Ransomware

Dlaczego warto zaufać Techopedii

Co to jest ransomware?

Istnieje wiele rodzajów złośliwego oprogramowania. Należy do nich także ransomware. Jest to złośliwe oprogramowanie, które szyfruje wszystkie pliki na stacjach roboczych i serwerach. Bez dostępu do plików firma po prostu staje.

Aby odzyskać dostęp, należy zapłacić okup w celu uzyskania cyfrowego klucza deszyfrującego. Jest to wyniszczający cyberatak, który może zagrozić rentowności firmy.

Jak ransomware infekuje system?

Ransomware może uzyskać dostęp do komputera przy użyciu jednej z wielu popularnych technik.

  • Nielegalne pobieranie muzyki i filmów. Często pobierane w ten sposób pliki zawierają złośliwe oprogramowanie.
  • Phishingowe wiadomości e-mail. Fałszywe wiadomości e-mail, które próbują zwabić ofiarę do odwiedzenia złośliwej strony internetowej lub otwarcia złośliwego, zainfekowanego załącznika.
  • Wykorzystanie słabych punktów sieci. Na przykład Remote Desktop Protocol (RDP) jest technologią, która umożliwia pracownikom dostęp do infrastruktury IT w biurze, gdy przebywają w domu lub w podróży. W przeszłości odkryto luki w implementacji protokołu RDP. Zostały one naruszone i wykorzystane do rozprzestrzeniania oprogramowania ransomware.

Skala problemu

Z luk w zabezpieczeniach RDP korzysta m.in. ransomware NotPetya. Jest to prawdopodobnie najbardziej globalnie szkodliwy przykład oprogramowania ransomware. W 2017 r. sparaliżowało firmy na całym świecie, od przedsiębiorstw MŚP po gigantyczne korporacje.

A.P. Møller-Mærsk jest największym na świecie operatorem kontenerowców i statków dostawczych. Działa też w branży zarządzania łańcuchem dostaw, obsługi portów i wydobywa ropę naftową. Jednak 27 czerwca 2017 roku na około cztery godziny firma utraciła zdolność operacyjną w 130 krajach. Maersk nie zapłacił okupu. Posiadał bowiem rezerwy środków, by kupić nowe laptopy, komputery, serwery i systemy interkomowe IP oraz przebudować swoje systemy.

Ostateczna cena przekroczyła 300 milionów funtów.

Norsk Hydro stracił praktycznie całą zdolność do produkcji aluminium z powodu infekcji oprogramowaniem ransomware LockerGogo. Ta firma również odmówiła zapłacenia okupu i ostatecznie straciła ponad 40 milionów dolarów. Hiszpański gigant spożywczy Mondelez też został zaatakowany przez NotPetya w 2017 roku i poniósł straty i szkody sięgające 100 milionów dolarów.

Warto wspomnieć, że ubezpieczenie cyber powstało w celu pokrycia kosztów związanych z incydentami bezpieczeństwa, takimi jak sprowadzenie wyspecjalizowanych zespołów do obsługi zagrożenia, wymiana sprzętu komputerowego, czyszczenie zainfekowanych systemów, obsługa mediów i prowadzenie infolinii dla osób, których dane zostały naruszone. Zwykle nie pokrywają szkód wynikających z utraty obrotów handlowych.

Jak przekonała się firma Mondelez, jeśli incydent zostanie sklasyfikowany jako „cyber warfare” (wojna cybernetyczna), ubezpieczyciele mogą zrzec się odpowiedzialności z tytułu „działań wojennych” i nie wypłacić żadnego odszkodowania. Wielka Brytania, Stany Zjednoczone, Australia i Kanada zbadały kod źródłowy NotPetya i przypisały go Głównemu Zarządowi Wywiadowczemu Sztabu Generalnego Sił Zbrojnych Federacji Rosyjskiej (GRU), wojskowej służbie wywiadowczej Rosji.

To są ofiary godne pierwszych stron gazet. NotPetya dotknęła niezliczoną liczbę małych i średnich przedsiębiorstw, organizacji i podmiotów korporacyjnych. A to tylko jedna odmiana ransomware.

