Ataki przeprowadzane za pośrednictwem oprogramowania ransomware sieją spustoszenie zarówno w sieciach wielkich korporacji, jak i małych rodzinnych firmach. Walka z napastnikami jest trudna, ale można ich pokonać.
W maju bieżącego roku światowe media obiegła informacji o paraliżu Kostaryki. To państwo leżące w Ameryce Środkowej zostało z dnia na dzień unieruchomione, ale nie stało się to w wyniku tornada, trzęsienia ziemi, lecz… ataku ransomware. W znacznym stopniu ucierpiała infrastruktura Ministerstwa Finansów, począwszy od systemu poboru podatków, aż po oprogramowanie nadzorujące procesy importu i eksportu. Cyberatak niemal całkowicie zakłócił logistykę całego kraju. Ten pojedynczy przykład doskonale obrazuje skalę szkodliwości złośliwego oprogramowania ransomware. W jaki sposób działa ten malware? Co zrobić, aby się przed nim odpowiednio zabezpieczyć?
Ransomware jest rodzajem złośliwego oprogramowania, które infekuje komputer, systemy sieciowe i przechowywane na nich dane. Haker szyfruje pliki i są one niedostępne dla użytkownika, dopóki ofiara nie zapłaci okupu. Tak przynajmniej wygląda to w teorii, ale w praktyce niejednokrotnie się zdarza, że pomimo wniesienia opłaty cyberprzestępcy nie odszyfrowują danych.
G DATA jest przeciwnikiem płacenia napastnikom za odszyfrowanie danych. Ze statystyk wynika, że średnio w jednym na trzy przypadki, pomimo wniesionego okupu, cyberprzestępcy pozostawiają zaszyfrowane pliki. Czasami było to celowe działanie, ale dochodziło do sytuacji, że niedoświadczeni hakerzy po prostu nie potrafili przywrócić danych. Trzeba też mieć na uwadze, że raz płacąc haracz, zachęcamy gang ransomware do przeprowadzenia kolejnych ataków.
Robert Dziemianko
G DATA Software
Ransomware jest dla gangów przestępczych prawdziwą maszynką do robienia pieniędzy. Jak wynika z danych Departamentu Skarbu Stanów Zjednoczonych, w samym tylko 2021 roku straty finansowe spowodowane działaniami gangów ransomware na terenie USA wyniosły 5,2 miliarda dolarów. Istnieje wiele odmian i sposobów dystrybucji tego złośliwego oprogramowania, aczkolwiek lwia część ataków jest rozpowszechniana za pośrednictwem ataków ukierunkowanych oraz phishingu. Napastnicy dążą za wszelką cenę do tego, aby uzyskać dostęp do danych użytkownika. Z reguły wygląda to w ten sposób, że pracownik klika w podejrzany link znajdujący się w e-mailu pochodzącym od nieznanego nadawcy, a potem pobiera złośliwe pliki. Następnie ransomware uzyskuje bezpośredni dostęp do komputera i danych. Po zainfekowaniu urządzenia złośliwe oprogramowanie rozpoczyna szyfrowanie plików, a ofiara otrzymuje instrukcję wyjaśniającą, jak opłacić okup oraz informację o konsekwencjach nieuiszczenia żądanej opłaty.
Komu zagraża ransomware?
Według Cybercrime Magazine w 2021 roku atak ransomware miał miejsce co 11 sekund, co oznacza niemal osiem tysięcy incydentów dziennie. To przekłada się na szkody w wysokości 20 miliardów dolarów, czyli prawie 60 razy więcej niż w 2015 roku. Gangi ransomware najchętniej biorą na cel duże firmy z rozbudowaną infrastrukturą krytyczną, bardzo często mające swoje główne siedziby w rozwiniętych państwach. Tego typu podmioty mają wiele do stracenia i istnieje bardzo duże prawdopodobieństwo, że zapłacą okup. Stawki nie są niskie. Firma Coverware wyliczyła, że w pierwszym kwartale 2022 roku 46 procent ofiar zapłaciło napastnikom, a średnia opłata wyniosła 211 529 dolarów, zaś mediana 73 906 dolarów.
Wprawdzie wielkie koncerny są bardzo łakomym kąskiem dla gangów ransomware, ale mniejsze firmy nie mogą spać spokojnie. W G DATA spotkaliśmy się z wieloma sytuacjami, kiedy cyberprzestępcy na kilka dni sparaliżowali działania małych biur rachunkowych, turystycznych czy niewielkich zakładów produkcyjnych. Choć media nie informują o takich incydentach, to wcale nie oznacza, że nie mają one miejsca.
