Nie musisz być miliarderem. Nieważne, czy na komputerze przechowujesz cenne dane. Nie zabezpieczy cię nawet praca w świetnie chronionym miejscu. Ty też możesz paść ofiarą ransomware'u.
MAGAZYN NA WEEKEND / Dziennik Gazeta Prawna
Tata zadzwonił, że jakaś dziwna tapeta mu się na komputerze pojawiła. Przyjechałem, a to nie tapeta, tylko komunikat po angielsku żądający zapłaty za odblokowanie danych – opowiada dziennikarz z konkurencyjnej redakcji.
– Kolega, który za często wchodził na strony dla dorosłych, otrzymał wiadomość, że albo zapłaci, albo jakieś jego zdjęcia zostaną opublikowane – znajomy marketingowiec z dużej międzynarodowej korporacji wyspecjalizowanej w systemach IT. – Mnie też ransomware dotknął. Dostałem e-mail łudząco podobny do dostawcy, a w nim fakturę. Po jej odpaleniu, blokada kompa. Na szczęście znam magika, który zresetował mi system. I jeszcze u naszego klienta była podobna sprawa. Ktoś się podszył pod e-mail z Allegro. Dwa komputery do wyrzucenia, na szczęście tylko na poziomie recepcji.
– Mojemu chłopakowi kilka miesięcy temu zablokowało dane. Dwa dni biliśmy się z myślami, czy zapłacić, bo było na komputerze sporo naszych wspólnych zdjęć i szkoda nam było – koleżanka z czasów studenckich.
– Straciłabym dwa rozdziały książki i sporo skanów dokumentów. Trzy miesiące temu mnie zblokowali, zdecydowałam się zapłacić, bo inaczej przepadłoby mi kilka tygodni pracy – ekonomistka z jednej z największych uczelni.
W ciągu kilku godzin na zadane na Facebooku pytanie, czy ktoś z moich znajomych przeżył bliskie spotkanie z ransomware, odpisało kilkanaście osób. Żadnej nie spotkało to podczas ostatniej najgłośniejszej chyba fali cyberszantaży, która od kilku dni przetacza się przez Europę i Stany Zjednoczone. Ten atak – nazwany WannaCry – Polskę niemal całkowicie ominął, głównie dzięki zapobiegliwości operatorów sieci internetowych, którzy przed takimi atakami zablokowali ruch na porcie 445, czyli tym użytym przez robaka do rozmnażania. Jak podał krajowy CERT (specjalna komórka zajmująca się cyberbezpieczeństwem), zainfekowanych zostało co najmniej 1235 unikalnych adresów IP, ale w skali całego ataku to ledwie 0,65 proc. infekcji.
Jednak niech te dane nikogo nie zwiodą. Ransomware’y już i tak buszują po polskich komputerach równie bezkarnie jak na całym świecie. I będą w tym jeszcze sprawniejsze.
Wymuszenie ery cyfrowej
„Ransomware” brzmi skomplikowanie, lecz w rzeczywistości to najbardziej prostacka wersja przestępstwa – szantaż przeniesiony w cyberświat. Po co przeprowadzać wymyślne ataki, w których przestępcy będą przełamywać zabezpieczenia kont bankowych? Po co bawić się w zmasowane ataki (czyli DDoS) na strony instytucji publicznych czy korporacji, zakładając, że jeśli zaszkodzimy jednym, to zyskają inne? Po co phishingować, czyli wyłudzać dane, licząc na to, że trafią się jakieś cenne, pozwalające na zdobycie konkretnej gotówki?
Przestępcy kilka lat temu opracowali inny mechanizm. Rodzaj wirusa, który włamuje się na sprzęt ofiary (zazwyczaj z jej winy, bo pobrała plik, którego nie powinna, lub weszła na zakażoną stronę), szyfruje i zamyka dostęp do danych na nim zgromadzonych. A w zamian za ich odblokowanie ransomware żąda okupu. Póki zaatakowany nie zapłaci, nie może z urządzenia korzystać. Co więcej, na zapłatę okupu (oczywiście w bitcoinach, by zminimalizować szanse namierzenia przestępcy, bo kryptowaluty zapewniają anonimowość) ofiara dostaje określony czas. Czasem trzy, czasem siedem dni, czasem więcej.
Rachunek do zapłacenia też nie jest dowolny. Na tej „tapecie”, za którą ojciec kolegi dziennikarza wziął komunikat od cyberprzestępcy, jest dokładnie określona kwota do zapłaty. – Dziś to średnio od 1100 do 2200 zł. Co ciekawe początkowo, czyli jeszcze do 2016 r. szantażyści stosowali system „promocyjny”. Przez pierwsze kilka dni od zainfekowania stawka była niższa, a potem rosła. Teraz jednak widzimy, że w większości kampanii czas „promocji” już minął – tłumaczy Tomasz Matuła, dyrektor Infrastruktury ICT i Cyberbezpieczeństwa w Orange Polska.
