Co to jest oprogramowanie ransomware i jak się przed nim chronić?

czwartek, 26 marca 2020 przez Michael Nuncic

DST_image_970x300_hero-cloud

Od paru lat liczba ataków z użyciem oprogramowania ransomware rośnie w zastraszającym tempie. Niestety, rozwój technologii idzie w parze ze wzrostem cyberprzestępczości. Ile naprawdę wiesz o stale zmieniającym się zagrożeniu ransomware? Czy wiesz, jakie kroki należy podjąć, aby zapobiec atakowi?

Rosnące ryzyko

Cyberbezpieczeństwo musi być najwyższym priorytetem dla firm dowolnej wielkości, aby mogły chronić się przed stale ewoluującą siecią zagrożeń. W badaniu przeprowadzonym przez ISACA, CMMI i Infosecurity Group „Stan zarządzania ryzykiem korporacyjnym 2020” 53% respondentów stwierdziło, że w ciągu ostatnich 12 miesięcy zauważyło zwiększone ryzyko zagrożenia w swojej organizacji. Ponadto 29% respondentów przyznało, że cyberbezpieczeństwo jest obecnie najbardziej krytyczną kategorią ryzyka, z którą muszą zmierzyć się przedsiębiorstwa, a 33% uważa, że zagrożenie informacji/cyberbezpieczeństwa będzie najważniejszą kategorią ryzyka, z jaką ich organizacja będzie musiała się zmierzyć w ciągu najbliższych 18-24 miesięcy.

Źródło — ISACA, CMMI i Infosecurity Group „Stan zarządzania ryzykiem korporacyjnym 2020”

Definicja oprogramowania ransomware

Ransomware to forma złośliwego oprogramowania, której celem jest blokowanie dostępu do systemu komputerowego lub opublikowanie danych ofiary w Internecie. Atakujący żąda okupu od ofiary, obiecując — nie zawsze zgodnie z prawdą — przywrócenie dostępu do danych po dokonaniu płatności.

Od lat 80. nieustannie rośnie liczba różnych koni trojańskich, ale realne możliwości zysku dla atakujących wzrosły od czasu wprowadzenia kryptowaluty bitcoin. Ta kryptowaluta umożliwia atakującym łatwe pobieranie pieniędzy od swoich ofiar bez korzystania z tradycyjnych metod.

Kto stoi za oprogramowaniem ransomware?

Osoby odpowiedzialne za ataki ransomware to zazwyczaj oszuści z dużą wiedzą i doświadczeniem w programowaniu komputerowym. Zazwyczaj ransomware infekuje komputer za pośrednictwem załącznika do wiadomości e-mail, sieci lub zainfekowanej przeglądarki.

Jak działa oprogramowanie ransomware?

Phishing

Najpopularniejszym systemem dostarczania oprogramowania ransomware jest spam phishingowy — załączniki do wiadomości e-mail ofiary podszywające się pod plik budzący zaufanie. Według badań firmy zajmującej się oprogramowaniem zabezpieczającym Trend Micro 91% cyberataków i wynikających z nich naruszeń bezpieczeństwa danych zaczyna się od wiadomości e-mail typu spear-phishing.

Po pobraniu i otwarciu załącznika przez ofiarę, złośliwe oprogramowanie przejmuje kontrolę nad komputerem, szyfrując niektóre lub wszystkie pliki. W takim przypadku jedynym sposobem odszyfrowania danych jest użycie klucza matematycznego, który zna tylko atakujący.

Zdarzały się również przypadki, w których złośliwe oprogramowanie wyświetlało komunikat informujący, że system „Windows” został zablokowany. Następnie zachęca użytkownika do zadzwonienia pod numer telefonu „Microsoftu” i wprowadzenia sześciocyfrowego kodu w celu ponownej aktywacji systemu. Wiadomość zawiera informację, że rozmowa telefoniczna jest bezpłatna, ale to nieprawda. Podczas rozmowy telefonicznej z fałszywym „Microsoftem” użytkownik nabija opłaty za połączenie zamiejscowe.

Doxware

Inny rodzaj złośliwego oprogramowania nosi nazwę leakware lub doxware. Posługujący się nim napastnik zagrozi, że ujawni poufne dane ofiary, jeśli ta nie wpłaci okupu. Często celem tych ataków są wiadomości e-mail i pliki programu Word, ale zdarzają się też ataki na urządzenia mobilne, biorące na celownik wiadomości prywatne, zdjęcia i kontakty z telefonu użytkownika.

Uważa się, że Doxware pozwala skuteczniej wyłudzać pieniądze od ofiar niż oprogramowanie ransomware. W przypadku oprogramowania ransomware można się ratować kopią zapasową danych, które stały się niedostępne. Natomiast w przypadku doxware, gdy atakujący ma informacje, których ofiara nie chce być opublikować, poza zapłaceniem okupu nie da się nic zrobić.

Jakie szkody może wyrządzić oprogramowanie ransomware?

Można by pomyśleć, że zapłacenie okupu za uzyskanie dostępu do swoich danych jest wystarczająco złe, ale może to być niczym w porównaniu z faktycznymi kosztami szkód związanych z atakiem. Ataki ransomware mogą powodować:

  • Uszkodzenie i zniszczenie (lub utratę) danych
  • Utratę produktywności
  • Zakłócenie normalnego trybu działalności po ataku
  • Śledztwo kryminalistyczne
  • Przywracanie i usuwanie przejętych danych i systemów
  • Uszczerbek na reputacji
  • Szkolenie pracowników w zakresie bezpośredniej reakcji na ataki

Biorąc pod uwagę powyższe, nic dziwnego, że ataki ransomware kosztują organizacje średnio 36000 USD!

