monitor cu date informatice -securitate-cibernetica
Administrarea riscului

Atac ransomware: ce este și cele mai bune practici pentru a te proteja

februarie 16, 2025 / Niciun comentariu

Atacurile ransomware reprezintă o amenințare deosebit de gravă pentru instituțiile financiare, având capacitatea unică de a paraliza complet operațiunile acestora. Impactul acestor atacuri, care devin tot mai sofisticate și mai frecvente, se extinde dincolo de perturbarea imediată a serviciilor către clienți, afectând atât operațiunile comerciale zilnice, cât și reputația instituției în fața clienților și a organismelor de reglementare.Află din acest articol tot ce trebuie să știe instituțiile financiare despre atacurile ransomware!

Ce este un atac ransomware

Un atac ransomware este un tip de atac cibernetic în care infractorii criptează fișierele victimei, făcându-le inaccesibile, și apoi cer o răscumpărare (de obicei în criptomonede) pentru a furniza cheia de decriptare. Atacatorii cibernetici plasează organizațiile într-o poziție în care plata răscumpărării este cea mai ușoară și mai ieftină modalitate de a recâștiga accesul la fișierele lor. Unele variante au adăugat funcționalități suplimentare – cum ar fi furtul de date – pentru a oferi un stimulent suplimentar pentru victimele ransomware-ului să plătească răscumpărarea.

Etapele unui atac ransomware

Iată cum funcționează, în mare, un atac ransomware:

1. Infectarea

Prima etapă a unui atac ransomware este obținerea accesului la sistemele informatice ale victimei, implementarea de software rău intenționat (malware) pentru a infecta computerele victimei și criptarea fișierelor.

Iată principalii vectori de atac ransomware:

  • Inginerie socială. Manipularea psihologică a oamenilor pentru a divulga informații confidențiale sau a efectua acțiuni care compromit securitatea.
  • Compromiterea credențialelor. Furtul sau obținerea neautorizată a datelor de autentificare (username/parolă).
  • Exploatații zero-day. Atacuri care exploatează vulnerabilități necunoscute anterior în software, înainte ca dezvoltatorii să poată crea patch-uri.
  • Partajări de rețea deschise. Atacuri care vizează foldere și resurse de rețea accesibile public sau insuficient protejate.
  • Servicii de acces la distanță. Exploatarea vulnerabilităților în serviciile precum RDP (Remote Desktop Protocol) sau VPN.
  • Vulnerabilități în lanțul de aprovizionare. Atacuri care vizează software sau servicii terțe utilizate de organizația țintă.
  • Descărcări „drive-by”. Infectarea automată a dispozitivelor prin simpla vizitare a unui site web compromis, fără acțiunea utilizatorului.

Odată instalat, ransomware-ul începe să cripteze fișierele importante (documente, poze, baze de date etc.)

2. Cererea de răscumpărare

Victima primește un mesaj care explică situația și cere plata unei sume pentru recuperarea datelor, amenințând publicarea datelor sau blocarea definitivă a accesului dacă plata nu este efectuată într-un anumit interval de timp. Atacatorii solicită de obicei plata în criptomonede pentru a-și ascunde identitatea și a evita urmărirea tranzacțiilor. În unele cazuri, victimele care plătesc răscumpărarea primesc o cheie de decriptare, dar nu există nicio garanție că datele vor fi recuperate integral sau că atacatorii nu vor cere plăți suplimentare.

Statistici privind atacurile ransomware: industrii vizate și sume de bani plătite

Conform Statista.com, atacurile ransomware vizează, de obicei, instituții și organizații din domeniul sănătății, finanțele, producția și organizațiile guvernamentale. Adesea, aceste organizații renunță și plătesc răscumpărarea, temându-se de cauzalități mari. În 2023, din cele 3.348 de incidente cibernetice detectate în instituțiile financiare din întreaga lume, 1.115 au cauzat scurgeri de date sensibile.

