07
lip
2018
Szanghajski COSCO Shipping kolejną ofiarą ataku ransmoware.

Po zeszłorocznych atakach wiemy, że nikt nie może czuć się bezpiecznie. Nawet dziś na wspomnienie cieszących się nadal niesłabnącą, złą sławą NotPetya i WannaCry niektórych przechodzą ciarki.  Pomimo gorzkich i kosztownych doświadczeń nadal większość firm nie posiada jednak odpowiednich zabezpieczeń. Kolejny poważny gracz branży, czwarty co do wielkości przewoźnik morski na świecie, na koniec lipca 2018 r. został zainfekowany przez ransomware.

 

Całe szczęście na skutek ataku Cosco nie ucierpiał tak jak Mearsk. W 2017r. infekcja NotPetya była tak niszczycielska, że ​​niektóre statki tego armatora utknęły w porcie.

W oficjalnym oświadczeniu z 25 lipca 2018r. na swojej witrynie Cosco przyznał jedynie, że „ze względu na lokalne awarie sieci w naszych amerykańskich lokalizacjach, lokalna poczta e-mail i telefony sieciowe mogą nie działać poprawnie. Ze względów bezpieczeństwa zamknęliśmy połączenia z innymi regionami w celu przeprowadzenia dalszego dochodzenia. Jak dotąd wszystkie jednostki pływające naszej firmy pracują normalnie, a nasze główne systemy operacyjne działają stabilnie. Z przyjemnością informujemy, że podjęliśmy skuteczne działania. Z wyjątkiem wyżej wymienionych regionów dotkniętych problemem sieci, operacje biznesowe we wszystkich pozostałych regionach zostaną wkrótce odzyskane.”

W rzeczywistości  skutki ataku rozliczone zostaną dopiero w kolejnym kwartale, zatem dopiero wtedy będzie można mówić o jego skali. Aczkolwiek patrząc na przestrzeń wydarzeń ostatnich lat trudno jest mówić o incydentalnym charakterze tego rodzaju cyberataków. Zdarzają się one coraz częściej i stają się coraz bardziej agresywne i bardziej wyrafinowane technologicznie. W związku z tym podpowiadamy jak się chronić:

Środki obronne ransomware:

  • Regularne tworzenie kopii zapasowych i przechowywanie ich poza siedzibą firmy. Dodatkową warstwą ochrony będzie ich szyfrowanie, by nie martwić się, że urządzenie zapasowe wpadnie w niepowołane ręce.

  • Niewłączanie makr w dokumentach przekazanych za pośrednictwem poczty e-mail. Microsoft celowo domyślnie wyłączał automatyczne uruchamianie makr jako środek bezpieczeństwa. Wiele infekcji złośliwym oprogramowaniem polega na przekonaniu użytkownika do ponownego ich włączania.

  • Instalowanie poprawek i aktualizacji, które wypełniają luki w zabezpieczeniach (najczęściej wykorzystywane przez najnowsze zagrożenia).

  • Korzystanie z Sophos Intercept X, który skutecznie powstrzymał zeszłoroczne ataki NotPetya i WannaCry.

Sophos Intercept X to rozwiązanie antyransomware wykrywające złośliwe oprogramowanie poprzez analizę behawioralną w oparciu o technikę Deep Learning z wykorzystaniem sieci neuronowych SophosLabs. Dedykowana ochrona z wysoką skutecznością, nie sygnaturowo wykrywa nowe i nieznane dotąd pliki i procesy złośliwego oprogramowania, a także spontaniczne i złośliwe szyfrowanie danych. Zatrzymuje ten proces już na samym początku. Identyfikuje złośliwe oprogramowanie, odizolowuje je i usuwa. W przypadku naruszenia zaufanych plików lub procesów odwraca zmiany bez żadnej interakcji z użytkownikiem czy personelem działu IT.

Spośród innych metod uczenia maszynowego, Sophos Intercept X wyróżnia brak konieczności wskazania szukanych atrybutów. Mechanizm Deep Learning identyfikuje ważne  atrybuty pozwalające odróżnić złośliwe oprogramowanie od zwykłych plików. Zbudowany model jest stale szkolony w oparciu o nowe i nieznane dotąd szkodliwe próbki oraz monitorowany w procesie decyzyjności przez pracowników SophosLabs. Jego rozmiar ma mniej niż 20MB i nie wymaga częstych aktualizacji.

Poniżej krótki instruktaż jak rozpocząć ochronę za pomocą Intercept X

 

Autor

Magdalena Żmuda
Your Sophos Account Manager