Robert Dziemianko
G DATA Software
Co ciekawe, napastnicy uderzają w również w gospodarstwa domowe, aczkolwiek „cennik” różni się od tego, który obowiązuje w firmach oraz instytucjach. Cyberprzestępcy najczęściej żądają za odszyfrowanie plików należących do osoby indywidualnej od 800 do 1000 dolarów. Za tymi atakami z reguły stoją początkujący hakerzy, korzystające z modelu Ransomware as a Service (RaaS). Napastnicy mogą w Darknecie bez trudu zakupić narzędzia pozwalające na przeprowadzenie ataku ransomware. Niektóre cybergangi oprócz tego, że udostępniają malware w modelu subskrypcyjnym, instruują młodocianych cyberprzestępców, w jaki sposób przeprowadzić skuteczny atak.
Jak się bronić przed atakami ransomware
Najlepszą metodą na powstrzymanie gangów ransomware są działania prewencyjne. Dlatego nieocenioną rolę odgrywają tutaj specjaliści ds. cyberbezpieczeństwa oraz dostawcy oprogramowania antywirusowego. Kevin Mitnick, jeden z najsłynniejszych hakerów, a obecnie najbardziej rozchwytywany ekspert w dziedzinie cyberbezpieczeństwa przyznaje, że łamał ludzi, a nie hasła. Choć od czasów, kiedy znany Amerykanin włamywał się do sieci komputerowych, upłynęły już trzy dekady, jego metody wciąż działają. Nie inaczej jest w przypadku ataków typu ransomware. Napastnicy wysyłają do pracowników e-maile, które mają skłonić ich do pobrania zainfekowanego pliku.
Niestety, błędy ludzkie są jedną z najczęstszych przyczyn nieudanych i udanych ataków. Nadal wiele osób nie potrafi odróżnić legalnej wiadomości e-mail od phishingowej. Z kolei hakerzy potrafią świetnie udawać pracodawców. Poza tym przesyłane przez nich informacje są coraz staranniej przygotowane, co oznacza, że nie zawierają błędów gramatycznych ani ortograficznych, co jeszcze do niedawna było normą.
Robert Dziemianko
G DATA Software
Dlatego bardzo ważne jest szkolenie pracowników w zakresie cyberebezpieczeństwa, należy im pokazywać, jakich e-maili nie otwierać, uczulać na sztuczki najczęściej stosowane przez oszustów. Jednak to często nie wystarcza, stąd coraz częściej wspomina się o tzw. ring-fencingu. Jest to funkcja ograniczają interakcje pomiędzy aplikacjami, ich dostępem do plików, rejestru oraz Internetu.
Gangi ransomware bardzo często dostają się do sieci poprzez luki występujące w aplikacjach. Najlepszym przykładem jest jeden z najgłośniejszych cyberataków ostatniego dziesięciolecia WannaCry, który wykorzystał lukę w zabezpieczeniach oprogramowania firmy Microsoft. Śledzenie aktualizacji w setkach aplikacji nie jest łatwe, w związku z tym można wprowadzić odpowiednia ustawienia — tak, aby aktualizacje były wykonywane automatycznie.
W obecnych czasach trudno byłoby znaleźć firmę lub instytucję bez oprogramowania antywirusowego. Jednak wraz ze wzrostem cyberzagrożeń warto dokładnie przyjrzeć się możliwościom używanego antywirusa pod kątem wykrywania zagrożeń typu ransomware.
W tegorocznym badaniu przeprowadzonym przez AV-TEST pod kątem zabezpieczenia komputerów z Windows 10 przed złośliwym oprogramowaniem ransomware nasze dwa produkty: G DATA End Point Protection Business i G DATA Total Security otrzymały maksymalną ocenę 40 punktów. Badacze zwracali uwagę na takie kwestie, jak: ochrona przez plikami z malwarem ukrytym w archiwach, zainfekowanymi dokumentami PowerPoint ze skryptami, czy plikami HTML ze złośliwą zawartością.
Robert Dziemianko
G DATA Software
Oprogramowanie antywirusowe zazwyczaj koncentruje się na wyszukiwaniu malware’u. Jest to metoda dość skuteczna, aczkolwiek większe firmy coraz częściej stosują tzw. taktykę „polowania na cyberprzestępców". Polega ona na tym, aby zawsze być krok przed hakerem i uniemożliwić mu przeprowadzenie cyberataku.
Przestępcy cały czas pracują nad udoskonalaniem oszustw, więc ze swojej strony najlepsze, co możemy zrobić, to nie ułatwiać im dostępu do swoich danych. Najskuteczniejszym sposobem na to jest sceptyczne podejście do przesyłanych nam linków oraz dobre oprogramowanie przeciwwirusowe.
.png "Szkolenia security awareness G DATA odpowiedzią na dziesiejsze problemy firm")