În ceea ce privește suma de bani plătită pentru răscumpărare a crescut între 2022 și 2023 de la 457 de milioane de dolari la 1,1 miliarde de dolari. Totuși, în al patrulea trimestru din 2023, 29% dintre atacurile ransomware din organizațiile din întreaga lume au dus la o plată de răscumpărare, în scădere față de 41% în trimestrul precedent.

Apărare proactivă împotriva ransomware-ului: cele mai bune practici

Un aspect deosebit de critic al atacurilor ransomware este faptul că organizația afectată își pierde adesea accesul la instrumentele esențiale necesare pentru investigarea și combaterea atacului însuși – inclusiv la sistemele SOC (Security Operations Center), precum și la infrastructura vitală de comunicații și email, care pot fi compromise sau indisponibile. Din acest motiv, este crucial ca planurile de răspuns la incidente să includă strategii clare și resurse alternative pentru restabilirea sau înlocuirea rapidă a acestor capacități critice, asigurând astfel continuitatea operațională minimă necesară în timpul unui incident.

Iată câteva dintre cele mai bune strategii pentru prevenirea atacurilor ransomware:

Izolare, testare și back-up

Menținerea unor backup-uri regulate ale datelor și configurațiilor critice în medii izolate reprezintă o măsură esențială de protecție, iar când este combinată cu o segmentare adecvată a rețelei, poate reduce semnificativ impactul unui atac ransomware.

Cu toate acestea, eficiența acestor backup-uri trebuie validată prin teste anuale în condiții reale, verificând capacitatea de restaurare rapidă și completă a sistemelor. Deși tehnologia cloud facilitează procesele de testare și restaurare, multe organizații aleg să se concentreze doar pe funcțiile critice, iar dezvoltarea unui plan robust de restaurare – posibil pe o infrastructură complet separată – reprezintă o provocare semnificativă care necesită resurse și efort substanțial, în special pentru organizațiile de mari dimensiuni.

Actualizare software și automatizarea corecțiilor

Actualizarea software-ului și automatizarea procesului de aplicare a patch-urilor reprezintă o linie critică de apărare împotriva atacurilor ransomware, deoarece multe dintre aceste atacuri exploatează vulnerabilități cunoscute în sistemele neactualizate.

Implementarea unui sistem robust de management al patch-urilor permite organizațiilor să identifice, testeze și distribuie rapid actualizările de securitate către toate sistemele din rețea, reducând semnificativ fereastra de oportunitate pentru atacatori. Este esențial să se stabilească un proces standardizat care să includă evaluarea regulată a sistemelor pentru identificarea software-ului depășit, testarea patch-urilor în medii controlate pentru a evita probleme de compatibilitate, și implementarea automată a actualizărilor critice în afara orelor de program pentru a minimiza impactul asupra operațiunilor.

De asemenea, organizațiile ar trebui să mențină un inventar actualizat al tuturor activelor software și să prioritizeze patch-urile în funcție de severitatea vulnerabilităților și criticitatea sistemelor, asigurându-se că resursele cele mai expuse primesc atenție imediată.

Crearea de parole puternice

Implementarea parolelor puternice reprezintă o măsură fundamentală de securitate în protecția împotriva atacurilor cibernetice, inclusiv ransomware. O politică eficientă de gestionare a parolelor trebuie să impună utilizarea combinațiilor complexe de caractere (litere mari și mici, numere, simboluri speciale), cu o lungime minimă de 12 caractere, evitând informații personale sau cuvinte comune care pot fi ghicite ușor.

Este esențială implementarea unui sistem de management al parolelor la nivel organizațional care să faciliteze crearea și stocarea securizată a credențialelor, precum și activarea autentificării multi-factor pentru toate conturile critice, în special cele cu privilegii administrative. De asemenea, organizațiile ar trebui să impună schimbarea regulată a parolelor, să monitorizeze și să blocheze încercările repetate de autentificare eșuate și să educe angajații privind importanța păstrării confidențialității credențialelor și riscurile asociate reutilizării parolelor între conturi diferite.