– Od 2013 r., kiedy pojawił się pierwszy szerzej rozpowszechniony program ransomware o nazwie CryptoLocker, rzesze przestępców naśladują ten sam sprawdzony „model biznesowy”, szyfrując pliki na dyskach użytkowników i żądając okupu za odzyskanie dostępu do danych. Według analityków badających działanie zorganizowanych grup cyberprzestępców niektóre kampanie ransomware przynosiły ich autorom przychód rzędu kilkudziesięciu milionów dolarów w ciągu zaledwie kilku miesięcy, zatem nie powinniśmy się spodziewać spadku popularności tej metody zarobku w internecie – opowiada nam Adam Haertle, ekspert ds. bezpieczeństwa.
Na świecie co chwilę słychać o kolejnych ofiarach takiego działania. A to system transportu w San Francisco, a to austriacki hotel, a to – jak w przypadku ostatniej fali ataków – nawet szpitale. W przypadku wytwórni Disney nie zablokowano urządzeń, tylko wykradziono najnowszą premierę, czyli piątą część „Piratów z Karaibów”.
I oczywiście rzesze zwykłych użytkowników. W Polsce oficjalnie nikt do tej pory nie przyznał się, że padł ofiarą ransomware. Żadna instytucja, żadna firma ani duża, ani mała, nikt znany. Ale nie mówią o tym głośno nawet zwykli internauci. – Utrata wizerunku. Tak, to chyba jest jeden z głównych powodów. Po pierwsze, tego, że dopuszczono do infekcji, czyli czy to prywatny sprzęt nie miał zabezpieczeń, czy że w organizacji nie wypracowano zasad bezpieczeństwa. Plus wstyd, bo jednak skoro szantaż, to pewnie na sprzęcie były wartościowe, być może intymne materiały. Nie mamy też zawsze pewności, czy przy infekcji komputera ofiary nie wyciekły informacje wrażliwe np. stanowiące tajemnicę przedsiębiorstwa lub np. dane osobowe klientów – Marcin Ludwiszewski, odpowiedzialny za obszar cyberbezpieczeństwa w firmie doradczej Deloitte, tłumaczy, dlaczego w Polsce nikt się nie przyznaje, że padł ofiarą ransomware. Bardzo nieliczne ofiary składają zawiadomienia na policję.
– Raz, że nie wierzą w jej skuteczność. Dwa: obawiają się przejęcia dysku i tego, że policja może na nim znaleźć nielegalne oprogramowanie czy filmy – podkreśla Leszek Tasiemski, lider poznańskiej jednostki F-Secure, firmy zajmującej się ochroną danych.
Cyberszantaż to problem równie powszechny u nas jak na całym świecie. – Ataki ransomware mają wymiar bardzo demokratyczny – dotykają zarówno wielkie firmy, jak i indywidualnych użytkowników – podkreśla Haertle.
Demokratyczny i masowy, co pokazują dane CERT przy Orange. W ubiegłym roku dzięki własnym systemom ochronili 120 tys. klientów przed ransomware Locky. Klientów tej firmy (a jest to ok. 40 proc. ruchu w polskim internecie) w I kwartale 2016 r. próbowano ransomware’em zaatakować 43 tys. razy. A w I kwartale tego roku już 91 tys. – To ataki, które wykryła nasza cybertarcza i przed którymi skutecznie ochroniliśmy naszych klientów – mówi Tomasz Matuła.
Według raportu F-Secure z 2012 r. istniała tylko jedna rodzina ransomware, w 2015 r. było ich już 35, a w 2016 – aż 193. O tym, jak bardzo jesteśmy zagrożeni, świadczy choćby światowy ranking bezpieczeństwa sieciowego i zagrożenia atakami hakerskimi przygotowany przez Check Point Software Technologies. Obecnie Polska znajduje się na 23. miejscu w Europie. To nasza najgorsza pozycja od wielu miesięcy i spadek aż o 17 pozycji.
– Ransomware nie są targetowane, to takie ataki trochę na oślep. Tam, gdzie użytkownik nie jest wystarczająco ostrożny, tam się instalują i szantażują. W efekcie jest im obojętne, czy dopadną dużą korporację czy indywidualnego użytkownika. Ważne, by wyciągnąć pieniądze – tłumaczy Tasiemski.