KeRanger ransomware był pierwszym tego typu oprogramowaniem, które zostało zaprojektowane specjalnie do atakowania komputerów Mac. Powstało w 2016 roku. Zagrożone są również urządzenia mobilne i telefony komórkowe. Ransomware całkowicie blokuje dostęp do urządzenia i nie pozwala na jego odblokowanie, dopóki nie zostanie zapłacony okup.

Większość infekcji telefonów komórkowych jest wynikiem zainstalowania złośliwych aplikacji.

Jak działa ransomware?

Wszystkie programy ransomware powodują (lub symulują) problem i żądają zapłaty za jego usunięcie. Podobnie jak w przypadku każdego złośliwego oprogramowania, istnieją różne poziomy zaawansowania tego rodzaju zagrożenia.

Jakie są rodzaje ransomware?

Scareware

W przypadku oprogramowania scareware pojawia się komunikat, który informuje o problemie z komputerem, jego zainfekowaniu lub zhakowaniu przez hakerów. Widnieje tam informacja, że trzeba zapłacić okup w celu rozwiązania problemu. Dopiero wtedy komputer zostanie odblokowany, a hakerzy zostawią cię w spokoju. Czasami komunikaty te mogą udawać wiadomości od wsparcia technicznego lub IT, a nawet obsługi klienta Microsoft.

Ten rodzaj ataku nie ma wpływu na pliki użytkownika. Jeśli istnieje możliwość wyczyszczenia komputera oraz usunięcia wirusa i wyskakującego okienka, powróci on do normalnego działania.

Screen Locker

Ten rodzaj ataku powoduje otwarcie pełnoekranowego okna, którego nie można pominąć ani zamknąć. Wyświetlany komunikat jest wariacją kilku popularnych motywów.

  • Zostałeś zaatakowany przez ransomware, zapłać okup. Jasne i proste.
  • FBI lub inny organ ścigania wykrył na twoim komputerze nielegalne pliki do pobrania, pirackie oprogramowanie, pornografię itp. Zapłać grzywnę, aby przywrócić działanie komputera. Oczywiście, gdyby którykolwiek z tych przypadków był prawdziwy, zostałyby przedsięwzięte odpowiednie środki. Zamiast wiadomości na swoim laptopie w takim przypadku usłyszysz pukanie do drzwi.

Ransomware szyfrujący

Jest to prawdziwy problem, gdyż wówczas pliki naprawdę zostają zaszyfrowane. Często czekają w sieci tygodniami przed uruchomieniem, aby zainfekować jak najwięcej komputerów. Czekają, aż pracownicy zdalni odwiedzą siedzibę główną, aby ich laptopy również zostały zaatakowane. W ten sposób oprogramowanie ransomware pojawi się nawet w kopiach zapasowych.

Jeśli więc zdecydujesz się odbudować swoje systemy, zamiast zapłacić okup, wraz z danymi przywrócisz wirusa. Uruchomi się ponownie za kilka tygodni.

Typową techniką ataku jest zbieranie informacji przez oprogramowanie ransomware i wysyłanie ich z powrotem do serwerów dowodzenia i kontroli. To właśnie na tych serwerach znajduje się centrum dowodzenia. Sam program ransomware jest dość banalny. Zgłasza się z powrotem do bazy, otrzymuje nowe instrukcje od zautomatyzowanego oprogramowania na serwerze i działa zgodnie z nimi. Ten cykl się powtarza.

Zdarzyło się jednak kilka przypadków, w których zdalna inteligencja nie była serwerem dowodzenia i kontroli, ale człowiekiem. Sprawca zagrożenia, który kierował złośliwym oprogramowaniem jak zdalnym dronem, upewniał się przez kilka tygodni, że zainfekował całą infrastrukturę IT, lokalne i zewnętrzne kopie zapasowe, zanim uruchomił szyfrowanie.

Kto najczęściej pada celem ataków ransomware?

Niektóre ataki mają ukierunkowany charakter, a inne są losowym zainfekowaniem wirusem z phishingowych wiadomości, wysyłanych na miliony adresów e-mail w celu dotknięcia jak największej liczby ofiar.

