Atak ransomware dotknął około 370 000 osób
10 kwietnia 2024 r. ośrodek dermatologiczny ustalił, że w dniach 2–5 marca 2024 r. cyberprzestępca uzyskał dostęp do systemów i skopiował dane z sieci AD. Uzyskane dane dotyczą PII zarówno pracowników, jak i klientów. Dane, które zostały skradzione, obejmują: imiona i nazwiska, daty urodzenia, adresy zamieszkania, numery ubezpieczenia społecznego, paszportów oraz praw jazdy. W wyniku cyberprzestępstwa światło dziennie ujrzały także: informacje dotyczące leczenia pacjentów oraz ich roszczeń względem placówki medycznej.
„Informacje, których to dotyczy, różnią się w przypadku każdej osoby i nie każda kategoria ma zastosowanie w każdym indywidualnym przypadku” – stwierdził podmiot świadczący opiekę zdrowotną. Jak podano na stronie internetowej Office of the Maine Attorney, atak ransomware dotknął około 370 000 osób. Po incydencie AD twierdzi, że podjęła kroki w celu odłączenia dostępu do swojej sieci i zatrudniła specjalistów ds. cyberbezpieczeństwa, aby pomogli w przywróceniu systemów. AD oferuje bezpłatne usługi monitorowania kredytów i ochrony przed kradzieżą tożsamości każdemu dotkniętemu atakiem ransomware.
Grupa BianLian przyznała się do ataku
Affiliated Dermatologists and Dermatologic Surgeons to usługa opieki dermatologicznej działająca w różnych obszarach całych Stanów Zjednoczonych. Grupa oprogramowania ransomware BianLian przyznała się do ataku na stowarzyszonego dermatologa w kwietniu 2024 r. Od czerwca 2022 r. BianLian atakuje organizacje z wielu sektorów infrastruktury krytycznej w USA.
Według amerykańskiej Agencji Bezpieczeństwa Cyberbezpieczeństwa i Infrastruktury (CISA) gang obrał także za cel krytyczne sektory w Australii. Jak wynika z alertu doradczego dotyczącego oprogramowania ransomware dotyczącego gangu opublikowanego przez CISA wiosną ubiegłego roku, ugrupowania zagrażające nieznanego pochodzenia zazwyczaj uzyskują dostęp do ofiar za pomocą prawidłowych danych uwierzytelniających protokołu Remote Desktop Protocol (RDP).
Wyrażenie Bian Lian, czyli po chińsku „zmiana twarzy”, to starożytna sztuka performance znana jako chińska opera syczuańska, w której wykorzystuje się kolorowe kostiumy i maski. Rzadko widuje się go poza kontynentem ze względu na prawo dotyczące chronionej tajemnicy. Według Ransomlooker, narzędzia monitorującego oprogramowanie ransomware, w ciągu ostatnich 12 miesięcy BianLian zaatakował 196 organizacji.
Jak chronić firmę przed atakami ransomware?
Ataki ransomware stają się coraz bardziej zaawansowane i powszechne. Nie ma się zatem co dziwić, że firmy się ich boją, ponieważ skutki takiego cyberprzestępstwa zwykle bywają dotkliwe. Skuteczna ochrona przed ransomware wymaga kompleksowego podejścia, obejmującego zarówno prewencję, jak i przygotowanie do reakcji na incydent. Aby chronić swoją firmę przed ransomware, przede wszystkim trzeba regularne aktualizować systemy operacyjne, aplikacje oraz oprogramowania zabezpieczające. Aktualizacje często zawierają łaty bezpieczeństwa, które eliminują znane luki wykorzystywane przez cyberprzestępców.
Drugą ważną kwestią są szkolenia dla pracowników, które są niezbędnym elementem ochrony przed atakami ransomware. Pracownicy są często najsłabszym ogniwem w łańcuchu bezpieczeństwa, dlatego regularne szkolenia dotyczące rozpoznawania zagrożeń, takich jak phishing, oraz bezpiecznego korzystania z poczty elektronicznej i internetu, są niezbędne dla zwiększenia ogólnego poziomu bezpieczeństwa.
Ponadto programowanie antywirusowe i antymalware stanowi pierwszą linię obrony przed złośliwym oprogramowaniem. Inwestycja w zaawansowane oprogramowanie ochronne, które jest regularnie aktualizowane, może skutecznie wykrywać i neutralizować złośliwe oprogramowanie zanim wyrządzi ono szkody. Segmentacja sieci to metoda polegająca na podziale infrastruktury na mniejsze, izolowane segmenty. Dzięki temu, w razie infekcji, złośliwe oprogramowanie ma utrudnione zadanie rozprzestrzeniania się po całej sieci.
Kopie zapasowe są kluczowym elementem ochrony przed ransomware. Regularne tworzenie kopii zapasowych wszystkich krytycznych danych, które są przechowywane w trybie offline lub w izolowanych środowiskach, uniemożliwia dostęp ransomware i pozwala na szybkie odzyskanie danych w przypadku ataku.
Minimalizowanie skutków ataku
Każda firma powinna mieć opracowany i regularnie testowany plan awaryjny, który szczegółowo opisuje procedury odzyskiwania danych oraz kontynuacji działalności w przypadku ataku ransomware. Taki plan pozwala na szybkie i skuteczne reagowanie na incydent. Szyfrowanie danych wrażliwych to dodatkowy środek zabezpieczający. Szyfrowanie zapewnia, że w przypadku kradzieży dane będą bezużyteczne dla atakujących, co znacznie zmniejsza ryzyko ich niewłaściwego wykorzystania.
Stały monitoring aktywności sieciowej i analiza logów mogą pomóc we wczesnym wykrywaniu nieprawidłowości. Dzięki temu możliwe jest szybkie reagowanie i ograniczenie skutków potencjalnego ataku. Kontrola dostępu, polegająca na ograniczeniu dostępu do krytycznych systemów i danych tylko do uprawnionych pracowników oraz stosowanie uwierzytelniania wieloskładnikowego (MFA), zapewnia dodatkową warstwę ochrony przed nieautoryzowanym dostępem.
W przypadku wykrycia ataku ransomware pierwszym krokiem powinna być natychmiastowa izolacja zainfekowanych systemów, aby zapobiec dalszemu rozprzestrzenianiu się złośliwego oprogramowania. Informowanie odpowiednich władz oraz wewnętrznych zespołów ds. bezpieczeństwa IT o incydencie jest kluczowe dla koordynacji działań naprawczych i śledczych.
Skorzystanie z wcześniej przygotowanych kopii zapasowych umożliwia szybkie odzyskanie utraconych danych i minimalizuje przestój operacyjny. Należy unikać płacenia okupu, ponieważ nie ma gwarancji, że atakujący przywrócą dostęp do danych.
Skuteczna ochrona przed ransomware wymaga wielowarstwowego podejścia, które obejmuje zarówno prewencję, jak i gotowość do reakcji na incydent. Regularna ocena i aktualizacja strategii bezpieczeństwa IT są kluczowe w dynamicznie zmieniającym się krajobrazie zagrożeń cybernetycznych.