I stąd tak skonstruowane opłaty, by przestępcom się to opłaciło, a zarazem by każdy użytkownik był w stanie zapłacić.
Pieniądze albo dane!
„Witaj XXXXXX, jesteś ofiarą Polish Stalking Group. Przeczytaj tego maila do końca. Stałeś się ofiarą naszej grupy, mamy Cię na oku”, a potem pojawiały się dane odbiorcy e-maila. Tak zaczynał się komunikat, jaki kilka miesięcy temu dostawali zaatakowani przez samozwańczą grupę Polish Stalking Group. Dalej następowała groźba, że w efekcie braku zapłaty w ciągu 24 godzin „wyślemy do Ciebie 100 przesyłek kurierskich z losowych sklepów internetowych. W niektórych paczkach będą narkotyki – będziemy wiedzieli, kiedy paczka trafi do Ciebie – policja zostanie powiadomiona o nielegalnych substancjach w Twoim posiadaniu i wkrótce zapuka do Twoich drzwi”.
Szantażyści żądali tysiąca złotych. I ostrzegali: „Twój los jest w twoich rękach – współpracuj z nami albo przekonaj się, do czego jesteśmy zdolni”. Brzmiało groźnie, lecz nie było to nadzwyczajne zagranie. Podobnych ataków pojawia się w sieci coraz więcej. – Dostają nawet od twórców medialne nazwy, by wiedza o nich szybciej się niosła – zauważa Tasiemski.
Ale ataki zaczynają się z pozoru niewinnie. Tomasz Matuła wyciąga kilka wydruków e-maili wysyłanych do ofiar. – Ten wygląda jak mail od jakiejś firmy, być może kontrahenta. Taki jest jego tytuł i jeszcze załącznik w formacie PDF, który wszystkim kojarzy się jako bezpieczny. A ten to podszycie się pod konkretną firmę kurierską, wygląda, jak link do śledzenia przesyłki. Osoba o przeciętnej wiedzy o bezpieczeństwie może dać się nabrać – dodaje ekspert Orange.
Ma się na to nabrać jak najwięcej użytkowników. Stąd fale niebezpiecznego oprogramowania rozsyłanego tak, by udawały wiadomości od Allegro, DHL, Poczty Polskiej, PGE, Playa, a nawet Orange Polska czy pomocy technicznej Microsoftu, rzekomo piszącej w sprawie aktualizacji Windowsa.
– Do tej pory za każdym razem najczęściej potrzebna była konkretna czynność podjęta przez użytkownika, kliknięcie w link, który przenosił na zainfekowaną witrynę, czy pobranie załącznika. Teraz jednak już wiemy, że przestępcy poszli dalej – tłumaczy nam Ludwiszewski. – Ransomware WannaCry był pierwszym, które sam przenosił się z komputera na komputer bez pomocy człowieka. Wystarczył jeden zainfekowany sprzęt, by kolejne podłączone do niego w ramach sieci też padły ofiarą, wykorzystując słabości jednej z usług systemu Windows. Stąd właśnie tak szeroki i masowy zasięg tego ataku – dodaje ekspert.
– Kreatywność przestępców nie zna granic i możemy się spodziewać, że znajdą także inne sposoby zaszyfrowania cudzych komputerów – rozkłada ręce Haertle.
Płacić czy nie płacić?
– 11 osób. Tyle poprosiło mnie prywatnie o pomoc w ostatnich kilkunastu miesiącach po zaatakowaniu ransomware'em - mówi Tomasz Matuła. – W tym dwóch naprawdę doświadczonych, ważnych i poważanych członków zarządu dużych firm. Nawet oni nie ustrzegli się ataku. Jeden dał się nabrać na fałszywą fakturę z rachunkiem bodajże za prąd. Drugi na własne życzenie miał firmowego laptopa ze zdjętą dużą częścią ochrony i ograniczeń, bo chciał z niego swobodniej korzystać. Co więcej firmy, którym szefują ci menadżerowie, mają świetne działy bezpieczeństwa. Pozostałe ofiary to dalsi i bliżsi znajomi – opowiada Matuła.