  • Ataki z 2019 roku na podstawowe usługi w miastach takich jak Baltimore (Maryland), Riviera Beach (Floryda), Wilmer (Teksas) i New Bedford (Massachusetts) były ukierunkowane, zbadane i zaprojektowane tak, aby miały jak największy zasięg.
  • Szpitale często stają się celem ataków, ponieważ w obliczu zagrożenia życia działanie systemów musi zostać jak najszybciej przywrócone. Szpitale często opłacają okup.
  • Innym często obieraną branżą jest sektor finansowy – po prostu dlatego, że posiada fundusze na opłacenie ogromnego okupu.

    Większość ataków uderza jednak w ofiary, o których istnieniu hakerzy nawet nie wiedzą – do czasu uruchomienia oprogramowania ransomware.

    Ransomware – jak się zabezpieczyć?

    Poniżej opisujemy najlepsze praktyki cyberbezpieczeństwa, których wdrożenie i przestrzeganie powinno stać się normą.

    • Aktualizuj wszystkie systemy operacyjne, stacje robocze, laptopy i serwery. Zmniejsza to liczbę luk w zabezpieczeniach systemów. Im mniej jest luk, tym mniej możliwych naruszeń.
    • Nie używaj uprawnień administratora do niczego poza samym zarządzaniem. Nie nadawaj też programom i procesom uprawnień administratora.
    • Zainstaluj centralnie zarządzany program do ochrony punktów końcowych, który obejmuje funkcje antywirusowe i antymalware, i na bieżąco go aktualizuj. Upewnij się, że użytkownicy nie mogą odmówić lub odroczyć aktualizacji sygnatur wirusów.
    • Często wykonuj kopie zapasowe na różnych nośnikach, w tym kopie zapasowe off-site. Nie zapobiegnie to infekcji, ale pomoże w odzyskaniu plików. Regularnie testuj kopie zapasowe.
    • Stwórz plan disaster recovery, uzyskaj poparcie wyższego szczebla i wdróż wszystko, co możesz, aby zwiększyć zdolność firmy do funkcjonowania w razie ataku.
    • Stwórz i przećwicz politykę postępowania w przypadku incydentów cybernetycznych.
    • Zapewnij swoim pracownikom szkolenie w zakresie świadomości cybernetycznej.  Jeśli w porze lunchu znajdą na parkingu niezidentyfikowany pendrive, czy mogą podłączyć go do jednego z komputerów zaraz po lunchu? Czy będą wiedzieć, aby nie otwierać nieznanych załączników do wiadomości e-mail? Czy pracują w sumienny i ostrożny sposób? Czy promujesz kulturę zorientowaną na bezpieczeństwo?

      Czy zapłacić okup?

      Większość organów ścigania i agencji rządowych zajmujących się cyberbezpieczeństwem odradza płacenie okupu i zachęca do zgłoszenia ataku. Zapłata okupu jest zachętą dla cyberprzestępcy do kontynuowania ataków. Teoretycznie, jeśli nikt im nigdy nie zapłaci, ransomware stanie się bezcelowy i zacznie zanikać.

      Pod wpływem emocji, gdy porównuje się koszt okupu do wydatków związanych z jego niezapłaceniem, podjęcie decyzji nie jest łatwe. Trzeba wziąć pod uwagę ogólną cenę czyszczenia lub wymiany sprzętu, odbudowy i przywrócenia systemów biznesowych oraz utratę przychodów.

      Niewiele organizacji ma wystarczające zasoby finansowe do przetrwania ataku w sposób, w jaki zrobił to Maersk.

      Czasami to strach – i koszt – przed utratą reputacji skłania firmy do zapłacenia okupu. Chcą chronić swoją pozycję w oczach klientów oraz szerszego rynku i wytłumaczyć krótką przerwę kwestiami technicznymi.

      Warto zauważyć, że istnieją przypadki, w których okup został zapłacony, ale dostarczenie klucza deszyfrującego do ofiary zajęło ponad miesiąc. Wówczas nie ma więc możliwości, by atak pozostał w tajemnicy.

