Czym jest ransomware?
Ransomware to złośliwe oprogramowanie, które szyfruje dane na komputerach i serwerach ofiary, a następnie żąda okupu (zazwyczaj w kryptowalutach) za klucz deszyfrujący. Współczesny ransomware często stosuje „double extortion" — oprócz szyfrowania, wykrada dane i grozi ich publikacją.
Jak dochodzi do infekcji?
- Phishing — pracownik otwiera złośliwy załącznik lub klika link w fałszywym mailu (najczęstszy wektor — ponad 60% przypadków)
- Niezaktualizowane systemy — atakujący wykorzystują publicznie znane podatności w niezałatanych systemach
- Słabe hasła / brak MFA — brute force na protokoły RDP, VPN lub konta administracyjne
- Zainfekowany łańcuch dostaw — złośliwy kod w aktualizacji oprogramowania dostawcy
Jak się chronić? 7 kluczowych kroków
- Backup 3-2-1 z kopią offline — 3 kopie danych, 2 różne nośniki, 1 kopia poza siecią (air-gapped). Regularnie testuj odtwarzanie!
- Segmentacja sieci — podziel sieć na strefy, ograniczając rozprzestrzenianie się ransomware
- Aktualizacje i patche — zamknij znane podatności. Priorytetyzuj krytyczne łatki bezpieczeństwa
- MFA wszędzie — wieloskładnikowe uwierzytelnianie na wszystkich kontach, szczególnie administracyjnych i VPN
- Szkolenia pracowników — regularne szkolenia z rozpoznawania phishingu i symulacje ataków
- Monitoring i detekcja — wczesne wykrycie nietypowej aktywności (szyfrowanie dużej liczby plików, komunikacja z C2)
- Plan reagowania — udokumentowane procedury na wypadek ataku. Wiedzieć CO ROBIĆ, zanim atak nastąpi
Co robić po ataku?
Natychmiast odizoluj zainfekowane systemy od sieci. Nie płać okupu (nie ma gwarancji odzyskania danych). Zabezpiecz logi i dowody. Zgłoś incydent do CSIRT NASK/GOV. Skontaktuj się z firmą cyberbezpieczeństwa (SULI) w celu analizy i odtworzenia systemów.