Ransomware to rodzaj szkodliwego oprogramowania, które blokuje komputer ofiar lub szyfruje ich dane, żądając zapłacenia okupu w celu odzyskania dostępu. Stanowi ono jedno z największych zagrożeń dla organów ścigania Unii Europejskiej: niemal dwie trzecie państw członkowskich prowadzi dochodzenia dotyczące tego rodzaju ataków. Celem tego oprogramowania są często urządzenia użytkowników indywidualnych, jednak dotyczy ono również sieci korporacyjnych, a nawet rządowych. Liczba ofiar rośnie w niepokojącym tempie: według danych Kaspersky Lab liczba użytkowników atakowanych przez szkodliwe oprogramowanie szyfrujące dane zwiększyła się o 550% — z 131 000 w latach 2014-2015 do 718 000 w latach 2015-2016.
Nowa forma zagrożenia typu ransomware, która może pojawić się już niedługo. Czym jest jackware?
Stephen Cobb, ekspert bezpieczeństwa w firmie ESET definiuje jackware (jack – ukraść, ware – od software) jako złośliwe oprogramowanie, które stara się przejąć kontrolę nad urządzeniem, a następnie za możliwość jego użytkowania, pobrać okup. W tym przypadku nie jest to jednak komputer czy urządzenie mobilne, a gadżet podłączony do Internetu czy… samochód.
Rewolucja Virtual Reality w Polsce już wkrótce. Czy technologia jest bezpieczna?
Cobb uspokaja, że do tej pory rozważania na temat takiej formy złośliwego oprogramowania są czysto teoretyczne, a zagrożenie nie zostało jeszcze wykryte. Jednak na podstawie dotychczasowej wiedzy nt. cyberzagrożeń, eksperci bezpieczeństwa przypuszczają, że powstanie takich złośliwych programów to wyłącznie kwestia czasu. Tym bardziej, że działanie samochodów w dużej mierze opiera się na elektronice i oprogramowaniu. A dziury w nich zawsze próbują wykorzystać niepowołane osoby. Znane są bowiem przypadki przejęcia kontroli nad samochodem, a eksperci bezpieczeństwa informowali swego czasu także o niezałatanych lukach bezpieczeństwa w ponad milionie pojazdów Fiat Chrysler.
I chociaż większość dyskusji dotyczących przejmowania kontroli nad gadżetami czy samochodami opiera się na kwestiach technicznych związanych z danym urządzeniem, to nie można zapominać również o podatnościach szerzej związanych z wykorzystywaniem danego urządzenia. Słabe zabezpieczenia na stronie producenta także mogą się przyczynić do przeprowadzenia ataku jackware. Przykład z samochodem w roli głównej – aplikacja BMW ConnectedDrive pozwala użytkownikowi np. regulować temperaturę w domu czy włączać oświetlenie, kiedy pojazd zbliża się do posesji. Świadomość, że po włamaniu się do serwisu zarządzającego tą usługą, wszystkie te funkcje w domu mogą być zarządzane przez osobę trzecią, jest dość niepokojąca.
Firmy zagrożone jak nigdy
– Według Cisco 2016 Midyear Cybersecurity Report (MCR) organizacje są nieprzygotowane na przyszłe zaawansowane ataki złośliwym kodem, wymuszającym cyfrowy okup (tzw. ransomware). Wrażliwa na ataki, przestarzała infrastruktura, niski poziom higieny sieci oraz długi czas wykrywania ataków sprawiają, że atakujący mają wystarczająco dużo czasu na niezakłócone działanie - zanim atak zostanie wykryty, zdążą osiągnąć swoje cele. Ograniczenie tej swobody operacyjnej cyberprzestępców jest największym wyzwaniem, przed jakim stoją firmy – zagraża ona bowiem fundamentowi ich cyfrowej transformacji.
Inne główne wnioski z raportu Cisco 2016 MCR to rosnące zainteresowanie cyberprzestępców atakami na serwery, coraz częstsze wykorzystywanie przez nich szyfrowania w celu ukrycia rzeczywistej aktywności oraz ewolucja metod ataku.
Facebook inwigiluje? Każda firma zbiera dane, ważne aby o tym informowała
Największe zagrożenie: ransomware, czyli cyfrowy okup
Ransomware stał się najbardziej dochodowym rodzajem złośliwego oprogramowania w historii. Cisco przewiduje, że jego popularność wśród cyberprzestępców utrzyma się, a ransomware będzie ewoluował i stanie sie jeszcze bardziej destrukcyjny, rozprzestrzeniając się samoistnie i „porywając” całe sieci, a de facto firmy.
