Pomimo niedawnego spadku, „ransomware” nadal stanowi poważne zagrożenie. Oto wszystko, co musisz wiedzieć o złośliwym oprogramowaniu szyfrującym pliki i jego działaniu.
Definicja Ransomware
Ransomware jest formą złośliwego oprogramowania, które szyfruje pliki ofiary. Napastnik żąda następnie od ofiary okupu, aby przywrócić dostęp do danych po dokonaniu płatności.
Użytkownicy otrzymują instrukcje, w jaki sposób uiścić opłatę, aby otrzymać klucz szyfrujący. Koszty mogą wahać się od kilkuset dolarów do tysięcy, płatne dla cyberprzestępców w Bitcoin.
Jak działa oprogramowanie wymuszające okup?
Istnieje wiele wektorów, które można wykorzystać w celu uzyskania dostępu do komputera. Jednym z najczęstszych systemów dostarczania jest phishing spam – załączniki, które przychodzą do ofiary w poczcie elektronicznej, maskując się jako plik, któremu powinna zaufać. Po pobraniu i otwarciu, mogą one przejąć komputer ofiary, zwłaszcza jeśli mają wbudowane narzędzia socjotechniczne, które oszukują użytkowników, aby umożliwić im dostęp administracyjny. Inne, bardziej agresywne formy okupu, takie jak NotPetya, wykorzystują luki w zabezpieczeniach do infekowania komputerów bez potrzeby oszukiwania użytkowników.
Istnieje kilka rzeczy, które złośliwe oprogramowanie może zrobić po przejęciu komputera ofiary, ale zdecydowanie najczęstszym działaniem jest szyfrowanie niektórych lub wszystkich plików użytkownika. Jeśli chcesz poznać szczegóły techniczne, Instytut Infosec dogłębnie przyjrzy się, w jaki sposób kilka smaków oprogramowania okupowego szyfruje pliki. Ale najważniejsze jest to, że pod koniec procesu, pliki nie mogą być odszyfrowane bez klucza matematycznego znanego tylko przez atakującego. Użytkownik otrzymuje komunikat wyjaśniający, że jego pliki są teraz niedostępne i zostaną odszyfrowane tylko wtedy, gdy ofiara prześle napastnikowi niemożliwą do wykrycia płatność Bitcoin.
W niektórych formach złośliwego oprogramowania napastnik może twierdzić, że jest to organ ścigania zamykający komputer ofiary z powodu obecności na nim pornografii lub pirackiego oprogramowania i żądający zapłaty „grzywny”, być może w celu zmniejszenia prawdopodobieństwa zgłoszenia przez ofiarę ataku władzom. Ale większość ataków nie przeszkadza w tym udawaniu. Istnieje również odmiana, zwana leakware lub doxware, w której atakujący grozi upublicznieniem poufnych danych na dysku twardym ofiary, chyba że zapłaci okup. Ponieważ jednak odnajdywanie i wydobywanie takich informacji jest dla napastników bardzo trudną propozycją, szyfrowanie okupu jest zdecydowanie najczęstszym typem oprogramowania.
Kto jest celem dla okupu?
Istnieje kilka różnych sposobów, na jakie napastnicy wybierają organizacje, do których zwracają się za pomocą ransomware. Czasami jest to kwestia możliwości: na przykład, napastnicy mogą być obiektem ataku na uczelnie, ponieważ mają mniejsze zespoły bezpieczeństwa i zróżnicowaną bazę użytkowników, którzy często dzielą się plikami, co ułatwia penetrację ich obrony.
Z drugiej strony, niektóre organizacje są kuszącymi celami, ponieważ wydają się bardziej skłonne do szybkiego zapłacenia okupu. Na przykład, agencje rządowe lub placówki medyczne często potrzebują natychmiastowego dostępu do swoich plików. Kancelarie prawne i inne organizacje dysponujące danymi wrażliwymi mogą być skłonne zapłacić za uciszenie informacji na temat kompromisu – a organizacje te mogą być wyjątkowo wrażliwe na ataki typu leakware.
Ale nie czuj się bezpieczny, jeśli nie pasujesz do tych kategorii: jak zauważyliśmy, niektóre programy typu „okup” rozprzestrzeniają się automatycznie i bezkrytycznie w Internecie.
Jak zapobiegać programom typu „ransomware”?
Istnieje szereg kroków obronnych, które można podjąć, aby zapobiec infekcji okupem. Są to oczywiście dobre praktyki bezpieczeństwa w ogóle, więc podążając za nimi poprawiasz swoją obronę przed wszelkiego rodzaju atakami:
Dbaj o to, aby Twój system operacyjny był łatany i aktualny, abyś miał mniej luk do wykorzystania.