      Trudno to oszacować, ale dane sugerują, że 65% ataków ransomware nie jest zgłaszanych, a ofiary płacą okup. Co więcej, spotyka się daniny w wysokości nawet ponad 5 milionów dolarów, ale w prawie wszystkich przypadkach są znacznie niższe. Dzięki temu przeciętne firmy z sektora MŚP potrafią przełknąć proponowane kwoty. Wysokość okupu jest zwykle niższa niż koszty związane z jego niezapłaceniem.

      Niektóre ransomware biorą nawet pod uwagę rozmieszczenie geograficznie i dostosowują swoją cenę do gospodarki kraju ofiary.

      Najważniejsze pytanie brzmi: czy odzyskasz swoje dane?

      Szacuje się, że w 65-70% przypadków dane są skutecznie odszyfrowywane. Czasami ofiary nie otrzymują klucza deszyfrującego – hakerzy zabierają pieniądze i uciekają. W końcu są to przestępcy. Taki atak ransomware nie ma jednak przyszłości.

      Gdy rozejdzie się wieść, że danych nie da się odszyfrować, nikt nie zapłaci okupu. Dlatego też odszyfrowanie plików ofiary ma sens ekonomiczny dla hakerów.

      Czasami procedury deszyfrowania po prostu nie działają. Każde oprogramowanie jest podatne na błędy. Hakerzy poświęcają więcej czasu i wysiłku na rozwój procedur infekcji, replikacji i szyfrowania niż na procedury deszyfrowania. Może nawet chcą, aby wszystko poszło dobrze, ale czasami po prostu nie działają.

      Łatwo jest umoralniać i powiedzieć „nie płać”. Gdy jednak stajesz się ofiarą, a atak może doprowadzić do upadku firmy, trudno jest nie ulec pokusie „łatwego” wyjścia z problemu.

      Nie jestem lekarzem, ale wiem, że lepiej jest zapobiegać niż leczyć.

      Źródła

      Powiazane hasła

      Tim Keary
      Technology Specialist
      Tim Keary
      specjalista ds. technologii

      Tim Keary pracuje jako freelancer. Jest autorem publikacji z dziedziny nowych technologii oraz reporterem. W swojej pracy dziennikarskiej zajmuje się takimi tematami jak sztuczna inteligencja, cyberbezpieczeństwo, czy najnowsze technologie biznesowe. W 2023 toku dołączył w pełnym wymiarze czasowym do zespołu Techopedii, przedtem zaś publikował swoje teksty w serwisach takich jak VentureBeat, Forbes Advisor i kilka innych renomowanych platform technologicznych. Tim najczęściej publikował teksty, w których analizowal najnowsze trendy i badał innowacje w świecie technologii. Tim ma dyplom magistra historii, który uzyskał na Uniwersytecie w Kent. Podczas studiów zdobył umiejętność rozbijania trudnych tematów na proste koncepty. Kiedy nie jest zajęty pisaniem…

      thumbnail
      thumbnail
      Black Friday

      Kupujemy gry na Black Friday

      Tim Keary1 tydzieńspecjalista ds. technologii
      thumbnail
      Uncategorized

      Konfiguracja VPN krok po kroku

      Tim Keary1 tydzieńspecjalista ds. technologii
      thumbnail
      Blockchain

      Top 7 trendów i technologii na rynku kryptowalut w 2024

      Mensholong Lepcha1 tydzieńAutor tekstów z dziedziny blockchain i krypto
      thumbnail
      Blockchain

      Hossa Bitcoina 2024: Kiedy BTC osiągnie 100 000 USD?

      Mensholong Lepcha1 tydzieńAutor tekstów z dziedziny blockchain i krypto
      thumbnail
      Blockchain

      Czy zdecentralizowana nauka (DeSci) to kolejny trend Web3?

      Mensholong Lepcha1 tydzieńAutor tekstów z dziedziny blockchain i krypto
      thumbnail
      thumbnail
      Sztuczna Inteligencja

      Metoda sokratejska w procesie trenowania AI

      Assad Abbas2 tygodnieProfesor Nadzwyczajny na Uniwersytecie COMSATS w Islamabadzie (CUI)