Na przykład, przyszłe ataki wykorzystujące ransomware będą unikały wykrycia poprzez ograniczanie wykorzystania procesora i wstrzymanie wykonywanych przez niego poleceń. Nowe odmiany ransomware’u będą rozprzestrzeniać się szybciej i samodzielnie replikować w ramach organizacji, poprzedzając skoordynowane działania wymuszające okup.
- Cyberbezpieczeństwo stanowi podstawę dla tworzenia nowych modeli biznesowych w obecnej erze cyfrowej transformacji. Tymczasem jak wynika z Cisco 2016 Midyear Cybersecurity Report, cyberprzestępcy wykorzystują szybko ewoluujące metody ataku, pozostając niezauważonymi na długo po naruszeniu firmowych systemów bezpieczeństwa, co daje im czas na maksymalizację zysków kosztem zaatakowanych organizacji. Aby zmniejszyć tę swobodę działania atakujących, firmy powinny zabiegać o większą widoczność tego, co dzieje się w ich sieci. Wskazane jest także podjęcie kroków zmierzających do aktualizacji przestarzałej infrastruktury czy instalacji najnowszych łatek systemowych – uważa Gaweł Mikołajczyk, Dyrektor Cisco Security Operations Center w Krakowie.
Ataki podczas Euro 2016
Mistrzostwa Europy w Piłce Nożnej 2016 okazały się doskonałą okazją do wzmożonej działalności cyberprzestępców. Polscy użytkownicy zostali w szczególny sposób dotknięci, ponieważ intensywnie poszukiwali w sieci kanałów streamujących transmisje meczów. Przestępcy wykorzystali zainfekowane reklamy (tzw. Malvertising) do rozprzestrzeniania wirusa (typu Exploit Kit) o nazwie Magnitude.
Co się dzieje, jeśli program antywirusowy nie powstrzyma zagrożenia na czas? Magnitude wykorzystuje luki w oprogramowaniu Adobe Flash, aby zainstalować jeszcze jedno złośliwe oprogramowanie – ransomware o nazwie Cerber. Pechowi kibice mogli skończyć z żądaniem słonego okupu za odszyfrowanie cennych danych na zainfekowanych komputerach.
Dane z firmy F-Secure Labs pokazują, że szczyt infekcji przypadł na 12 czerwca, kiedy Polska rozgrywała mecz przeciwko Irlandii. W czerwcu i lipcu 68 proc. infekcji pochodziło ze stron związanych ze streamingiem video (w tym wypadku meczów), a jedynie 17% wektorów infekcji stanowiły strony dla dorosłych.
Ostatni raport przeprowadzony przez firmę F-Secure pokazuje paradoks działania grup cyberprzestępczych, które często funkcjonują w sposób podobny do legalnych przedsiębiorstw, a nawet troszczą się o swoje ofiary (oczywiście w celu sprawnego wyłudzenia okupu). Gangi ransomware posiadają własne witryny, konsultantów czy dział FAQ.
Niebezpieczni w social media. Czego nie wolno udostępniać na serwisach społecznościowych?
Ransomware wchodzi do chmury…
By przetrwać, ransomware musi podążać za cennymi danymi. Zatem kolejnym celem ataków może być chmura obliczeniowa, w której przechowywane są ogromne ilości wrażliwych informacji.
- W ostatnim czasie firma Apple ogłosiła zwiększenie pojemności bezpłatnych kont w serwisie iCloud z 20 do 150 GB. Tego typu zmiany oznaczają, że już za kilka lat (lub nawet miesięcy) niemal wszystkie nasze dane będą zapisywane w chmurze w czasie zbliżonym do rzeczywistego. Nietrudno zatem wyobrazić sobie sytuację, w której cyberprzestępcy znajdą sposób na wykorzystanie interfejsu API do zaszyfrowania naszych danych w chmurze i zażądania okupu za ich odblokowanie – uważa David Maciejak, kierownik zespołu ds. badań i rozwoju FortiGuard Lion firmy Fortinet na region Azji i Pacyfiku.
