#

Cyber Threats – Ransomware

autor: Krzysztof Sobkowski

| 2021-03-17 07:49:32

Od dłuższego czasu obserwowaliśmy trend zwiększonej aktywności cyberprzestępców oraz ewolucji ich metod. Pandemia Covid-19 dołożyła nowy arsenał zagrożeń.Masowe przechodzenie w tryb pracy zdalnej oraz wynikający z wybuchu pandemii poziom dezinformacji natychmiast pobudził kreatywność przestępców i spowodował wzrost ilości zagrożeń na niewyobrażalną dotychczas skalę. Cyberprzestępcy stworzyli ransomware (znane również pod nazwą rogueware lub scareware). 

 Co to jest ?

Jest to oprogramowanie, które blokuje dostęp do systemu komputerowego lub uniemożliwia odczyt zapisanych w nim danych (często poprzez techniki szyfrujące), a następnie żąda od ofiary okupu za przywrócenie stanu pierwotnego. 

Kto może być ofiarą ataku ransomware?

Celem ataku może być każdy użytkownik sieci – zarówno osoba indywidualna jak i firma. Istotną ataku jest szansa na zapłatę okupu oraz jego wysokość, dlatego  hakerzy jako cel ataku wybierają firmy lub instytucje państwowe, dla których atak może być kosztowny i istnieje duża szansa na to, że wysoki okup zostanie zapłacony, niż przeciętnego Kowalskiego, który nie jest w stanie za dużo zaoferować.

Przebieg ataku

Oprogramowanie szantażujące przeważnie jest trojanem, wprowadzonym do systemu. Uruchomiony zostaje szkodliwy kod, który przeważnie ma formę aplikacji typu scareware. Jedną z operacji wykonywanych przez ransomware może być wyświetlanie fałszywego ostrzeżenia (rzekomo wysłanego przez np. organy ścigania). Według tego typu ostrzeżeń system był używany w nielegalnych celach, bądź też znajdują się na nim treści pornograficzne lub pirackie oprogramowanie. Może również pojawić się komunikat o rzekomo nieoryginalnej wersji systemu Microsoft Windows. Niektóre programy tego typu zawierają prostą aplikację służącą do blokowania lub ograniczania dostępu do systemu do momentu dokonania płatności. Najgroźniejsze wersje takiego oprogramowania szyfrują pliki ofiary – przeważnie za pomocą silnego algorytmu – tak, aby tylko autor oprogramowania był w stanie je odszyfrować swoim kluczem; hakerzy rzadko korzystają ze słabych szyfrów.

Skąd się bierze ransomware?

Może dostać się do Twojego komputera poprzez np. załącznik w e-mailu, przeglądarkę,pobrany plik  lub jeśli odwiedzisz stronę, która jest zainfekowana złośliwym oprogramowaniem tego typu. Może również uzyskać dostęp do Twojego komputera poprzez Twoją sieć.

Ile kosztuje ransomware? 

Według danych Cybersecurity Ventures wartość globalnych szkód spowodowanych przez ransomware  w 2019 szacowano na 11,5 miliarda dolarów (dla porównania, w 2015 było to 325 milionów!). 

To samo źródło podaje, że w 2021 roku straty te mogą wynieść… 20 miliardów dolarów, czego nie można wykluczyć zważając na rosnącą skalę ataków.

Do tych kosztów zaliczamy: wartość zniszczonych lub skradzionych danych, koszty przestoju, utraconej produktywności, postępowania karne, szkolenia pracowników i utratę reputacji.

Z badań zebranych przez Coveware dowiadujemy się, że przeciętna wartość okupu w drugim kwartale 2020 wyniosła 178 tys.dolarów, co stanowi wzrost o 60% w stosunku do pierwszego kwartału.

Jak się zabezpieczyć ?

Ransomware jest złożonym zagrożeniem polegającym na kilku sposobach ataków. Pokonanie ransomware jest trudne, lecz nie niemożliwe. Władze wielu krajów łączą się aby znaleźć najlepszą strategię przeciw wyłudzeniom. W międzyczasie warto zapoznać się z kilkoma trikami, wskazówkami, aby mieć pewność, że nie stracimy swoich cennych danych ani pieniędzy.

Poniżej przedstawiamy kilka prostych zasad zwiększenia bezpieczeństwa:

  • regularnie wykonuj kopie zapasowe
  • zachowaj ostrożność podczas korzystania z Internetu – nie wchodź w podejrzane linki ani nie instaluj oprogramowania z niepewnego źródła,
  • przed otwarciem załącznika lub kliknięciem w link upewnij się, że znasz jego nadawcę – znaczna część ataków polega na podszyciu się pod firmę cieszącą się zaufaniem od której wiadomości możemy się spodziewać, np.: telekomunikacyjną lub kurierską,
  • nie korzystaj z konta administratora, jeżeli nie jest to konieczne,
  • nie korzystaj z publicznych sieci WiFi,
  • regularnie aktualizuj oprogramowanie – część ataków na cel bierze istniejące luki w oprogramowaniu (np. przeglądarkach),
  • stosuj unikatowe hasła dla różnych stron,
  • jeżeli to możliwe, włącz dwuskładnikowe uwierzytelnianie – nawet jeżeli przestępcy przejmą Twoje hasła to nadal nie będą mogli zalogować się na Twoje konto,
  • dbaj o swoją prywatność – im mniej osoby trzecie mogą się o Tobie dowiedzieć, tym trudniej będzie przygotować im atak

Nie płać okupu!

Zaleca się by nie płacić okupu, ponieważ nie ma żadnej gwarancji, że po przekazaniu pieniędzy odzyskamy dostęp do naszych danych. Co więcej – płacąc przestępcom pokazujemy, że taka metoda wyłudzania pieniędzy jest skuteczna i będzie się rozszerzać. 

Pierwsze przypadki ataków 

Pierwsze przypadki ataków z użyciem oprogramowania szyfrującego miały miejsce już w 1989 r. ransomware AIDS / PC Cyborg brał na cel przede wszystkim komputery firm z sektora medycznego. Przenoszony na dyskietkach 5,25 cala podszywał się pod ankietę dotyczącą ryzyka zarażenia się wirusem HIV. Wiadomość o okupie była drukowana na podłączonej do komputera drukarce.

Ransomware na komórki

Stosowanie na szeroką skalę oprogramowania ransomware dla urządzeń mobilnych odnotowano dopiero w 2014 r. na fali popularności CryptoLockera i podobnych rodzin rozwiązań. Oprogramowanie ransomware działające na urządzeniach mobilnych wyświetla zwykle komunikat o ich zablokowaniu w wyniku niezgodnej z prawem działalności. Komunikat ten zawiera informację, że urządzenie zostanie odblokowane po uiszczeniu stosownej opłaty. Za rozpowszechnianie tego typu zagrożeń odpowiadają zwykle złośliwe aplikacje. Aby się ich pozbyć, należy uruchomić telefon w bezpiecznym trybie i usunąć zainfekowaną aplikację, przywracając tym samym dostęp do urządzenia.