Atak ransomware. Czy należy płacić okup za odzyskanie plików?

Ransomware to jedno z głównych zagrożeń, przed którym obecnie stoją firmy i osoby prywatne.

  • Michał Górecki
  • /
  • 21 czerwca 2022

Według niedawnego badania przeprowadzonego przez Fortinet, aż 85 proc. przedsiębiorstw obawia się takiego ataku bardziej niż jakiegokolwiek innego zagrożenia.

Może on zostać z łatwością zainicjowany przez nieostrożnego użytkownika, który np. kliknie w link prowadzący do nieodpowiedniej strony lub otworzy złośliwy plik. Chociaż ofiary często mogą czuć się zdesperowane i chcą zapłacić okup, aby odzyskać dostęp do ważnych danych, jest to decyzja, którą należy bardzo dokładnie rozważyć.

Dla zaatakowanej firmy stawka jest wyższa niż dla prywatnego użytkownika. W ekstremalnych przypadkach przetrwanie przedsiębiorstwa może zależeć od uzyskania od cyberprzestępców klucza, który umożliwi odszyfrowanie i odzyskanie skradzionych danych. Jednak dylematy ofiar należących do obu grup wydają się zaskakująco podobne.

Co robić w przypadku ataku ransomware?

Gdy atak powiedzie się, firmy mogą ograniczyć szkodliwy wpływ oprogramowania ransomware, podejmując szybkie działania. W pierwszej kolejności należy odizolować urządzenie, na którym uruchomiony jest proces szyfrujący dane – najlepiej po prostu go wyłączyć. Następnie należy odłączyć wszystko, co łączy zaatakowany sprzęt z siecią lub innymi urządzeniami w jej obrębie. W ten sposób zapobiega się atakom horyzontalnym, w których ransomware rozprzestrzenia się poprzez sieć z jednego urządzenia na drugie.

– Wyciągając po prostu wtyczkę z gniazdka, można powstrzymać dalsze rozprzestrzenianie się ransomware’u. Warto też wcześniej podzielić sieć na segmenty. Wdrożenie takiego modelu okazuje się naprawdę przydatne, gdy konieczne jest szybkie, łatwe i skuteczne odłączenie części sieci od pozostałej infrastruktury – wyjaśnia Aamir Lakhani z FortiGuard Labs firmy Fortinet.

Atak phishingowy na klientów Santandera. Nie daj się nabrać na fałszywe nagrodyAtak phishingowy na klientów Santandera. Nie daj się nabrać na fałszywe nagrodyMikołaj Frączak

Następnie należy zidentyfikować typ złośliwego oprogramowania, które zainfekowało system. Zazwyczaj nie jest to wyłącznie zaszyfrowanie danych przez ransomware – proces ten jest zwykle ostatnim aktem większego ataku. Zrozumienie jakiego rodzaju złośliwe oprogramowanie zostało użyte może pomóc w opracowaniu rozwiązania lub – w niektórych przypadkach – w użyciu klucza deszyfrującego, który może być już dostępny dla określonego typu ransomware’u.

Odzyskiwanie danych

Wyciekły w Twojej firmie dane osobowe

możemy Ci pomóc w analizie i zgłoszeniu do UODO

Aby skutecznie odzyskać dane, firma musi wdrożone odpowiednie procedury, zakładające przede wszystkim systematyczne tworzenie kopii zapasowych (backup). Jeśli operacja ta odbywa się kilka razy dziennie, usuwanie skutków ataku ransomware może kosztować tylko kilka godzin pracy. Dla sukcesu tej operacji nie ma znaczenia, czy do tworzenia kopii danych wykorzystywane będą usługi backupu w chmurze czy repozytorium ulokowane w siedzibie firmy. Najważniejsze jest, że firma będzie mogła uzyskać dostęp do plików z kopii zapasowej, korzystając z urządzenia nienarażonego na atak.

Czy należy płacić za odszyfrowanie plików?

Ofiary ataku ransomware często słusznie obawiają się, że po zapłaceniu nie odzyskają danych. Trudno jest bowiem pokładać wiarę w dobrą wolę cyberprzestępców. Może się więc okazać, że nawet gdy okup zostanie zapłacony, firma straci i dane, i pieniądze. W dodatku otrzyma łatkę łatwego celu i „płatnika”, którego można w prosty sposób i często zastraszyć.

– Co oczywiste, żadna firma nie chce mieć takiej reputacji, ponieważ może to być równoznaczne z namalowaniem tarczy strzelniczej na jej plecach stanowiącej zachętę do przyszłych ataków. Chociaż rozumiem, że niektóre podmioty mogą nie mieć innego wyjścia, jak tylko zapłacić atakującym za ransomware, to jednak zalecam, aby tego nie robić – zwraca uwagę Aamir Lakhani.

Ofiary ataków ransomware, które czują się zmuszone do zapłacenia cyberprzestępcom, często zastanawiają się, czy jest to legalne. Nie ma przepisów zabraniających płacenia okupu w sytuacji, gdy dane i/lub systemy są zablokowane przez przestępców. Jednak władze i przedstawiciele branży cyberbezpieczeństwa zdecydowanie odradzają płacenie okupu.

Zapłata nie gwarantuje bowiem odzyskania plików. W dodatku może ośmielić hakerów do atakowania kolejnych firm, zachęcić inne podmioty przestępcze do zaangażowania się w dystrybucję oprogramowania ransomware lub sfinansować nielegalne działania innego rodzaju.

Źródło: Fortinet

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Jeśli chcesz być na bieżąco z informacjami za zakresu bezpieczeństwa, zapraszamy do naszego serwisu ponownie!
Jeżeli podobał Ci się artykuł podziel się z innymi udostępniając go w mediach społecznościowych.

Potrzebujesz wsparcia lub szukasz rozwiązań w zakresie zagadnienia o którym mowa w akrtykule?

Kliknij aby wrócić do strony głównej

Newsletter

Bądźmy w kontakcie! Zapisz się na newsletter, a raz na jakiś czas wyślemy Ci powiadomienie o najważniejszych artykułach. Dla subskrybentów newslettera przygotowujemy specjalne wydarzenia np. webinaria. Nie pożałujesz!