urilor externe sau stick-urilor USB, acestea să nu fie permanent conectate la rețeaua companiei.
Ținând cont de acest cumul de condiții, noi considerăm că cea mai eficientă metodă de prevenție, pe care o recomandăm tuturor companiilor cu care lucrăm, este sistemul de back-up 3-2-1.
Conceptul este simplu:
3 – Realizați trei copii ale datelor.
2 – Utilizați două suporturi de stocare diferite.
1 – Păstrați o copie a datelor în afara locației unde se află sursă originală de date.
Este un sistem care vă scutește de multe bătăi de cap, atât în cazul unor incidente de securitate – precum atacurile ransomware –, cât și în cazul altor evenimente care vă pot afecta continuitatea operațională.
Dacă vi se pare costisitor, gândiți-vă la cât v-ar costa răscumpărarea și ce garanție aveți că acesta nu se va repeta.
Dacă vi se pare complicat – contactați-ne! Vă putem ajuta să alegeți soluțiile adecvate infrastructurii folosite, domeniului de activitate și bugetului de care dispuneți, astfel încât să beneficiați de protecția dorită.
