Atacurile ransomware moderne nu se limitează doar la criptarea datelor, ci implică și furtul acestora și amenințarea de a le dezvălui public. Aceasta înseamnă că atunci când o școală sau un spital este atacat, de multe ori sunt datele elevilor sau ale pacienților care sunt divulgate dacă cererea de răscumpărare nu este îndeplinită.
Este dezconcertant să ne gândim cât de lacomi trebuie să fie o persoană pentru a arăta un asemenea dispreț față de durerea pe care poate cauza partajarea unor astfel de informații. Raportul nostru recent privind starea ransomware-ului în educație a evidențiat o creștere cu 84% a atacurilor cunoscute asupra sectorului educațional.
Atacurile cunoscute de ransomware împotriva sistemului educațional, iunie 2022-mai 2023
Și deși atacurile ransomware asupra sistemului educațional sunt o fenomen global, Statele Unite și Marea Britanie au înregistrat rate mult mai mari de atacuri decât alte țări.
Deși atacurile au fost efectuate de un număr mare de grupuri diferite de ransomware, unul în special s-a evidențiat: Vice Society. Grupul de ransomware Vice Society se specializează în atacuri asupra sistemului educațional, având aproximativ jumătate din activitatea sa (43%) îndreptată împotriva acestui sector – aproape de zece ori mai mult decât media grupurilor de ransomware.
Vice Society a fost, de asemenea, cunoscut să adreseze direct cererile lor către studenții universitari (am discutat despre această tactică în cazul Universității Manchester).
Documentele furate din școli și publicate online de grupurile de ransomware pot conține informații foarte private care depășesc ceea ce vedem în mod normal în fișierele dezvăluite. Dar se pare că devine tot mai dificil să convingi victimele să plătească răscumpărarea, astfel că atacatorii cibernetici încearcă noi tactici.
Ceea ce par să uite sau să nu le pese este faptul că ei nu doar extorc bani de la instituții, ci distrug vieți tinere în proces. Un articol al Associated Press a vorbit cu familiile a șase studenți ale căror dosare privind agresiuni sexuale au fost expuse de un grup de ransomware. Divulgarea unor astfel de înregistrări private pe Dark Web și pe Internetul deschis poate avea un impact durabil asupra acelor tineri mult timp după ce școala lor s-a recuperat după atac.
Grupurile de ransomware poartă o parte din vină, desigur, dar sectorul educațional poate face câteva lucruri pentru a reduce impactul unui atac ransomware.
Este prudent să presupunem că la un moment dat organizația dumneavoastră va cădea victimă a unui atac ransomware. În acest caz, ar putea fi mai bine să se recurgă la evidențe pe hârtie pentru informațiile extrem de sensibile sau să le păstrați în siguranță criptate pe un sistem neconectat la rețea.
Se pare că este și o problemă să informați studenții și familiile lor despre ceea ce s-a întâmplat și ce ar fi putut fi furat. Familii contactate de AP au declarat că au aflat pentru prima dată despre informațiile dezvăluite de la jurnalist, și nu de la școală.
Un alt aspect de luat în considerare este faptul că hoții de identitate vizează uneori copiii pentru că această infracțiune poate rămâne nedetectată ani de zile, adesea până când copilul solicită primul împrumut sau card de credit. Acesta este chiar un alt motiv pentru ca școlile să informeze familiile studenților cu privire la datele furate.
După cum a scris un reprezentant al Vice Society într-un e-mail adresat studenților unei școli afectate: “În plus, toate numerele voastre de securitate socială și înregistrările medicale vor fi puse la vânzare, pentru ca orice hacker să obțină acces și să utilizeze datele voastre în orice activitate ilegală doresc. Pentru noi, aceasta este o zi de afaceri obișnuită. Pentru voi, este o zi tristă în care toată lumea va vedea informațiile voastre personale și private.”
Aceasta demonstrează că apelul la bunăvoința lor are puține șanse de reușită, deci cea mai bună apărare este protecția.
Cum să evitați ransomware-ul:
Blocarea formelor comune de intrare. Creați un plan pentru remedierea rapidă a vulnerabilităților din sistemele expuse pe internet și dezactivați sau întăriți accesul la distanță, cum ar fi RDP și VPN-uri.
Prevenirea intruziunilor. Opriți amenințările înainte ca acestea să poată pătrunde sau infecta sistemele dumneavoastră finale. Utilizați software de securitate a punctelor terminale care poate preveni exploatarea și malware-ul utilizate pentru a distribui ransomware.
Detectarea intruziunilor. Facilitați operațiunile infractorilor în cadrul organizației dumneavoastră prin segmentarea rețelelor și atribuirea prudentă a drepturilor de acces. Utilizați EDR sau MDR pentru a detecta activitățile neobișnuite înainte ca un atac să se producă.
Oprirea criptarii malitioase. Implementați software Endpoint Detection and Response (EDR) precum Malwarebytes EDR, care utilizează mai multe tehnici de detecție diferite pentru identificarea ransomware-ului și permite restaurarea fișierelor de sistem deteriorate.
Creați copii de rezervă offline. Păstrați copiile de rezervă în afara locației fizice și într-un mediu offline, inaccesibil atacatorilor. Testați-le în mod regulat pentru a vă asigura că puteți restabili rapid funcțiile esențiale ale afacerii.
Nu fiți atacați de două ori. După ce ați izolat focarul și ați oprit primul atac, trebuie să eliminați fiecare urmă a agresorilor, malware-ului lor, instrumentelor lor și metodelor de intrare pentru a evita un nou atac.