Kancelarię prawniczą z dużego miasta namawiałam na rozmowę przez blisko tydzień. O tym, że została w taki sposób zaatakowana, wiedziałam z dobrego źródła, ale przez kilka pierwszych dni jej partnerzy nie chcieli tego potwierdzić. Wreszcie zgodzili się pogadać, ale pod warunkiem pełnej anonimowości. – Pamięta pani skandal sprzed kilkunastu miesięcy, gdy okazało się, że szantażowano kilka kancelarii? To było dla środowiska prawniczego bardzo poważnym problemem wizerunkowym, bo cyberprzestępcy grozili ujawnieniem dokumentów, a tajemnica adwokacka to przecież podstawa funkcjonowania prawników – tłumaczy mi partner w tej kancelarii. Mówi o ataku ujawnionym jesienią 2015 r., gdy haker żądał 500 tys. euro. Opublikował 500 MB danych, twierdząc, że ma ich w sumie ok. 100 GB, w tym umowy z klientami, zbiory dokumentów, treści e-maili (zarówno klientów, jak i prawników kancelarii) i będzie te informacje ujawniał. Sprawa była tak poważna, że Naczelna Rada Adwokacka umieściła wtedy na swoich stronach internetowych ostrzeżenie związane z podszywaniem się hakerów pod adresy e-mailowe z domeny adwokatura.pl, czyli problem miało co najmniej kilka kancelarii. – Nas nie było wtedy wśród szantażowanych. Ale niestety podobna historia, choć nie na taką skalę, dotknęła nas pod koniec ubiegłego roku. Klasyka gatunku: plik z e-maila podszywającego się pod fakturę zainfekował sprzęt jednego z partnerów. Zapłaciliśmy. Choć była to dla nas bardzo trudna decyzja. Nie z powodów finansowych czy nie dlatego, że nie mieliśmy kopii zapasowych dokumentów, bo o to zadbaliśmy. Trudna, bo zapłaciliśmy przestępcom. Ale ważniejsze dla nas było to, by zminimalizować zagrożenie wycieku informacji – opowiada prawnik.
Ilu zaatakowanych płaci, tego nikt nie potrafi z całą pewnością powiedzieć. Przy WannaCry pojawiła się plotka, że cyberprzestępcy zarobili ledwie 80 tys. dol. Ale eksperci w te wyliczenia nie wierzą.
– Sporo ludzi na pewno płaci, bo niestety szansa na przełamanie szyfru użytego do zablokowania danych jest niewielka. Uginają się ci, dla których dostępność informacji jest istotna np. firmy, które bazują na bieżącej informacji zarządczej z systemu ERP, jej brak mógłby zakłócić sprzedaż, dystrybucję towarów; ludzie, którym robak zablokował dostęp do prywatnych, rodzinnych zdjęć, czy instytucje obawiające się wycieku informacji. Choć oficjalnie zawsze doradza się, by nie poddawać się szantażowi, to niestety, gdy organizacja wyliczy, że większą stratą jest brak dostępu do danych, to także decyduje się na okup – mówi Marcin Ludwiszewski.
Niestety zapłata nie zawsze oznacza odzyskanie dostępu do danych. W końcu płaci się przestępcom, a ci nie mają moralnego imperatywu, by dotrzymywać umów.
– O ile firmy często posiadają kopie bezpieczeństwa zainfekowanych komputerów lub serwerów i mogą we własnym zakresie odzyskać utracone dane, to użytkownicy indywidualni często tracą w ten sposób np. jedyną kopię zdjęć swojej pociechy z dzieciństwa i mogą liczyć jedynie na złamanie szyfrowania przez specjalistów (co czasem jest możliwe) lub na uczciwość przestępców, którzy po uiszczeniu okupu dostarczą narzędzia do odszyfrowania danych – tłumaczy Haertle.
Spośród moich znajomych, których dotknęło takie wymuszenie, na zapłatę zdecydowało się tylko trzech. Reszta jednak wolała pożegnać się z danymi. Wśród 11 ofiar, którym pomagał Tomasz Matuła z Orange, tylko dwie osoby zdecydowały się nie zapłacić. – Jedna nie zrobiła tego, pomimo że miała na urządzeniu skany aktów notarialnych, ale uznała że woli je odtworzyć niż płacić przestępcom. Reszta jednak się ugięła - opowiada ekspert. Dla niektórych ofiar taka sytuacja jest jak wypadek samochodowy: nauczka na całe życie jakich błędów nie wolno popełniać.
Biznes w globalnej skali jest jednak dla przestępców opłacalny. Tylko w Stanach Zjednoczonych w ubiegłym roku na ofiarach wymuszono zawrotną sumę miliarda dolarów. Dla porównania rok wcześniej było to 25 mln. – I co najgorsze, cyberprzestępcy tracą resztki honoru, bo ransomware'u zaczęli używać także do ataków na szpitale. Co więcej, specjalnie obierają je jako cel ataku bo wiedzą, że szpital dla ochrony życia i zdrowia pacjentów na pewno im zapłaci – z goryczą mówi Matuła.
Wiadomo: biznes to biznes. A atak ransomware nie ma u swoich podstaw żadnej idei oprócz czystego zarobku.