Czy mam zapłacić okup? 

Większość ekspertów od cyberprzestępczości odradza wpłacanie okupu, ponieważ finansowanie hakerów tylko pomaga im w tworzeniu kolejnych wirusów ransomware.

Jednak wiele organizacji nie zgadza się z tą radą, ponieważ kładą na szali wartość zaszyfrowanych danych i wysokość okupu. W 2018 roku  45% firm amerykańskich zostało zaatakowanych za pomocą oprogramowania ransomware i zapłaciło atakującym. Ale dlaczego?!

Ogólna rada brzmi: nie płacić atakującym za pomocą ransomware. Jednak odmowa zapłaty może nie być najlepszym rozwiązaniem dla wielu przedsiębiorców, zwłaszcza gdy istnieje szansa, że firma może na stałe utracić dostęp do ważnych danych, zostać ukarana grzywną przez organy regulacyjne lub całkowicie wycofać się z działalności. Dla wielu firm wybór między zapłaceniem stosunkowo skromnego okupu a pozostaniem w biznesie jest oczywisty.

W wielu przypadkach ataków ransomware wysokość okupu jest tak ustalona, aby była warta zachodu hakera i jednocześnie, aby była niższa niż koszt odzyskania danych przez zaatakowaną firmę. Atakujący czasami oferują zniżki za zapłacenie okupu w określonym czasie, np. w ciągu trzech dni.

Mając to na uwadze, niektóre firmy gromadzą rezerwy bitcoinów specjalnie na potrzeby zapłaty okupu. To rozwiązanie jest szczególnie popularne w Wielkiej Brytanii, gdzie organizacje chętniej płacą okup. Według Gothama Sharmay, dyrektora zarządzającego w Exeltek Consulting Group, „Około jedna trzecia średniej wielkości firm brytyjskich zgłasza posiadanie bitcoinów, aby móc zareagować na sytuacje kryzysowe związane z oprogramowaniem ransomware, gdy nie ma łatwego dostępu do innych opcji”..

Jak zatrzymać oprogramowanie ransomware 

Jeśli padniesz ofiarą ataku z użyciem oprogramowania ransomware, przede wszystkim musisz dowiedzieć się, jakiego rodzaju jest to oprogramowanie. Jeśli na przykład nie możesz pozbyć się wiadomości ransomware z ekranu, prawdopodobnie Twój komputer został zainfekowany oprogramowaniem ransomware blokującym ekran. Jeśli możesz przeglądać swoje aplikacje, ale nie możesz otworzyć plików, filmów itp., to Twój komputer prawdopodobnie został zainfekowany przez najgorszy rodzaj oprogramowania ransomware, czyli takiego, które szyfruje dane. Jeśli możesz poruszać się po swojej sieci i otwierać wszystkie swoje pliki, prawdopodobnie jest to fałszywe oprogramowanie, która po prostu próbuje zastraszyć Cię i zmusić do zapłaty.

Jak zapobiec atakowi ransomware

  • Upewnij się, że masz dobrą kopię zapasową wszystkich swoich plików. Dzięki temu, jeśli cokolwiek się wydarzy, przywrócenie plików z kopii zapasowej będzie najszybszym sposobem na odzyskanie dostępu do danych.
  • Odpowiadając na e-maile, nieoczekiwane połączenia telefoniczne, wiadomości tekstowe lub wiadomości błyskawiczne, nie podawaj żadnych danych osobowych. Phisherzy mogą próbować nakłonić pracowników do zainstalowania złośliwego oprogramowania lub zdobyć informacje, podając się za osobę z Twojego działu IT.
  • Upewnij się, że masz sprawdzone oprogramowanie antywirusowe i zaporę sieciową. Na rynku jest dużo fałszywego oprogramowania, więc Twój program antywirusowy i zapora sieciowa muszą być wystarczająco dobre, aby zapewnić ochronę przed złośliwym oprogramowaniem.
  • Upewnij się, że na serwerach pocztowych masz włączone skanowanie i filtrowanie zawartości. Skanuj każdą przychodzącą wiadomość e-mail pod kątem znanych zagrożeń i blokuj wszelkie typy załączników, które mogą stanowić zagrożenie.
  • Jeśli odbywasz podróż służbową, poinformuj o tym wcześniej swój dział IT, zwłaszcza jeśli podejrzewasz, że będziesz korzystać z publicznych bezprzewodowych punktów internetowych. Upewnij się, że masz godną zaufania wirtualną sieć prywatną (VPN) podczas uzyskiwania dostępu do publicznych punktów Wi-Fi.
  • Upewnij się, że całe oprogramowanie komputera jest aktualne. Dotyczy to systemu operacyjnego, przeglądarki oraz wszelkich wtyczek i pasków narzędzi.

Ontrack i oprogramowanie ransomware

W Ontrack nieustannie monitorujemy 271 różnych typów oprogramowania ransomware. Ransomware zmienia się i rozwija przez cały czas, dlatego chcemy mieć pewność, że obserwujemy i badamy najnowsze zmiany i postępy.

Jeśli chodzi o poufne dane, zawsze najlepiej jest skontaktować się z ekspertem ds. odzyskiwania danych, takim jak Ontrack, który może pomóc w odzyskaniu dostępu do danych po ataku ransomware.