Czym jest ransomware?
Ransomware to rodzaj złośliwego oprogramowania, które może objawiać się na kilka różnych sposobów, atakując zarówno pojedyncze systemy, jak i sieci firm, szpitali, lotnisk i agencji rządowych.
Oprogramowanie ransomware jest stale udoskonalane i staje się coraz bardziej wyrafinowane od czasu pierwszego zarejestrowanego wystąpienia w 1989 roku. Podczas gdy proste formaty są zazwyczaj oprogramowaniem ransomware bez szyfrowania, nowoczesne wykorzystują metody kryptograficzne w celu szyfrowania plików, czyniąc je niedostępnymi. Oprogramowanie ransomware szyfrujące może być również używane na dyskach twardych jako sposób na całkowite zablokowanie systemu operacyjnego komputera, uniemożliwiając ofierze dostęp do niego. Ostatecznym celem jest przekonanie ofiar do zapłacenia okupu za odszyfrowanie - który zwykle jest żądany w walutach cyfrowych, które są trudne do wyśledzenia (takich jak Bitcoin lub inne kryptowaluty). Jednak nie ma gwarancji, że płatności zostaną honorowane przez atakujących.
Popularność oprogramowania ransomware znacząco wzrosła w ciągu ostatniej dekady (szczególnie w 2017 r.) i jako cyberatak motywowany względami finansowymi jest obecnie najpoważniejszym zagrożeniem ze strony złośliwego oprogramowania na świecie - zgodnie z raportem Europolu (IOCTA 2018).
Jak stają się ofiarami?
Phishing: powtarzająca się forma inżynierii społecznej. W kontekście oprogramowania ransomware, wiadomości e-mail phishingowe są jedną z najczęstszych form dystrybucji złośliwego oprogramowania. Ofiary zazwyczaj zostają zainfekowane poprzez zainfekowane załączniki e-mail lub linki, które są maskowane jako legalne. W obrębie sieci komputerów jedna ofiara może wystarczyć, aby narazić na szwank całą organizację.
Zestawy exploitów: pakiet składający się z różnych złośliwych narzędzi i wstępnie napisanego kodu exploita. Zestawy te są przeznaczone do wykorzystywania problemów i luk w aplikacjach oprogramowania i systemach operacyjnych jako sposobu na rozprzestrzenianie złośliwego oprogramowania (najczęstszym celem są niezabezpieczone systemy z nieaktualnym oprogramowaniem).
Malvertising: atakujący wykorzystują sieci reklamowe do rozprzestrzeniania oprogramowania ransomware.
Jak chronić się przed atakami ransomware?
Regularnie twórz kopie zapasowe plików za pomocą źródeł zewnętrznych, dzięki czemu będziesz mógł je przywrócić po usunięciu potencjalnej infekcji;
Zachowaj ostrożność w przypadku załączników i linków e-mail. Unikaj klikania w reklamy i strony internetowe o nieznanym źródle;
Zainstaluj sprawdzony program antywirusowy i aktualizuj aplikacje oraz system operacyjny;
Włącz opcję „Pokaż rozszerzenia plików” w ustawieniach systemu Windows, aby łatwo sprawdzić rozszerzenia plików. Unikaj rozszerzeń plików, takich jak .exe, .vbs i .scr;
Unikaj odwiedzania stron internetowych, które nie są zabezpieczone protokołem HTTPS (tj. adresy URL zaczynające się od „https://”). Pamiętaj jednak, że wiele złośliwych stron internetowych implementuje protokół HTTPS, aby zdezorientować ofiary, a sam protokół nie gwarantuje, że strona internetowa jest legalna lub bezpieczna.
Odwiedź NoMoreRansom.org, witrynę stworzoną przez organy ścigania i firmy zajmujące się bezpieczeństwem IT, które pracują nad zakłóceniem ransomware. Witryna oferuje bezpłatne zestawy narzędzi do odszyfrowywania dla zainfekowanych użytkowników, a także porady dotyczące zapobiegania.
Przykłady oprogramowania ransomware
Wielki Krab (2018)
Pierwszy raz widziany w styczniu 2018 r. ransomware miał ponad 50 000 ofiar w ciągu niecałego miesiąca, zanim został zakłócony przez pracę rumuńskich władz wraz z Bitdefender i Europol (dostępny jest bezpłatny zestaw do odzyskiwania danych). GrandCrab rozprzestrzeniał się za pośrednictwem złośliwych reklam i wiadomości e-mail phishingowych i był pierwszym znanym ransomware, który żądał zapłaty okupu w kryptowalucie DASH. Początkowy okup wahał się od 300 do 1500 dolarów amerykańskich.
Chcę płakać (2017)
Światowy cyberatak, który zainfekował ponad 300 000 komputerów w ciągu 4 dni. WannaCry rozprzestrzeniał się za pośrednictwem exploita znanego jako EternalBlue i atakował systemy operacyjne Microsoft Windows (najwięcej zainfekowanych komputerów działało na systemie Windows 7). Atak został zatrzymany dzięki awaryjnym poprawkom wydanym przez Microsoft. Amerykańscy eksperci ds. bezpieczeństwa twierdzili, że za atakiem stoi Korea Północna, chociaż nie przedstawiono żadnych dowodów.
Zły królik (2017)
Ransomware, który rozprzestrzeniał się jako fałszywa aktualizacja Adobe Flash, pobierana z zainfekowanych stron internetowych. Większość zainfekowanych komputerów znajdowała się w Rosji, a infekcja była zależna od ręcznej instalacji pliku .exe. Cena za odszyfrowanie wynosiła wówczas około 280 dolarów amerykańskich (0,05 BTC).
Locky (2016)
Zwykle rozsyłane pocztą elektroniczną jako faktura wymagająca zapłaty, która zawierała zainfekowane załączniki. W 2016 r. Hollywood Presbyterian Medical Center zostało zainfekowane przez Locky'ego i zapłaciło okup w wysokości 40 BTC (wówczas 17 000 dolarów amerykańskich), aby odzyskać dostęp do systemów komputerowych szpitala.