W obliczu takiego zagrożenia nie można bagatelizować zalet, jakie zapewnia możliwość tworzenia kopii zapasowych naszych danych. Niektóre z najlepszych praktyk ochrony przed atakami ransomware obejmują regularne tworzenie kopii danych i przechowywanie ich na odrębnych urządzeniach odłączonych od sieci, dzielenie posiadanych sieci na strefy bezpieczeństwa — tak aby infekcja w jednej strefie nie mogła w łatwy sposób przedostać się do innej — oraz dysponowanie planem awaryjnym, który pozwoli na funkcjonowanie systemu w czasie usuwania skutków ataku z sieci lub komputera.
W dłuższej perspektywie ofiary oprogramowania ransomware może czekać jeszcze inny czarny scenariusz. W maju 2010 r. pewien brytyjski naukowiec wykazał, że implanty stosowane u ludzi mogą zostać zainfekowane wirusami komputerowymi.
Nie możemy wykluczyć sytuacji, w której oprogramowanie ransomware uniemożliwi korzystanie z protezy ręki lub nogi, bądź zagrozi wyłączeniem rozrusznika serca. Czy to jeszcze fantastyka naukowa? Jeśli spojrzeć na obecny poziom rozwoju technologii i pomysłowość hakerów, może to być bliższe rzeczywistości niż nam się wydaje.
Firmy i instytucje łączą siły
Holenderska policja, Europol, Intel Security oraz Kaspersky Lab łączą siły w ramach inicjatywy No More Ransom, która stanowi nowy krok we współpracy między organami ściągania a sektorem prywatnym nawiązanej w celu wspólnego zwalczania oprogramowania ransomware. No More Ransom (http://www.nomoreransom.org) to nowy portal internetowy stworzony w celu informowania o zagrożeniach związanych z oprogramowaniem ransomware i pomagania ofiarom w odzyskaniu swoich danych bez konieczności zapłacenia okupu cyberprzestępcom.
Cyberprzestępcy troszczą się o ofiary
Cyberprzestępcy używający ransomware (oprogramowania do wymuszania okupu) paradoksalnie troszczą się o wygodę ofiary. Tak wynika z niedawnego eksperymentu opisanego w raporcie firmy F-Secure, który przedstawia doświadczenia ofiar pięciu wariantów ataków typu ransomware. Badanie pokazuje drogę klienta do odzyskania plików począwszy od zetknięcia się z pierwszym ekranem z żądaniem okupu, aż po interakcję z cyberprzestępcami.
Wybrane wnioski z raportu są następujące:
- Grupy, które mają najbardziej profesjonalny interfejs, niekoniecznie mają najlepszy kontakt z ofiarą.
- Gangi korzystające z oprogramowania ransomware są zazwyczaj skłonne negocjować kwotę okupu. W trzech na cztery warianty umożliwiały one negocjacje, których efektem była średnia zniżka okupu o 29 proc..
- Terminy na przekazanie okupu nie muszą być sztywne. 100% badanych grup zgodziło się na opóźnienie terminu zapłaty.
- Jedna z grup twierdziła, że została wynajęta przez korporację do przeprowadzenia ataku na jej konkurencję. Rodzi się pytanie czy był to żart, czy jednak nowe realne zagrożenie?
W ocenie F-Secure trzy czwarte gangów korzystających z ransomware jest skłonnych do negocjacji okupu.
Cyberdozorca zamiast ochroniarza. Czy ochrona fizyczna straci znaczenie?
Jakie główne środki ostrożności należy podjąć, by nie paść ofiarą ataku typu ransomware?
1. Korzystać z oprogramowania obejmującego różne warstwy zabezpieczeń, które może blokować znane typy ransomware, jak również całkiem nowe zagrożenia.
2. Aktualizować oprogramowanie – ransomware wykorzystuje luki w zabezpieczeniach nieaktualnego software’u, dlatego zawsze należy mieć u siebie najnowszą wersję.
3. Regularnie tworzyć kopie zapasowe – pozwoli to być o krok przed cyberprzestępcą.
4. Być ostrożnym podczas przeglądania skrzynki mailowej – nigdy nie należy otwierać załącznika ani klikać w linki, co do których nie mamy zaufania.
5. Ograniczyć użycie wtyczek do przeglądarek, które bywają częstym celem ataków. Należy wyłączać te, które zostały zainstalowane, ale nie są przez nas używane.
Źródło: Informacje prasowe
Oprac. T.J.