Nie instaluj oprogramowania ani nie przyznawaj mu uprawnień administracyjnych, chyba że wiesz dokładnie, co to jest i co robi.
Zainstaluj oprogramowanie antywirusowe, które wykrywa złośliwe programy, takie jak ransomware w momencie ich pojawienia się, oraz oprogramowanie typu whitelisting, które w pierwszej kolejności uniemożliwia wykonywanie nieautoryzowanych aplikacji.
I, oczywiście, tworzyć kopie zapasowe plików, często i automatycznie! To nie powstrzyma ataku złośliwego oprogramowania, ale może sprawić, że szkody spowodowane przez jeden z nich będą znacznie mniej znaczące.
Usuwanie złośliwego oprogramowania (Ransomware)
Jeśli Twój komputer został zainfekowany okupem, będziesz musiał odzyskać kontrolę nad maszyną. Steve Ragan z CSO ma świetny film pokazujący jak to zrobić na maszynie z systemem Windows 10:
Wideo zawiera wszystkie szczegóły, ale ważne kroki są do:
- Ponowne uruchomienie Windows 10 do trybu bezpiecznego
- Zainstaluj oprogramowanie antymalware
- Zeskanuj system, aby znaleźć program szyfrujący.
- Przywrócenie komputera do poprzedniego stanu
Ale oto ważna rzecz, o której należy pamiętać: podczas przechodzenia przez te kroki można usunąć złośliwe oprogramowanie z komputera i przywrócić je do kontroli, nie odszyfruje ono Twoich plików. Ich przekształcenie w nieczytelność już nastąpiło, a jeśli złośliwe oprogramowanie jest w ogóle wyrafinowane, to z matematycznego punktu widzenia nikt nie będzie w stanie ich odszyfrować bez dostępu do klucza, który posiada atakujący. W rzeczywistości, usuwając złośliwe oprogramowanie, wykluczyłeś możliwość przywrócenia swoich plików poprzez zapłacenie napastnikom okupu, o który prosili.
Fakty i liczby dotyczące okupu
Ransomware to wielki biznes. W oprogramowaniu okupowym jest dużo pieniędzy, a od początku dekady rynek szybko się rozwijał. W 2017 r. oprogramowanie typu „oansomware” przyniosło straty w wysokości 5 miliardów dolarów, zarówno pod względem zapłaconego okupu, jak i poniesionych wydatków oraz straconego czasu na odzyskanie sił po atakach. To 15 razy więcej niż w roku 2015. W pierwszym kwartale 2018 roku tylko jeden rodzaj oprogramowania okupowego, SamSam, zebrał 1 milion dolarów pieniędzy na okup.
Niektóre rynki są szczególnie podatne na oprogramowanie okupujące i płacenie okupu. Wiele głośnych ataków na oprogramowanie dla okupu miało miejsce w szpitalach lub innych organizacjach medycznych, które stanowią kuszące cele: napastnicy wiedzą, że przy życiu dosłownie w równowadze, przedsiębiorstwa te są bardziej skłonne po prostu zapłacić stosunkowo niski okup, aby problem zniknął. Szacuje się, że 45 procent ataków na oprogramowanie okupowe jest kierowanych do placówek służby zdrowia, i odwrotnie, że 85 procent zakażeń złośliwym oprogramowaniem w placówkach służby zdrowia to oprogramowanie okupowe. Kolejna kusząca branża? Sektor usług finansowych, który jest, jak sławnie zauważył Willie Sutton, gdzie są pieniądze. Szacuje się, że 90 procent instytucji finansowych zostało zaatakowanych przez oprogramowanie okupujące w 2017 roku.
Twoje oprogramowanie antywirusowe nie musi cię chronić. Ransomware jest stale pisane i poprawiane przez programistów, więc jego podpisy często nie są wychwytywane przez typowe programy antywirusowe. W rzeczywistości aż 75 procent firm, które padły ofiarą programów typu „ransomware”, stosowało na zainfekowanych maszynach aktualną ochronę punktów końcowych.
Ransomware nie jest tak powszechny jak kiedyś. Jeśli chcesz uzyskać trochę dobrych wiadomości, to jest to, że: liczba ataków okupowych, po eksplozji w połowie lat ’10, spadła, choć początkowe liczby były na tyle wysokie, że nadal jest. Jednak w pierwszym kwartale 2017 r. ataki okupowe stanowiły 60 procent ładunków złośliwego oprogramowania, a teraz spadły do 5 procent.
Ransomware na spadek?
Co kryje się za tym wielkim spadkiem? Pod wieloma względami jest to decyzja ekonomiczna oparta na wybranej przez cyberprzestępcę walucie: bitcoin. Wyciąganie okupu z ofiary zawsze był hit lub miss, mogą nie zdecydować się zapłacić, a nawet jeśli chcą, mogą nie być na tyle zaznajomieni z bitcoin, aby dowiedzieć się, jak to zrobić.
Jak zauważa Kaspersky, spadkowi ilości oprogramowania okupowego towarzyszył wzrost ilości tak zwanego kryptońskiego złośliwego oprogramowania, które zaraża komputer ofiary i wykorzystuje jego moc obliczeniową do tworzenia (lub mojej, w języku krypto walutowym) Bitcoinów bez wiedzy właściciela. Jest to zgrabna droga do wykorzystania cudzych zasobów w celu uzyskania Bitcoina, który omija większość trudności w zdobyciu okupu, i stał się bardziej atrakcyjny jako cyberatak, jak cena Bitcoina wzrosła pod koniec 2017 roku.
Nie oznacza to jednak, że zagrożenie się skończyło. Istnieją dwa różne rodzaje napastników okupowych: ataki „towarowe”, które próbują zainfekować komputery bezkrytycznie na dużą skalę i obejmują tzw. platformy „okupowe jako usługa”, które przestępcy mogą wypożyczyć; oraz grupy docelowe, które skupiają się na szczególnie wrażliwych segmentach rynku i organizacjach. Jeśli należysz do tej ostatniej kategorii, powinieneś być na straży, niezależnie od tego, czy minął wielki boom na okupware.
Wraz ze spadkiem cen bitcoinów w 2018 roku, analiza kosztów i korzyści dla napastników może się cofnąć. Ostatecznie, użycie oprogramowania okupowego lub kryptominy złośliwego oprogramowania jest decyzją biznesową dla atakujących, mówi Steve Grobman, dyrektor ds. technologii w firmie McAfee. „Gdy ceny krypto walut spadają, naturalne jest, że następuje cofnięcie się [do oprogramowania okupowego]”.
Powinien pan zapłacić okup?
Jeśli twój system został zainfekowany złośliwym oprogramowaniem, a ty straciłeś istotne dane, których nie możesz przywrócić z kopii zapasowej, czy powinieneś zapłacić okup?
Mówiąc teoretycznie, większość organów ścigania nalega, aby nie płacić okupów za napastników, kierując się logiką, że zachęca to tylko hakerów do tworzenia większej ilości oprogramowania na okup. Mimo to wiele organizacji, które są dotknięte złośliwym oprogramowaniem, szybko przestaje myśleć w kategoriach „większego dobra” i zaczyna robić analizę kosztów i korzyści, ważąc cenę okupu w stosunku do wartości zaszyfrowanych danych. Według badań Trend Micro, podczas gdy 66 procent firm twierdzi, że z zasady nigdy nie zapłaciłoby okupu, w praktyce 65 procent rzeczywiście płaci okup, gdy zostanie trafione.
Napastnicy oprogramowania okupowego utrzymują ceny na stosunkowo niskim poziomie – zwykle między 700 a 1300 dolarów, czyli kwotę, którą firmy zazwyczaj mogą sobie pozwolić na zapłacenie w krótkim czasie. Niektóre szczególnie wyrafinowane złośliwe oprogramowanie wykrywa kraj, w którym działa zainfekowany komputer i dostosowuje okup do gospodarki tego kraju, wymagając więcej od firm z krajów bogatych, a mniej od tych z biednych regionów.
Często oferowane są zniżki za szybkie działanie, aby zachęcić ofiary do szybkiego płacenia, zanim za dużo się nad tym zastanowią. Ogólnie rzecz biorąc, cena jest tak ustalona, że jest na tyle wysoka, że jest warta czasu przestępcy, ale na tyle niska, że często jest tańsza niż to, co ofiara musiałaby zapłacić, aby odzyskać swój komputer lub odtworzyć utracone dane. Mając to na uwadze, niektóre firmy zaczynają budować potencjalną potrzebę płacenia okupu w swoich planach bezpieczeństwa: na przykład, niektóre duże brytyjskie firmy, które nie są zaangażowane w kryptokurrency, trzymają niektóre Bitcoin w rezerwie specjalnie dla płatności okupu.
Jest tu kilka podstępnych rzeczy, o których należy pamiętać, pamiętając, że ludzie, z którymi masz do czynienia, to oczywiście przestępcy. Po pierwsze, to co wygląda jak okup, może w ogóle nie zaszyfrować twoich danych; upewnij się, że nie masz do czynienia z tak zwanym „scareware” zanim wyślesz komukolwiek pieniądze. A po drugie, płacenie napastnikom nie gwarantuje, że odzyskasz swoje pliki. Czasami przestępcy po prostu biorą pieniądze i uciekają, a może nawet nie mają wbudowanej funkcji odszyfrowywania w złośliwe oprogramowanie. Jednak każde takie złośliwe oprogramowanie szybko zyskuje reputację i nie generuje dochodów, więc w większości przypadków – Gary Sockrider, główny technolog bezpieczeństwa w Arbor Networks, szacuje, że od 65 do 70 procent czasu – oszuści przychodzą i Twoje dane są odzyskiwane.
Przykłady okupu
Chociaż z technicznego punktu widzenia okup jest obecny od lat 90-tych, został on wprowadzony dopiero w ciągu ostatnich około pięciu lat, głównie z powodu dostępności niemożliwych do zidentyfikowania metod płatności, takich jak Bitcoin. Niektórzy z najgorszych przestępców byli:
- CryptoLocker, atak z 2013 roku, zapoczątkował nowoczesną erę okupu i zainfekował do 500.000 maszyn na swojej wysokości.
- TeslaCrypt skupiał się na plikach do gier i w czasie panowania terroru stale się doskonalił.
- SimpleLocker był pierwszym szeroko zakrojonym atakiem okupowym, który skupił się na urządzeniach mobilnych.
- WannaCry rozprzestrzenia się autonomicznie z komputera na komputer za pomocą EternalBlue, exploita opracowanego przez NSA, a następnie skradzionego przez hakerów.
- NotPetya również używał EternalBlue i mógł być częścią skierowanego przez Rosjan cyberataku przeciwko Ukrainie.
- Locky zaczął się rozprzestrzeniać w 2016 roku i był „podobny w swoim trybie ataku do osławionego oprogramowania bankowego Dridex”.
- Wariant, Osiris, rozprzestrzeniał się poprzez kampanie phishingowe.
- Leatherlocker został po raz pierwszy odkryty w 2017 roku w dwóch aplikacjach dla systemu Android: Booster & Cleaner i Wallpaper Blur HD. Zamiast szyfrować pliki, blokuje ekran główny, aby uniemożliwić dostęp do danych.
- Wysiwye, również odkryty w 2017 roku, skanuje sieć w poszukiwaniu otwartych serwerów Remote Desktop Protocol (RDP). Następnie próbuje ukraść dane uwierzytelniające RDP w celu rozpowszechnienia ich w sieci.
- Cerber okazał się bardzo skuteczny, gdy po raz pierwszy pojawił się w 2016 r., a w lipcu tego samego roku zaatakował 200.000 dolarów. Wykorzystał on podatność Microsoftu na infekcję sieci.
- BadRabbit rozprzestrzenił się na firmy medialne w Europie Wschodniej i Azji w 2017 roku.
- SamSam działa od 2015 roku i jest skierowany przede wszystkim do organizacji opieki zdrowotnej.
- Ryuk pojawił się po raz pierwszy w 2018 roku i jest wykorzystywany do celowych ataków na wrażliwe organizacje, takie jak szpitale. Jest on często używany w połączeniu z innym złośliwym oprogramowaniem, takim jak TrickBot.
- Maze to stosunkowo nowa grupa oprogramowania okupowego znana z udostępniania skradzionych danych do publicznej wiadomości, jeśli ofiara nie zapłaci za ich odszyfrowanie.
- RobbinHood jest kolejnym wariantem EternalBlue, który powalił na kolana miasto Baltimore, Maryland, w 2019 roku.
- GandCrab może być najbardziej lukratywnym okupem w historii. Jego twórcy, którzy sprzedali program cyberprzestępcom, od lipca 2019 r. żądają ponad 2 miliardów dolarów na wypłaty dla ofiar.
- Sodinokibi atakuje systemy Microsoft Windows i szyfruje wszystkie pliki oprócz plików konfiguracyjnych. Jest to związane z GandCrabem
- Thanos jest najnowszym oprogramowaniem okupującym na tej liście, odkrytym w styczniu 2020 roku. Jest sprzedawany jako ransomware jako usługa, jako pierwszy używa techniki RIPlace, która może ominąć większość metod anty-ransomware.
Ta lista po prostu będzie się wydłużać. Podążaj za wskazówkami podanymi tutaj, aby się chronić.