Oferirea de training angajațiilor

Organizarea de sesiuni regulate de instruire angajaților este esențială pentru a-i educa cu privire la cele mai recente amenințări la adresa securității cibernetice, inclusiv phishing, inginerie socială și pericolele de a face clic pe linkuri necunoscute sau de a descărca atașamente neverificate. Persoanele care înțeleg impactul potențial al clicului pe link-urile externe sau reutilizarea parolelor vor avea, în general, mai multă grijă de activitățile lor.

Digital Operational Resilience (DORA): Punerea în practică a unui nou ecosistem al rezilienței digitale – Cursul adresează provocările complexe ale punerii în aplicare a noii reglementări

Participanții învață cum să utilizeze standarde și cadre precum ISO 27001, ITIL și COBIT pentru a asigura continuitatea operațiunilor, gestionarea incidentelor și raportarea conform cerințelor DORA.

Înscrie-te AICI>>>

Implementarea planului de răspuns la incident

Implementarea unui plan eficient de răspuns la incidente ransomware necesită o abordare sistematică și bine documentată, care să înceapă cu proceduri clare de detectare și izolare imediată a sistemelor afectate, urmate de protocoale de comunicare precise între echipele tehnice, management și stakeholderi.

Planul trebuie să detalieze explicit fiecare etapă a procesului de recuperare, de la evaluarea inițială a daunelor până la restaurarea sistemelor, incluzând alternative pentru situațiile în care instrumentele primare de răspuns sunt compromise.

Un element crucial al acestei pregătiri îl reprezintă desfășurarea regulată de exerciții practice, atât prin simulări teoretice (tabletop exercises) cât și prin simulări complete la scară largă, care permit echipelor să-și testeze și să-și perfecționeze abilitățile în condiții de stres, identificând potențiale lacune sau zone de îmbunătățire în plan; aceste exerciții servesc nu doar ca instrument de pregătire, ci și ca mecanism de actualizare continuă a planului pentru a răspunde noilor tipuri de amenințări și schimbărilor din infrastructura organizației.

Endpoint Detection and Response (EDR), Data Loss Prevention(DLP) și firewall-uri

Endpoint Detection and Response (EDR), Data Loss Prevention (DLP) și firewall-urile reprezintă trei componente critice ale unei strategii comprehensive de securitate cibernetică. EDR oferă monitorizare continuă și răspuns automat la amenințări la nivelul dispozitivelor finale (endpoint-uri), detectând și răspunzând în timp real la comportamente suspecte sau malițioase prin analiza avansată și machine learning. DLP se concentrează pe prevenirea scurgerii datelor sensibile din organizație, monitorizând și controlând modul în care informațiile confidențiale sunt utilizate, transferate sau stocate, aplicând politici de securitate predefinite pentru a preveni transferurile neautorizate de date.

Firewall-urile acționează ca o barieră de securitate între rețeaua internă și internetul public, filtrând traficul de rețea pe baza unor reguli predefinite, blocând accesul neautorizat și protejând împotriva diverselor tipuri de atacuri cibernetice.Versiunile moderne (next-generation firewalls) includ capacități avansate precum inspectarea profundă a pachetelor, prevenirea intruziunilor și filtrarea aplicațiilor.

Citește și: Regulamentul DORA: cerințe și reglementări cheie

Surse articol: fsisac.com, ncsgov.uk

Sursa foto: Pexels.com

S-ar putea să-ți placă și

administrator-de-risc-responsabilitati

Administrator de risc : cât de important este rolul său într-o organizație?

martie 14, 2023
managementul-riscului

Managementul riscului: de ce este important să ai un proces eficient de gestionare a riscurilor

martie 30, 2023

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *