Ransomware ve zdravotnictví - MZ radí jak na prevenci i co dělat při napadeni

Nejdůležitější obranou jakékoli organizace proti ransomware je pravidelné robustní zálohování - obnova dat z nedávné zálohy tak může zabránit útoku ransomware na ochromení činnosti. Zálohování musí být provedeno před vlastním kybernetickým útokem, ne později - to už je pozdě!

Diagnóza ransomware ve středu 11. 12. 2019 vyřadila z provozu celou benešovskou nemocnici. V souvislosti s tímto bezpečnostním incidentem vydalo Ministerstvo zdravotnictví bezpečnostní pokyny, které jsou adresovány všem organizacím v přímé řídící působnosti ministerstva.

Tyto všeobecně pokyny a doporučení pro ochranu před ransomware jsou samozřejmě platné pro každou firmu, podnik i organizaci.

Jak se ransomwarové techniky a malware stále vyvíjejí a stávají se sofistikovanějšími, ani ty nejrobustnější preventivní kontroly však nejsou zárukou proti zneužití.

Proto je důležitá prevence a testování, aby se zajistila integrita citlivých údajů v případě kompromisu.

Doporučené postupy kybernetické obrany:

Zakažte makro skripty ze souborů sady Office přenášených e-mailem - zvažte použití softwaru Office Viewer k otevírání souborů sady Microsoft Office přenášených e-mailem namísto plných aplikací sady Office Suite.

Přistupujte na webové stránky pomocí firewallu nebo proxy serveru - vyžadujte interakci uživatele pro aplikace koncových uživatelů komunikující s webovými stránkami nezařazenými do síťového proxy nebo brány firewall. Například požadujte, aby uživatelé zadali informace nebo zadali heslo, když jejich systém komunikuje s webem nezařazeným do proxy nebo brány firewall.

Pravidelně zálohujte data a ověřujte jejich integritu - zajistěte, aby zálohy nebyly připojeny k počítačům a sítím, které zálohují. Například je fyzicky uložte offline. V ransomwaru jsou zálohy kritické, pokud jste infikováni, mohou být zálohy nejlepším způsobem, jak obnovit důležitá data.

Implementujte zásady softwarového omezení (Group Policy) - nebo jiné ovládací prvky, abyste zabránili provádění programů v běžných umístěních ransomware, jako jsou dočasné složky podporující populární internetové prohlížeče, a programy komprese / dekomprese, včetně těch, které jsou umístěny ve složce AppData / LocalAppData.

Využijte postupy pro používání protokolu RDP - včetně auditu vaší sítě u systémů používajících protokol RDP, uzavření nepoužívaných portů RDP, použití dvoufaktorové autentizace, kdykoli je to možné, a protokolování pokusů o přihlášení protokolem RDP.

Implementujte seznam povolených aplikací - povolit systémům spouštět pouze programy známé a povolené bezpečnostní politikou (Group Policy).

Pravidelné aktualizace softwaru a OS - opravujte operační systémy, software a firmware na zařízeních. Po zjištění zranitelnosti by měly být opraveny všechny koncové body. To lze usnadnit prostřednictvím centralizovaného systému správy oprav.

Rozdělte data podle jejich hodnoty - a implementujte fyzické a logické oddělení sítí a dat pro různé organizační jednotky (virtuální sítě). Například citlivá data z výzkumu nebo firmy by neměla být umístěna na stejném segmentu serveru a sítě jako e-mailové prostředí organizace.

Použijte virtualizované prostředí - k izolovanému spouštění prostředí operačního systému nebo specifických programů.

Nastavení oprávnění uživatelů - nastavte co nejnižší oprávnění pro přístup ke sdílení souborů, adresářů a sítí. Pokud uživatel potřebuje přístup pouze ke čtení určitých souborů, neměl by mít k těmto souborům, adresářům nebo sdíleným položkám přístup pro zápis. Nakonfigurujte ovládací prvky přístupu s minimálním oprávněním.

Nastavení antiviru - zajistěte, aby byla antivirová a antispywarová řešení nastavena na automatickou aktualizaci a aby byly prováděny pravidelné kontroly.

Osvěta a školení - cílem útočníků jsou koncoví uživatelé, vaši zaměstnanci by měli být upozorněni na hrozbu ransomwaru a na to, jak je šířen, a proto je nutné zajistit školeni o zásadách a technikách informační bezpečnosti.

Co dělat v případě napadení

Nedoporučuje se výplata výkupného, protože to nezaručuje, že organizace znovu získá přístup ke svým údajům. Ve světě jsou známy případy, že i když bylo výkupné zaplaceno, nebyly poškozeným, dešifrovací klíče nikdy zaslány.

Kromě toho kvůli obavám v šifrovacích algoritmech určitých variant malwaru nemusí být oběti schopny obnovit některá nebo všechna svá data ani s platným dešifrovacím klíčem.

Výplaty výkupného navíc mohou motivovat zločince k dalším útokům. Je proto nutné zohlednit rizika předtím, než se rozhodnete o dalším postupu.

Pokud zaplatíte výkupné, prosím, vždy o této skutečnosti informujte Národní úřad pro kybernetickou bezpečnost (NÚKIB). Tím poskytnete kompetentním orgánům důležité informace, které jsou nezbytné ke sledování útočníků s ransomwarem.

Jak se ransomware šíří

Počítačoví zločinci používají různé techniky k infikování systémů obětí ransomwarem. Kybernetičtí zločinci upgradují a mění své techniky, aby zefektivnili své útoky a zabránili odhalení.

Známé techniky k infikování obětí ransomwarem:

Zranitelnost protokolu vzdálené plochy (RDP) - RDP je patentovaný síťový protokol, který umožňuje jednotlivcům ovládat zdroje a data počítače přes internet. Kybernetičtí zločinci použili jak metody hrubé síly, tak techniku používající pokus-aomyl k získání uživatelských pověření, a pověření zakoupená na trzích darknet k získání neoprávněného RDP přístupu k systémům obětí. Jakmile mají přístup k RDP, mohou zločinci nasadit do systémů obětí celou řadu malwaru - včetně ransomwaru.

E-mailová phishingová kampaň - počítačový zločinec odešle e-mail obsahující škodlivý soubor nebo odkaz, který zavádí do počítače malware, když na něj příjemce klikne. Kybernetičtí zločinci historicky používali k nasazení svého škodlivého softwaru obecné, široce založené spamové strategie, zatímco nedávné kampaně s ransomwarem byly cílenější. Zločinci mohou také ohrozit e-mailový účet oběti pomocí prekurzorového malwaru, který umožňuje počítačovým zločincům použít e-mailový účet oběti k dalšímu šíření infekce.

Softwarová zranitelnost - počítačoví zločinci mohou využít slabých stránek zabezpečení v široce používaných softwarových programech, aby získali kontrolu nad systémy obětí a nasadili ransomware. Například kybernetičtí zločinci nedávno zneužili zranitelnosti ve dvou nástrojích pro vzdálenou správu, které používají poskytovatelé spravovaných služeb (MSP) k nasazení ransomwaru do sítí zákazníků alespoň tří MSP.

Co je ransomware

Ransomware je forma škodlivého kódu (malwaru), který šifruje soubory v počítači nebo serveru oběti a činí je nepoužitelnými. Kybernetičtí zločinci požadují výkupné výměnou za poskytnutí klíče k dešifrování souborů oběti.

Od začátku roku 2018 se výskyt širokých, nerozlišujících kampaní ransomware prudce snížil, ale ztráty z útoků ransomware se výrazně zvýšily.

Útoky Ransomware jsou stále cílenější, sofistikovanější a nákladnější.